В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…
Как пересылать данные о событиях в Google Cloud
Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.
Как искать события журнала
Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.
Инструмент "Аудит и анализ"
Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.
-
Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
-
Нажмите на значок меню
Отчеты > Аудит и анализ > Журнал аудита администратора.
Вам необходимо использовать аккаунт администратора с доступом к отчетам.
- Нажмите Добавить фильтр и выберите атрибут.
- Во всплывающем окне выберите оператор
выберите значение
- Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Нажмите Поиск.
-
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.
Инструмент "Анализ безопасности"
Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.
-
Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
-
Нажмите на значок меню
Безопасность > Центр безопасности > Инструмент "Анализ безопасности".
У вас должны быть права администратора с доступом к центру безопасности.
- Нажмите Источник данных и выберите Журнал аудита администратора.
- Нажмите Добавить условие.
Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске… - Нажмите Атрибут
Полный список атрибутов приведен в разделе Описания атрибутов ниже. - Выберите оператор.
- Введите значение или выберите его в раскрывающемся списке.
- Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
- Нажмите Поиск.
Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы. - Чтобы сохранить анализ, нажмите Сохранить
Примечания
- На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
- Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если OldName@example.com заменили на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
| Атрибут | Описание |
|---|---|
| Действия* | Действия администратора, при которых он использовал инструмент "Анализ безопасности" или правило действий. Более подробные сведения о том, что он может в таких случаях предпринимать, вы найдете в статье Какие действия можно выполнять с результатами поиска. |
| Исполнитель |
Адрес электронной почты пользователя, совершившего действие. Вместо такого адреса может быть указана следующая информация:
|
| Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
| Организационное подразделение исполнителя | Организационное подразделение, к которому относится исполнитель. |
| Дополнительная информация | Дополнительные данные, относящиеся к контексту события. |
| Дата начала* | Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата. |
| Источник данных* | Источник данных в инструменте "Анализ безопасности" или источник оповещения в Центре оповещений. |
| Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
| Идентификатор устройства* | Идентификатор устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется идентификатор устройства. |
| Тип устройства | Тип устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется тип устройства. |
| Доменное имя | Домен, в котором было выполнено действие. |
| Дата окончания* | Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата. |
| Событие |
Действие в зарегистрированном событии, например Запрос анализа или Создание правила активности. В разделе Значение события приведен список событий, объединенных в группы, например по категориям Настройки пользователя или Настройки домена. Большинство значений имеют понятные названия, разъясняющие их суть. Например, Добавление приложения в разделе Настройки домена – это значение, позволяющее найти приложение, которое было добавлено в ваш домен. Вы можете искать события при помощи окна поиска. Совет. Если вы часто используете некоторые значения событий, закрепите эти события в верхней части раскрывающегося меню. |
| Версия Google Workspace* | Версия Google Workspace для администратора, который выполняет действия и указан в атрибуте "Исполнитель". |
|
Адрес электронной почты группы |
Адрес электронной почты группы Google, затронутой этим действием. |
| IP-адрес | IP-адрес, с которого было совершено зарегистрированное действие. Обычно соответствует местоположению администратора, но это может быть и адрес прокси-сервера или виртуальной частной сети (VPN). |
| Причина* | Если для выполнения действия необходимо предоставить обоснование, то его текст составляется администратором. |
| Идентификатор сообщения* | Идентификатор сообщения электронного письма, затронутого событием аудита. |
| Новое значение* | Новое значение настройки в случае ее изменения. |
| Старое значение* | Старое значение измененной настройки. |
| Идентификаторы ресурса* | Идентификаторы одного или нескольких ресурсов, затронутых событием аудита. |
| Название ресурса* | Название ресурса, затронутого событием аудита. |
| Тип ресурса* | Тип ресурса, затронутого событием аудита. |
| Поисковый запрос | Запрос, который осуществляется для получения и обработки данных. Например, к этой категории относятся запросы, которые используются при поиске с помощью инструмента "Анализ безопасности", при создании правил активности или при создании пакета разгрузки памяти электронной почты. |
| Категория настройки | Категория измененной настройки. |
| Название настройки | Название измененной настройки. |
| Название организационного подразделения, к которому относится параметр | Настройки в консоли администратора можно ограничить организационным подразделением. Когда обновление настроек распространяется на организационное подразделение, в этом поле отображается название такого подразделения. |
| Адресат* | Электронный адрес пользователя, имеющего отношение к событию. Например, адрес, добавленный для отслеживания электронной почты, или адрес электронной почты проверяющего при выполнении массового действия в инструменте "Анализ безопасности". |
| Всего затронутых объектов* | Общее количество объектов, затронутых событием аудита. Например, это может быть количество пользователей, которые были загружены при массовой загрузке пользователей в группу, или количество действий, которые были запущены в рамках активации правила активности. Это поле является контекстным и зависит от события. |
| Всего сбоев* | Общее количество невыполненных операций. Например, это может быть количество пользователей, которых не удалось добавить при массовой загрузке пользователей в группу, или количество действий, которые не были выполнены в рамках активации правила активности. Это поле является контекстным и зависит от события. |
| Адрес электронной почты пользователя | Адрес электронной почты пользователя, совершившего действие. |
Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если StaroeImya@example.com заменить на NovoeImya@example.com, в результатах поиска не будет событий, связанных с пользователем StaroeImya@example.com.
Как работать с данными о событиях в журнале
Как управлять столбцами данных в результатах поиска
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами"
.
- Чтобы удалить отображаемые столбцы, нажмите "Удалить"
.
- Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз
и выберите вариант из списка.
При необходимости повторите действия для другого запроса. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Как экспортировать результаты поиска
Результаты поиска можно экспортировать в таблицу Google или CSV-файл.
- В верхней части таблицы результатов поиска нажмите Экспортировать все.
- Введите название
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы посмотреть экспортированные данные, нажмите на название файла.
Данные откроются в Google Таблицах.
На экспорт накладываются различные ограничения:
- Ограничение на объем экспорта результатов: 100 000 строк.
- Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).
Подробнее об экспорте результатов поиска…
Когда данные становятся доступны и как долго они хранятся?
Какие действия можно выполнить с результатами поиска
- Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как работать с правилами создания отчетов и настраивать оповещения…
- Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности…
Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска…
Как управлять процессом анализа
Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Как посмотреть список анализовЧтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.
На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.
Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.
Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:
- Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
- Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
- Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
- Включить или отключить параметр Включить обоснование действия.
Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.
Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.
Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.
