استنادًا إلى إصدار Google Workspace، قد تتمكن من الوصول إلى "أداة التحقيق الأمني" والتي تتضمّن ميزات متقدّمة أكثر. على سبيل المثال، يمكن للمشرفين المتميّزين تحديد مشاكل الأمان والخصوصية وتصنيفها واتخاذ إجراءات بشأنها. مزيد من المعلومات
بصفتك مشرفًا لمؤسستك، يمكنك إجراء عمليات بحث واتّخاذ إجراءات بشأن مشاكل الأمان ذات الصلة بأحداث سجلّات "أداة مزامنة الدليل". فمثلاً، يمكنك عرض سجلّ بالإجراءات للاطّلاع على الأحداث ذات الصلة بـ "أداة مزامنة الدليل".
إعادة توجيه بيانات أحداث السجلّ إلى Google Cloud
يمكنك الموافقة على مشاركة بيانات أحداث السجل مع Google Cloud. في حال تفعيل المشاركة، سيتم إعادة توجيه البيانات إلى Cloud Logging، حيث يمكنك طلب السجلات والاطلاع عليها بالإضافة إلى التحكم في كيفية توجيهها وتخزينها.
البحث عن أحداث السجلّ
تعتمد إمكانية إجراء عملية بحث على إصدار Google والامتيازات الإدارية ومصادر البيانات التي تمتلكها. يمكنك إجراء بحث على جميع المستخدمين، بغض النظر عن إصدار Google Workspace الذي يستخدمونه.
للبحث عن أحداث السجلّ، اختَر أولاً مصدر بيانات. بعد ذلك، يمكنك اختيار فلتر أو أكثر لبحثك.
-
سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
-
في "وحدة تحكُّم المشرف"، انقر على رمز "القائمة" إعداد التقاريرالتدقيق والتحقيقأحداث سجلّ "أداة مزامنة الدليل".
- انقر على إضافة فلتر، ثم اختَر سمة.
- في النافذة المنبثقة، اختَر عامل تشغيلاختَر قيمةانقر على تطبيق.
- (اختياري) كرِّر هذه الخطوة لإنشاء فلاتر متعددة لبحثك.
- (اختياري) لإضافة عامل تشغيل بحث، فوق إضافة فلتر، اختَر AND أو OR.
- (اختياري) لإنشاء فلاتر متعددة لبحثك، كرِّر هذه الخطوة.
- (اختياري) لإضافة عامل تشغيل بحث، اختَر AND أو OR فوق إضافة فلتر
- انقر على بحث.
-
ملاحظة:باستخدام علامة تبويب الفلترة، يمكنك تضمين أزواج قيم ومعلمات بسيطة لفلترة نتائج البحث. يمكنك أيضًا استخدام علامة التبويب أداة إنشاء الشروط، حيث يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR.
لإجراء عملية بحث في "أداة التحقيق الأمني"، اختَر أولاً مصدر بيانات. بعد ذلك اختر شرطًا واحدًا أو أكثر لبحثك. بالنسبة إلى كل شرط، اختَر سمة وعامل تشغيل وقيمة.
-
سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
-
في وحدة تحكُّم المشرف، انتقِل إلى رمز القائمة الأمانمركز الأمانأداة التحقيق.
- انقر على مصدر البيانات واختَر أحداث سجلّات "أداة مزامنة الدليل".
- انقر على إضافة شرط.
ملاحظة: يمكنك تضمين شرط واحد أو أكثر في بحثك أو تخصيص بحثك باستخدام طلبات البحث المتداخلة. لمعرفة التفاصيل، انتقِل إلى تخصيص البحث باستخدام طلبات البحث المتداخلة. - انقر على السمةحدِّد خيارًا.
للحصول على قائمة كاملة بالسمات، انتقِل إلى قسم أوصاف السمات أدناه. - اختَر عامل تشغيل.
- أدخِل قيمة أو اختر قيمة من القائمة المنسدلة.
- (اختياري) لإضافة المزيد من شروط البحث، كرِّر الخطوات من 4 إلى 7.
- انقر على بحث.
تُعرض نتائج البحث في أداة التحقيق في جدول أسفل الصفحة. - (اختياري) لحفظ التحقيق، انقر على رمز الحفظأدخِل عنوانًا ووصفًاانقر على حفظ.
ملاحظة:
- في علامة تبويب أداة إنشاء الشروط، يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR. ويمكنك أيضًا استخدام علامة التبويب فلترة لتضمين أزواج قيم ومعلمات بسيطة لفلترة نتائج البحث.
- في حال منحت مستخدم اسمًا جديدًا، لن تظهر لك نتائج طلبات بحث باسم المستخدم القديم. مثال، في حال إعادة تسمية OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج أحداث OldName@example.com.
أوصاف السمات
بالنسبة إلى مصدر البيانات هذا، يمكنك استخدام السمات التالية عند البحث عن بيانات أحداث السجلات:
السمة | الوصف |
---|---|
عدد | عدد العناصر المتأثرة بحدث التدقيق، مثلاً، عدد العناصر التي تمت قراءتها في دليل تمت قراءته |
عدد الكيانات المُنشَأة | عدد العناصر التي تم إنشاؤها، مثل عدد المستخدمين الذين تم إنشاؤهم في الدليل الهدف أثناء تشغيل المزامنة |
التاريخ | تاريخ الحدث ووقته (يُعرضَان بتوقيت المنطقة الزمنية التلقائية للمُتصفِّح) |
عدد العناصر المحذوفة | عدد العناصر المحذوفة: مثلاً عدد المستخدمين الذين تم حذفهم في الدليل الهدف أثناء تشغيل المزامنة |
إجراء إلغاء إذن الوصول | الإجراء المضمَّن أثناء إلغاء إذن الوصول لأحد العناصر، مثلاً، تعليق مستخدم أو حذف مجموعة |
الحدث |
إجراء الحدث المسجّل، مثل عنصر تم إنشاؤه أو ملخص المزامنة ملاحظة: إذا كانت لديك قيم أحداث تستخدمها كثيرًا، يمكنك تثبيت هذه الأحداث في أعلى القائمة المنسدلة. تعرَّف على المزيد من المعلومات عن الأحداث المتعلقة "بأداة مزامنة الدليل". |
عدد الكيانات المُستبعَدة | عدد العناصر المستبعدة، مثلاً، عدد العناصر المستبعدة أثناء القراءة من دليل ملفات المصدر بسبب قواعد الاستبعاد التي تم ضبطها |
قاعدة استبعاد | الشرط المستخدم لاستبعاد عنصر أثناء القراءة من دليل ملفات المصدر |
عدد العناصر التي تعذّرت مزامنتها | عدد العناصر التي تعذّرت مزامنتها أثناء تشغيل المزامنة |
الفلتر | طلب البحث المستخدَم للقراءة من دليل ملفات المصدر |
معرّف المجموعة | معرِّف المجموعة التي يتم استخدامها في الأحداث المرتبطة بالانتساب، مثل groupname@example.com |
مستوى السجل | مستوى خطورة الحدث المُسجَّل |
رسالة | سبب وقوع الحدث |
سمات جديدة | سمات العنصر بعد المزامنة |
دور العضوية الجديد | دور العضوية بعد المزامنة |
رقم تعريف العنصر | رقم تعريف العنصر |
نوع العنصر | نوع العنصر، مثل Group (مجموعة) أو Group membership (عضوية مجموعة) أو User (مستخدم) |
السمات السابقة | سمات العنصر قبل المزامنة |
دور العضوية السابق | دور العضوية قبل المزامنة |
محاكاة | ما إذا كانت مهمة المزامنة كانت محاكاة أم لا |
رقم تعريف دليل ملفات المصدر | معرّف الدليل المصدر |
اسم دليل ملفات المصدر | اسم الدليل المصدر: على سبيل المثال، اسم دليل Active Directory |
رقم تعريف العنصر غير القابل للتغيير | رقم تعريف غير قابل للتغيير للعنصر المصدر. يمكن أن يكون هذا المعرّف هو ObjectGUID للعنصر المصدر. |
رقم تعريف العنصر المصدر | معرّف العنصر المصدر، مثل CN=User Name, OU=Sales, DC=example, DC=com |
مهمة المزامنة | معرّف مهمة المزامنة |
ضبط مهمة المزامنة | جميع القيم التي تم إعدادها في مهمة المزامنة |
تشغيل المزامنة | معرّف تشغيل المزامنة |
رقم تعريف العنصر الهدف | معرّف العنصر المستهدف، مثل user@example.com |
عدد العناصر المُعدَّلة | عدد العناصر التي تم تعديلها أثناء تشغيل المزامنة |
التسجيل المطوَّل | ما إذا كانت هناك سجلات تفصيلية عن عناصر فردية |
ملاحظة: في حال منحت أحد المستخدمين اسمًا جديدًا، لن تظهر لك نتائج طلبات بحث باسم المستخدم القديم. على سبيل المثال، في حال غيّرت OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج الأحداث المرتبطة بـ OldName@example.com.
إدارة بيانات أحداث السجلّات
إدارة بيانات أعمدة نتائج البحث
يمكنك التحكّم في أعمدة البيانات التي تظهر في نتائج البحث.
- في أعلى يسار جدول نتائج البحث، انقر على رمز إدارة الأعمدة .
- (اختياري) لإزالة الأعمدة الحالية، انقر على رمز الإزالة .
- (اختياري) لإضافة أعمدة، بجانب إضافة عمود جديد، انقر على السهم المتجه للأسفل واختَر عمود البيانات.
يمكنك تكرار هذه الخطوات حسب الحاجة. - (اختياري) لتغيير ترتيب الأعمدة، اسحب أسماء أعمدة البيانات.
- انقر على حفظ.
تصدير بيانات نتائج البحث
يمكنك تصدير نتائج البحث إلى "جداول بيانات Google" أو إلى ملف CSV.
- في أعلى جدول نتائج البحث، انقر على تصدير الكل.
- أدخِل اسمًا انقر على تصدير.
تُعرض عملية التصدير أسفل جدول نتائج البحث ضمن تصدير نتائج الإجراء. - لعرض البيانات، انقر على اسم عملية التصدير.
تظهر عملية التصدير في "جداول بيانات Google".
اختلاف حدود التصدير:
- يقتصر إجمالي نتائج عملية التصدير على 100,000 صف (باستثناء عمليات البحث في رسائل Gmail التي تقتصر على 10,000 صف).
- الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك
إذا كانت لديك أداة التحقيق الأمني، يقتصر إجمالي نتائج عملية التصدير على 30 مليون صف (باستثناء عمليات البحث في رسائل Gmail التي تقتصر على 10,000 صف).
لمزيد من المعلومات، يمكنك الاطّلاع على تصدير نتائج البحث.
متى تُتاح البيانات وما هي مدة إتاحتها؟
اتخاذ الإجراءات بناءً على نتائج البحث
- يمكنك إعداد التنبيهات بناءً على بيانات أحداث السجلّات باستخدام قواعد إعداد التقارير. للحصول على التعليمات، يمكنك الاطّلاع على إنشاء قواعد النشاط وإدارتها.
- الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك
للمساعدة على منع مشاكل الأمان ورصدها وحلها بكفاءة، يمكنك تنفيذ الإجراءات تلقائيًا في أداة التحقيق الأمني وإعداد التنبيهات من خلال إنشاء قواعد النشاط. لإعداد قاعدة، عليك إعداد شروط للقاعدة، ثم اختيار الإجراءات التي سيتم تنفيذها عند استيفاء الشروط. للحصول على التفاصيل والتعليمات، يمكنك الاطّلاع على إنشاء قواعد النشاط وإدارتها.
الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك
بعد إجراء عملية بحث في أداة التحقيق الأمني، يمكنك اتخاذ إجراء بناءً على نتائج البحث. مثلاً، يمكنك إجراء عملية بحث بناءً على أحداث سجلّ Gmail، ثم استخدام الأداة بعد ذلك لحذف رسائل محدَّدة أو إرسال الرسائل إلى وحدة العزل أو إلى صناديق البريد الوارد للمستخدمين. لمزيد من التفاصيل، يُرجى الانتقال إلى مقالة اتخاذ إجراء بناءً على نتائج البحث.
إدارة تحقيقاتك
الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك
عرض قائمة التحقيقاتلعرض قائمة بالتحقيقات التي تمتلكها والتي تمت مشاركتها معك، انقر على "عرض التحقيقات". وتتضمن قائمة التحقيقات أسماء التحقيقات وأوصافها ومالكيها وتاريخ آخر تعديل.
من هذه القائمة، يمكنك اتخاذ إجراء بشأن أي تحقيقات تمتلكها، مثلاً، لحذف تحقيق. ضَع علامة في المربع بجانب التحقيق، ثم انقر على الإجراءات.
ملاحظة: أعلى قائمة التحقيقات مباشرةً، ضمن الوصول السريع، يمكنك عرض التحقيقات المحفوظة مؤخرًا.
بصفتك مشرفًا متميزًا، انقر على "الإعدادات" لإجراء ما يلي:
- تغيير المنطقة الزمنية للتحقيقات. تنطبق المنطقة الزمنية على شروط البحث ونتائجه.
- تفعيل إعداد المطالبة بمراجعين أو إيقافه. للتعرُّف على المزيد من التفاصيل، انتقِل إلى المطالبة بمراجعين لتنفيذ الإجراءات المُجمَّعة.
- تفعيل إعداد عرض المحتوى أو إيقافه. يسمح هذا الإعداد للمشرفين الذين يمتلكون الامتيازات المناسبة بعرض المحتوى.
- تفعيل إعداد تفعيل تبرير الإجراء أو إيقافه.
للحصول على التعليمات والتفاصيل، يُرجى الانتقال إلى ضبط إعدادات تحقيقاتك.
لحفظ معايير البحث أو مشاركتها مع الآخرين، يمكنك إنشاء تحقيق وحفظه، ثم مشاركته أو تكراره أو حذفه.
لمعرفة التفاصيل، يُرجى الانتقال إلى حفظ التحقيقات ومشاركتها وحذفها وتكرارها.