In qualità di amministratore della tua organizzazione, puoi utilizzare lo strumento di indagine sulla sicurezza per eseguire ricerche e intervenire sui problemi di sicurezza correlati agli eventi del log delle azioni relative ai dati degli amministratori. Puoi visualizzare un record delle azioni eseguite nello strumento di indagine sulla sicurezza o nell'API Admin SDK Reports di Google Workspace, ad esempio quando un amministratore ha eseguito l'accesso, rimosso e ripristinato i dati sensibili da qualsiasi evento.
Accesso allo strumento di indagine sulla sicurezza
- Le versioni supportate per lo strumento di indagine sulla sicurezza includono Enterprise Plus, Education Standard, Education Plus ed Enterprise Essentials Plus.
- Inoltre, gli amministratori di Cloud Identity Premium, Frontline Standard, Enterprise Standard ed Education Standard possono utilizzare lo strumento di indagine per un sottoinsieme di origini dati.
- La possibilità di eseguire ricerche nello strumento di indagine dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Se non riesci a eseguire una ricerca nello strumento di indagine per un'origine dati specifica, in genere puoi utilizzare la pagina Controllo e indagine. Per saperne di più, vedi Esperienza di controllo e indagine migliorata.
- Puoi eseguire una ricerca nello strumento di indagine per tutti gli utenti, indipendentemente dalla versione di Google che utilizzano.
Inoltrare i dati sugli eventi dei log a Google Cloud
Puoi attivare la condivisione dei dati sugli eventi dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.
Eseguire una ricerca di eventi dei log delle Azioni per i dati degli amministratori
(Avanzate) Se vuoi automatizzare le query quando esegui una ricerca, puoi utilizzare l'API Admin SDK Reports. Per maggiori dettagli, vai a Panoramica dell'API Reports.
Per eseguire una ricerca nello strumento di indagine, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Fai clic su Origine dati e seleziona Eventi del log delle azioni dei dati per gli amministratori.
- Fai clic su Aggiungi condizione.
Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate. - Fai clic su Attributo seleziona un'opzione.
Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito. - Fai clic su Contieneseleziona un operatore.
- Inserisci un valore o selezionane uno dall'elenco a discesa.
- (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
- Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina. - (Facoltativo) Per salvare la tua indagine, fai clic su Salva inserisci un titolo e una descrizionefai clic su Salva.
Nota:
- Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
- Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
Descrizioni degli attributi
Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:
Attributo | Descrizione |
---|---|
Attore | Indirizzo email dell'utente che ha eseguito l'azione. |
Origine dati evento target |
Applicazione da cui i dati sono stati consultati, rimossi o ripristinati Un evento può essere identificato in modo univoco da tre campi:
|
Data | La data e l'ora dell'evento (nel fuso orario predefinito del browser). |
ID eventi target |
ID evento dei dati a cui è stato eseguito l'accesso, che sono stati rimossi o ripristinati Un evento può essere identificato in modo univoco da tre campi:
|
Query di ricerca | Filtri applicati nella query utilizzati per recuperare o elaborare i dati |
Motivazione | Spiegazione fornita dall'amministratore, se per l'azione è richiesto un testo di motivazione |
Data evento target |
Data in cui si è verificato l'evento target Un evento può essere identificato in modo univoco da tre campi:
|
Adottare azioni basate sui risultati di ricerca
Dopo aver eseguito una ricerca nello strumento di indagine, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento di indagine per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli sulle azioni che puoi eseguire nello strumento di indagine, vedi Adottare azioni basate sui risultati di ricerca.
Gestire le indagini
Espandi tutto | Comprimi tutto e torna all'inizio della pagina
Visualizzare il proprio elenco di indaginiPer visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini. L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.
Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.
Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.
Come super amministratore, puoi fare clic su Impostazioni per:
- Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
- Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
- Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
- Attivare o disattivare l'opzione Abilita motivazione azione.
Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.
Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.
- Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne.
- (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi elemento.
- (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
Ripeti questa operazione in base alle necessità. - (Facoltativo) Per modificare l'ordine delle colonne, puoi trascinarne il nome.
- Fai clic su Salva.
Nello strumento di indagine puoi esportare i risultati di ricerca in Fogli Google o in un file CSV. Per le istruzioni, vedi Esportare i risultati di ricerca.
Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.
Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.
Per saperne di più sulle origini dati, vedi Conservazione dei dati e tempi di attesa.