組織の管理者は、監査と調査のページを使用して、ルールのログイベントに関連する検索を実行することができます。このページでは、機密データを共有しようとするユーザーの操作情報を確認できます。たとえば、データ損失防止(DLP)のルール違反イベントによってトリガーされたイベントを調べることができます。通常、ユーザーの操作は 1 時間以内にログに記録されます。
ルールのログイベントには、BeyondCorp Threat and Data Protection のデータの種類も表示されます。
Google ドライブやユーザー アクティビティなど、調査可能なサービスやアクティビティの一覧については、監査と調査ツールについてをお読みください。
監査と調査のページを開く
ルールのログイベント データにアクセスする
-
-
管理コンソールで、メニュー アイコン [レポート][監査と調査][ルールのログイベント] にアクセスします。
データをフィルタリングする
- 上述のルールのログイベント データにアクセスするの説明に従って、ログイベントを開きます。
- [フィルタを追加] をクリックし、属性を選択します。
- ポップアップ ウィンドウで演算子を選択 値を選択 [適用] をクリックします。
-
(省略可)検索に対して複数のフィルタを作成するには:
- [フィルタを追加] をクリックして、手順 3 を繰り返します。
- (省略可)検索演算子を追加するには、[フィルタを追加] の上にある [AND] または [OR] を選択します。
- [検索] をクリックします。
注: [Filter] タブでは、シンプルなパラメータと値のペアを含めて、検索結果をフィルタリングできます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタは AND/OR 演算子を使って条件として表されます。
属性の説明
このデータソースでは、ログイベント データの検索時に次の属性を使用できます。
属性 | 説明 | ||||||||
---|---|---|---|---|---|---|---|---|---|
アクセスレベル | このルールのコンテキストアウェア アクセスの条件として選択されたアクセスレベル。アクセスレベルは Chrome のデータにのみ適用されます。詳しくは、コンテキストアウェア アクセスレベルを作成するをご覧ください。 | ||||||||
アクター | 操作を行ったユーザーのメールアドレスイベントの結果が再スキャンの場合、値が「匿名ユーザー」である可能性があります。 | ||||||||
アクター グループ名 |
アクター グループの名前。詳しくは、Google グループで結果をフィルタするをご覧ください。 フィルタ グループの許可リストにグループを追加するには:
|
||||||||
アクターの組織部門 | アクターの組織部門 | ||||||||
ブロック中の受信者 | トリガーされたルールによってブロックされた受信者 | ||||||||
条件付きアクション | ルールに設定されたコンテキストの条件に応じて、ユーザーのアクセス時にトリガーされる可能性のあるアクションのリスト。 | ||||||||
会議 ID | このルールのトリガーの一部として処理された会議の会議 ID | ||||||||
コンテナ ID | リソースが属する親コンテナの ID | ||||||||
コンテナのタイプ | リソースが属する親コンテナのタイプ([Chat スペース]、[グループ チャット] など、チャット メッセージやチャットの添付ファイルの場合) | ||||||||
データソース | リソースを生成したアプリケーション | ||||||||
日付 | イベントが発生した日時 | ||||||||
検出項目 ID | 一致した検出項目の ID | ||||||||
検出項目の名前 | 管理者による定義と一致した検出項目の名前 | ||||||||
デバイス ID | 操作がトリガーされたデバイスの ID。このデータ型は Chrome Enterprise Premium threat and data protection に適用されます。 | ||||||||
デバイスのタイプ | デバイス ID で参照されるデバイスの種類。このデータ型は Chrome Enterprise Premium threat and data protection に適用されます。 | ||||||||
イベント | 記録されたイベント アクション。
* これらのイベント名の「アクション完了」の部分はサポート終了となります。 |
||||||||
デリケートなコンテンツが含まれている | トリガーされた DLP ルールが機密コンテンツを検出してログに記録した場合、値は True になります。 | ||||||||
受信者* | 共有リソースを受信したユーザー | ||||||||
省略された宛先の数* | 上限を超えているため省略されたリソースの宛先数 | ||||||||
リソース ID | 変更されたオブジェクト。DLP ルールの場合は以下のようになります。
|
||||||||
リソースの所有者 | スキャンされ操作が行われたリソースを所有するユーザー | ||||||||
リソースのタイトル | 変更されたリソースのタイトル。DLP の場合、ドキュメントのタイトルです。 | ||||||||
リソースの種類 | DLP の場合、リソースは「ドキュメント」です。 Chat の DLP の場合、リソースは [チャット メッセージ] または [チャットの添付ファイル] です。 | ||||||||
ルール ID | トリガーされたルールの ID | ||||||||
ルール名 | ルール作成時に管理者が指定したルール名。 | ||||||||
ルールの種類 | DLP ルールの場合、値は [DLP] です。 | ||||||||
スキャンの種類 |
以下のいずれかの値を設定します。
|
||||||||
重大度 | ルールのトリガー時にルールに割り当てられた重要度。 | ||||||||
実行されなかったアクション* | ルールに設定されているが行われなかった操作。同時に複数の操作がトリガーされた場合、優先度の低い操作は行われません。 | ||||||||
トリガー | ルールがトリガーされるきっかけとなったアクティビティ | ||||||||
トリガーされた操作 | 行われた操作のリスト。監査専用ルールがトリガーされた場合は、空白です。 | ||||||||
トリガーのクライアント IP | 操作をトリガーしたユーザーの IP アドレス | ||||||||
トリガー元のユーザーのメールアドレス* | 操作をトリガーしたユーザーのメールアドレス | ||||||||
ユーザーの操作 | ユーザーが行おうとした操作が、ルールによってブロックされた |
ログイベント データを管理する
検索結果の列データを管理する
検索結果に表示するデータ列を設定できます。
- 検索結果の表の右上にある、列を管理アイコン をクリックします。
- (省略可)現在の列を削除するには、削除アイコン をクリックします。
- (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン をクリックしてデータ列を選択します。
以上の手順を必要なだけ繰り返してください。 - (省略可)列の順序を変更するには、目的のデータ列名をドラッグします。
- [保存] をクリックします。
検索結果データをエクスポートする
- 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
- 名前を入力し [エクスポート] をクリックします。
書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。 - データを表示するには、エクスポートの名前をクリックします。
書き出したデータが Google スプレッドシートで開きます。
レポートルールを作成する
レポートルールの作成と管理をご覧ください。
データを利用できる期間
データの保持期間とタイムラグをご覧ください。
ルールのログイベントを使用して DLP ルール違反を調査する
管理者は、データ損失防止(DLP)スニペットを使用して、DLP ルール違反が実際のインシデントか誤検出かを調査できます。詳しくは、DLP ルールをトリガーするコンテンツを表示する(ベータ版)をご覧ください。