建立及管理活動規則

設定快訊及採取行動

管理員可以在 Google 管理控制台中設定活動規則,發送網域內活動的通知,或對此類活動採取行動。如此一來,就能更快速有效地預防、偵測及修正安全性問題。

只要先為規則設定「條件」,然後指定條件達成時要發送的通知或執行的「動作」,即可完成規則設定。簡單來說,規則的意思就是:當「x」發生時,自動執行「y」

Google 會持續執行活動規則中指定的搜尋作業,如果傳回的搜尋結果數量超過設定的門檻,Google 就會發送指定的通知,或執行相應動作。舉例來說,您可以設定規則,讓系統在使用者將 Google 雲端硬碟文件與公司外部對象共用時,傳送電子郵件通知給特定管理員。

事前準備

是否能建立及查看活動規則,取決於您的 Google Workspace 版本、管理員權限和資料來源。詳情請參閱「報告規則和活動規則的管理員存取權」。

所有版本提供的功能

  • 透過「規則」頁面或稽核與調查工具存取活動規則
  • 最多使用 AND 篩選器設定 5 個並列條件 (不含巢狀條件)

進階功能

支援這項功能的版本:Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版;Chrome Enterprise 進階版。 版本比較
  • 透過安全調查工具存取活動規則
  • OR 篩選器
  • 在觸發條件中設定動作
  • 設定觸發條件的閾值
  • 在規則中設定超過 5 個條件
  • 巢狀條件
  • 在每次發生事件時接收通知

建立活動規則的重要須知

  • 您只能根據記錄事件資料來源 (例如「Gmail 記錄事件」或「裝置記錄事件」) 建立活動規則。您無法根據即時資料來源 (例如「Chrome 瀏覽器」、「裝置」、「Gmail 郵件」,以及「使用者」),建立活動規則。
  • 可用的資料來源依 Google Workspace 版本而異。詳情請參閱「使用安全調查工具執行搜尋作業」。
  • 您必須在搜尋中加入至少一個事件屬性。
  • 「只有」在每個條件路徑都採用事件條件的情況下,您才能在頂層加入 OR 運算子。
  • 你只能為屬性新增一個值。舉例來說,執行者只能含有一個使用者。如要包含多個值,請使用條件建構工具新增 OR 運算子,然後新增含有其他值的相同屬性。
  • 日期篩選器不適用於活動規則 (因為系統會持續評估這類規則)。
  • 您必須在規則中加入至少一個動作或快訊。
  • 由於活動規則是以記錄事件為基礎,在事件發生「之後」才會觸發,因此活動規則並不適用於封鎖、共用文件或傳送郵件等事件。

電子郵件通知

如果您已針對規則設定電子郵件通知,當活動規則在某個閾值期間首次觸發,系統會傳送一封通知電子郵件;同一期間內再次觸發,則不會重複通知。電子郵件通知會提供觸發快訊的規則摘要,包括規則名稱、門檻詳情、來源資料等等。管理員收到電子郵件通知後,按一下「查看快訊」即可前往快訊中心的「快訊詳細資料」頁面。

規則閾值和通知

為了減少不必要的通知,您可以建立設有觸發閾值的規則。這樣一來,系統就會監控事件於指定期間內的發生次數,僅在次數超過設定值時才發送通知。舉例來說,事件首次觸發規則時,系統會在快訊中心新增快訊,並傳送電子郵件 (如果規則中已設定電子郵件通知)。如果規則設有一小時門檻,該時間範圍內的其他事件會新增至同一則快訊。超過門檻時間後,系統才會另外傳送電子郵件通知。

為規則設定門檻後,系統會以累計方式將門檻套用至使用者所有動作,而非個別使用者。舉例來說,如果您設定規則,在一小時內登入失敗 5 次就將使用者停權,那麼只要一時內所有使用者的累計登入失敗次數達到 5 次,即視為已達到閾值。如此一來,系統會將至少登入失敗一次的所有使用者停權。

注意:

  • 如果規則設有門檻,則觸發的電子郵件和快訊不會包含事件說明。
  • 活動規則只能傳送電子郵件給內部網域使用者。不過,管理員還是能利用 Google 群組,設定對外發出電子郵件快訊。
  • 您可以將快訊間隔時間設為一小時,避免過於頻繁發送快訊。

建立活動規則

  1. 使用下列其中一種方法建立規則 (適用於所有 Google Workspace 版本):
    • 在管理控制台首頁中,前往「規則」,然後按一下「建立活動規則」
    • 或者,依序前往「報告」接下來「稽核與調查」 接下來選取「資料來源」接下來「建立活動規則」
    • 或者,如果您使用安全調查工具,請依序前往「安全性」接下來「安全中心」接下來「調查工具」,然後點選「建立活動規則」
  2. 輸入規則詳細資料,然後按一下「繼續」
    • 規則名稱:例如「對外共用資料」
    • 說明:例如「在文件與公司外人員共用時傳送通知」

  3. 在「條件」頁面中,定義規則的觸發時機:

    1. 選擇規則的「資料來源」,例如「管理員記錄事件」

      注意:資料來源可用與否,取決於您的 Google Workspace 版本和管理員權限。此外,您無法針對雲端硬碟記錄事件新增動作。詳情請參閱「活動規則的管理員存取權」,以及「安全調查工具的資料來源」。

    2. 按一下「篩選器」分頁標籤,即可使用簡單的參數 (例如「包含」、「不包含」、「是」或「不是」) 篩選搜尋結果。

    3. 按一下「條件建構工具」分頁標籤,即可使用 AND/OR 運算子篩選搜尋結果。再針對每個條件分別選擇「屬性」、「運算子」和「值」

      舉例來說,如要設定一個指定事件為轉移文件擁有權的條件,請選擇「事件」為屬性,「為」做為運算子,「文件設定 > 轉移文件擁有權」做為值。

      注意:「事件」是必要條件。如要進一步瞭解各種資料來源可用的條件,請參閱「安全調查工具的資料來源」。

    4. 按一下「新增條件」加入更多條件,或直接點選「繼續」

  4. (進階功能) 選取下列任一選項:

    • 每次發生事件時:每次發生事件時傳送通知並/或採取行動。
    • 如果事件發生頻率達到特定門檻:選取相應選項,只有當事件在指定期間內發生次數超過設定值,才會觸發通知和/或動作。例如,事件在 1 小時內發生超過 10 次。

  5. (進階功能) 按一下「新增動作」,設定事件發生或達到門檻時要執行的動作。

    • 例如,在事件發生時將使用者停權,或強制變更密碼。
    • 按一下「新增動作」即可建立其他動作。

  6. 在「通知」下方,選取所需選項:

    • 快訊中心:(建議) 將快訊傳送至快訊中心。快訊包含詳細資料,可協助您對問題採取行動,以及與貴機構的其他管理員合作解決問題。
    • 電子郵件:傳送電子郵件通知給以下對象:
      • 所有超級管理員:傳送電子郵件給所有超級管理員。
      • 新增電子郵件收件者:傳送電子郵件給特定管理員。
    • 通知頻率:同一事件每小時傳送的通知 (快訊和電子郵件) 數量。您可以將間隔設為一小時,或在每次發生事件時接收通知。這項設定可以避免同一事件產生過多通知。 選擇下列其中一種做法:
      • 每小時最多 5 則 (預設):每小時每隔 12 分鐘接收一則通知。
      • 每小時最多 2 則:每小時每隔 30 分鐘接收一則通知。
      • 每小時最多 10 則:每小時每隔 6 分鐘接收一則通知。
      • 每次發生事件時 (如果您的版本可採用此設定)。
    • 嚴重性:系統顯示的事件嚴重性等級。

  7. 選取規則狀態。

    • 「有效」 (預設):系統會收集記錄,並強制執行規則。
    • 監控:系統會收集記錄,但不會強制執行規則。如要在強制執行規則前先行檢閱記錄,請使用這個選項。
    • 已停用:系統不會收集記錄,也不會強制執行規則。

  8. 點按「Continue」(繼續)。 查看規則詳細資料。如有需要,請按一下「返回」並修改資訊。

  9. 按一下「建立規則」

查看及編輯活動規則

建立活動規則後,您可以前往「規則」頁面查看規則的詳細資料、範圍和條件,以及達到門檻後觸發的動作。

在「規則」頁面中,您還可以查看網域中由管理員建立的所有規則清單。前往 Google 管理控制台首頁,然後按一下「規則」

您網域的管理員可在「規則」頁面中查看其他管理員所建立的規則 (視規則資料來源和管理員本身的權限而定)。舉例來說,如果某位管理員擁有雲端硬碟記錄事件的檢視權限,但沒有 Gmail 記錄事件的檢視權限,就不會看到任何根據 Gmail 記錄事件建立的規則。

您可以使用「規則」頁面執行下列動作:

  • 點選「新增篩選器」來篩選規則清單
  • 點選任一規則即可查看及編輯規則詳細資料。
  • 刪除規則。
  • 建立新規則。
  • 按一下「調查」即可開啟調查工具,用來查看規則記錄事件的資料。