組織の管理者は、ルールのログイベントを検索して対応できます。たとえば、アクションの記録を表示して、機密データを共有しようとするユーザーの操作を確認できます。また、データ損失防止(DLP)ルールに違反するイベントによってトリガーされたイベントを調べることもできます。通常、ユーザーの操作は 1 時間以内にログに記録されます。
ルールのログイベントには、Chrome Enterprise Premium threat and data protection のデータの種類も表示されます。
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
ログイベントのデータを Google Cloud に転送する
ログイベントのデータが Google Cloud と共有されるように設定できます。この共有を有効にした場合、データが Cloud Logging に転送され、そこからログに対してクエリを実行したり、ログを閲覧したり、ログのルーティングと保存を制御したりできます。
ログイベントの検索を実行する
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
-
On the left, click Reporting
Audit and investigation
- [フィルタを追加] をクリックし、属性を選択します。
- ポップアップ ウィンドウで演算子を選択 (省略可)検索に対して複数のフィルタを作成するには:
- [フィルタを追加] をクリックして、手順 3 を繰り返します。
- (省略可)検索演算子を追加するには、[フィルタを追加] の上にある [AND] または [OR] を選択します。
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- [検索] をクリックします。
-
注: [Filter] タブでは、シンプルなパラメータと値のペアを含めて、検索結果をフィルタリングできます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタは AND/OR 演算子を使って条件として表されます。
Security investigation tool
調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索のための条件を 1 つ以上選択します。条件ごとに属性、演算子、値を選択します。
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
- Click Data source and select Rule log events.
- [条件を追加] をクリックします。
ヒント: 検索で 1 つ以上の条件を指定するか、ネストされたクエリで検索をカスタマイズできます。詳しくは、ネストされたクエリを使って検索をカスタマイズするをご覧ください。 - [属性] をクリック
属性の一覧については、以下の属性の説明をご覧ください。 - [次の語句を含む] をクリック
- 値を入力するか、プルダウン リストから値を選択します。
- (省略可)検索条件を追加するには、手順 4〜7 を繰り返します。
- [検索] をクリックします。
調査ツールの検索結果は、ページ下部の表に示されます。 - (省略可)調査を保存するには、保存アイコン
をクリック
注:
- [条件作成ツール] タブでは、フィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、シンプルなパラメータと値のペアを含め、検索結果をフィルタリングすることもできます。
- ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
属性の説明
このデータソースでは、ログイベント データの検索時に次の属性を使用できます。
| 属性 | 説明 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| アクセスレベル | このルールのコンテキストアウェア アクセスの条件として選択されたアクセスレベル。アクセスレベルは Chrome のデータにのみ適用されます。詳しくは、コンテキストアウェア アクセスレベルを作成するをご覧ください。 | ||||||||
| アクター | 操作を行ったユーザーのメールアドレスイベントの結果が再スキャンの場合、値が「匿名ユーザー」である可能性があります。 | ||||||||
| アクター グループ名 |
アクター グループの名前。詳しくは、Google グループで結果をフィルタするをご覧ください。 フィルタ グループの許可リストにグループを追加するには:
|
||||||||
| アクターの組織部門 | アクターの組織部門 | ||||||||
| ブロック中の受信者 | トリガーされたルールによってブロックされた受信者 | ||||||||
| 条件付きアクション | ルールに設定されたコンテキストの条件に応じて、ユーザーのアクセス時にトリガーされる可能性のあるアクションのリスト。 | ||||||||
| 会議 ID | このルールのトリガーの一部として処理された会議の会議 ID | ||||||||
| コンテナ ID | リソースが属する親コンテナの ID | ||||||||
| コンテナのタイプ | リソースが属する親コンテナのタイプ([Chat スペース]、[グループ チャット] など、チャット メッセージやチャットの添付ファイルの場合) | ||||||||
| データソース | リソースを生成したアプリケーション | ||||||||
| 日付 | イベントが発生した日時 | ||||||||
| 検出項目 ID | 一致した検出項目の ID | ||||||||
| 検出項目の名前 | 管理者による定義と一致した検出項目の名前 | ||||||||
| デバイス ID | 操作がトリガーされたデバイスの ID。このデータ型は Chrome Enterprise Premium threat and data protection に適用されます。 | ||||||||
| デバイスのタイプ | デバイス ID で参照されるデバイスの種類。このデータ型は Chrome Enterprise Premium threat and data protection に適用されます。 | ||||||||
| イベント | 記録されたイベント アクション。
* これらのイベント名の「アクション完了」の部分はサポート終了となります。 |
||||||||
| デリケートなコンテンツが含まれている | トリガーされた DLP ルールが機密コンテンツを検出してログに記録した場合、値は True になります。 | ||||||||
| 受信者* | 共有リソースを受信したユーザー | ||||||||
| 省略された宛先の数* | 上限を超えているため省略されたリソースの宛先数 | ||||||||
| リソース ID | 変更されたオブジェクト。DLP ルールの場合は以下のようになります。
|
||||||||
| リソースの所有者 | スキャンされ操作が行われたリソースを所有するユーザー | ||||||||
| リソースのタイトル | 変更されたリソースのタイトル。DLP の場合、ドキュメントのタイトルです。 | ||||||||
| リソースの種類 | DLP の場合、リソースは「ドキュメント」です。 Chat の DLP の場合、リソースは [チャット メッセージ] または [チャットの添付ファイル] です。 | ||||||||
| ルール ID | トリガーされたルールの ID | ||||||||
| ルール名 | ルール作成時に管理者が指定したルール名。 | ||||||||
| ルールの種類 | DLP ルールの場合、値は [DLP] です。 | ||||||||
| スキャンの種類 |
以下のいずれかの値を設定します。
|
||||||||
| 重大度 | ルールのトリガー時にルールに割り当てられた重要度。 | ||||||||
| 実行されなかったアクション* | ルールに設定されているが行われなかった操作。同時に複数の操作がトリガーされた場合、優先度の低い操作は行われません。 | ||||||||
| トリガー | ルールがトリガーされるきっかけとなったアクティビティ | ||||||||
| トリガーされた操作 | 行われた操作のリスト。監査専用ルールがトリガーされた場合は、空白です。 | ||||||||
| トリガーのクライアント IP | 操作をトリガーしたユーザーの IP アドレス | ||||||||
| トリガー元のユーザーのメールアドレス* | 操作をトリガーしたユーザーのメールアドレス | ||||||||
| ユーザーの操作 | ユーザーが行おうとした操作が、ルールによってブロックされた |
注: ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
ログイベント データを管理する
検索結果の列データを管理する
検索結果に表示するデータ列を設定できます。
- 検索結果の表の右上にある、列を管理アイコン
をクリックします。
- (省略可)現在の列を削除するには、削除アイコン
をクリックします。
- (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン
をクリックしてデータ列を選択します。
以上の手順を必要なだけ繰り返してください。 - (省略可)列の順序を変更するには、目的のデータ列名をドラッグします。
- [保存] をクリックします。
検索結果データをエクスポートする
- 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
- 名前を入力し
書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。 - データを表示するには、エクスポートの名前をクリックします。
書き出したデータが Google スプレッドシートで開きます。
レポートルールを作成する
レポートルールの作成と管理をご覧ください。
データを利用できる期間
データの保持期間とタイムラグをご覧ください。
検索結果に基づいて対応する
検索結果に基づいて対応する
調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、Gmail のログイベントに基づいて検索した後、調査ツールを使用して特定のメールを削除したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりできます。調査ツールでの操作について詳しくは、検索結果に基づいて対応するをご確認ください。
アクティビティ ルールを作成し、アラートを設定する
アクティビティ ルールを作成すると、調査ツールのアクションを自動化してセキュリティの問題を効率的に防止、検出、修正することができます。ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。詳細と設定手順については、アクティビティ ルールを作成、管理するをご確認ください。
調査を管理する
調査のリストを表示する自分がオーナーとなっている調査と、自分が共有メンバーとなっている調査のリストを表示するには、調査を表示アイコン をクリックします。調査のリストには、調査の名前、説明、オーナー、最終更新日が含まれます。
このリストでは、調査を削除するなど、自分がオーナーとなっているすべての調査に対して操作を行うことができます。調査のチェックボックスをオンにして、[操作] をクリックします。
注: 調査のリストのすぐ上にある [クイック アクセス] では、最近保存した調査を確認できます。
特権管理者は、設定アイコン をクリックして、次の操作を行うことができます。
- 調査のタイムゾーンを変更する。このタイムゾーンは検索条件と結果に適用されます。
- [要審査] をオンまたはオフにする。詳しくは、一括操作には審査担当者の設定を必須とするをご確認ください。
- [コンテンツを表示] をオンまたはオフにする。この設定により、適切な権限を持つ管理者がコンテンツを閲覧できるようになります。
- [操作を実行する理由] をオンまたはオフにする。
手順と詳細については、調査の設定を行うをご確認ください。
検索結果に表示するデータ列を管理できます。
- 検索結果の表の右上にある列を管理アイコン
- (省略可)現在の列を削除するには、アイテムを削除アイコン
- (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン
以上の手順を必要なだけ繰り返してください。 - (省略可)列の順序を変更するには、列名をドラッグします。
- [保存] をクリックします。
- 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
- 名前を入力し
書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。 - データを表示するには、エクスポートの名前をクリックします。
書き出したデータが Google スプレッドシートで開きます。
書き出された検索結果を表示する際は、以下を参考にしてください。
- 表の上部にあるすべてエクスポート アイコンをクリックすると、検索結果を含む Google スプレッドシートが [マイドライブ] フォルダに作成されます。結果のサイズによっては、書き出し処理に時間がかかることがあり、Google スプレッドシートが複数作成されることもあります。書き出せる結果は合計 3,000 万行までに制限されています(ただし、Gmail のメール検索の上限は 125 万行です)。
- 書き出しの進行中は、仮名の Google スプレッドシートが作成されます(TMP-1-<タイトル> など)。Google スプレッドシートが複数作成される場合、2 番目以降のファイルの仮名は TMP-2-<タイトル>、TMP-3-<タイトル> のようになります。書き出し処理が完了すると、ファイル名は自動的に <タイトル> [1 of N]、<タイトル> [2 of N] のように変更されます。書き出されたデータを含む Google スプレッドシートが 1 つのみの場合、ファイル名は <タイトル> に変更されます。
- 書き出された検索結果を含むファイルの共有アクセス権限は、ドメイン設定に準拠します。たとえば、作成されたファイルがデフォルトで社内の全員と共有される場合、書き出されたデータにもこの公開設定が適用されます。
検索条件を保存したり他のユーザーと共有したりする場合は、調査を作成して保存した後に、共有、複製、削除を行います。
詳しくは、調査を保存、共有、削除したり、調査のコピーを作成したりするをご確認ください。
データソースについて詳しくは、データの保持期間とタイムラグをご確認ください。
調査を管理する
Requires a Google Workspace のプレミアム エディション(Enterprise Standard、Enterprise Plus、Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.
ルールのログイベントを使用して Chat メッセージを調査する
Google Workspace のプレミアム エディション(Enterprise Standard、Enterprise Plus、Education Plus) が必要です
管理者は、Chat のデータ保護ルールを作成して、機密コンテンツの漏洩をモニタリングし、防止できます。管理者はセキュリティ調査ツールを使用して、組織内の Chat アクティビティ(ドメイン外に送信されたメッセージやファイルなどを含む)をモニタリングできます。詳しくは、Chat メッセージを調査して組織のデータを保護するをご覧ください。
ルールのログイベントを使用して DLP ルール違反を調査する
Google Workspace のプレミアム エディション(Enterprise Standard、Enterprise Plus、Education Plus) が必要です
管理者は、データ損失防止(DLP)スニペットを使用して、DLP ルール違反が実際のインシデントか誤検出かを調査できます。詳しくは、DLP ルールをトリガーするコンテンツを表示するをご覧ください。