Как администратор организации, вы можете с помощью инструмента "Анализ безопасности" искать события в журнале действий с данными администратора, использовать их при устранении проблем, связанных с безопасностью, а также проверять записи о действиях, выполненных с помощью инструмента "Анализ безопасности" или Reports API из Google Workspace Admin SDK, например когда администратор посмотрел, удалил или восстановил конфиденциальные данные каких-либо событий.
Доступ к инструменту "Анализ безопасности"
- Инструмент "Анализ безопасности" доступен в версиях Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus.
- Администраторы Cloud Identity Premium, Frontline Standard, Enterprise Standard и Education Standard также могут использовать инструмент "Анализ безопасности", но список источников данных для них ограничен.
- Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, можно найти информацию на странице аудита и анализа. Подробнее о расширенных возможностях аудита и анализа…
- В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.
Как пересылать данные о событиях в Google Cloud
Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.
Как найти события из журнала действий с данными администратора
Если вы хотите автоматизировать запросы при поиске, можете использовать Reports API из Admin SDK. Подробную информацию можно найти в статье Общие сведения о Reports API.
Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска. Присвойте каждому условию атрибут, оператор и значение.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню БезопасностьЦентр безопасностиИнструмент "Анализ безопасности".
- Нажмите Источник данных и выберите События журнала действий с данными администратора.
- Нажмите Добавить условие.
Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске… - Нажмите Атрибутвыберите нужный вариант.
Полный список атрибутов приведен в разделе Описания атрибутов ниже. - Нажмите Содержитвыберите оператор.
- Введите значение или выберите его в раскрывающемся списке.
- Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
- Нажмите Поиск.
Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы. - Чтобы сохранить анализ, нажмите Сохранить введите название и описаниеСохранить.
Примечания
- На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
- Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если OldName@example.com заменили на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
Атрибут | Описание |
---|---|
Исполнитель | Адрес электронной почты пользователя, совершившего действие. |
Источник данных целевого события |
Приложение, содержащее данные, к которым был получен доступ, которые были удалены или восстановлены. Каждое событие уникальным образом идентифицируется по трем полям:
|
Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
Идентификаторы целевых событий |
Идентификаторы событий для данных, к которым был получен доступ, которые были удалены или восстановлены. Каждое событие уникальным образом идентифицируется по трем полям:
|
Поисковый запрос | Фильтры, которые были применены в запросе, использованном для получения или обработки данных. |
Обоснование | Если для выполнения действия необходимо предоставить обоснование, то его текст составляется администратором. |
Дата целевого события |
Дата, когда произошло целевое событие. Каждое событие уникальным образом идентифицируется по трем полям:
|
Какие действия можно выполнить с результатами поиска
Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробная информация о возможных действиях в инструменте "Анализ безопасности" приведена в статье Какие действия можно выполнять с результатами поиска.
Как управлять процессом анализа
Развернуть все | Свернуть все и перейти к началу
Как посмотреть список анализовЧтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставили доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.
На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.
Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.
Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:
- Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
- Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
- Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
- Включить или отключить параметр Включить обоснование действия.
Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы результатов поиска нажмите на значок "Управление столбцами" .
- Чтобы удалить отображаемые столбцы, нажмите на значок "Удалить" .
- Чтобы добавить столбцы, рядом с надписью "Добавить столбец" нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия для другого запроса. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Результаты поиска в инструменте "Анализ безопасности" можно экспортировать в таблицу Google или CSV-файл. Подробные инструкции приведены в статье Как экспортировать результаты поиска.
Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.
Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.
Чтобы узнать больше об источниках данных, изучите статью Задержки при обновлении отчетов и сроки хранения данных.