En fonction de votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation de sécurité, qui offre des fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité. En savoir plus
Transférer les données des événements de journaux vers Google Cloud
Vous pouvez accepter de partager les données des événements de journaux avec Google Cloud. Si vous activez le partage, les données sont transférées vers Cloud Logging, où vous pouvez interroger et consulter vos journaux, et contrôler comment ils sont acheminés et stockés.
Rechercher des événements de journaux
Votre capacité à effectuer une recherche dépend de votre édition de Google Workspace, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.
Outil d'audit et d'investigation
Pour rechercher des événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Création de rapports Audit et enquête Événements du journal d'administration.
- Cliquez sur Ajouter un filtre, puis sélectionnez un attribut.
- Dans la fenêtre pop-up, sélectionnez un opérateursélectionnez une valeurcliquez sur Appliquer.
- (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
- (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de Ajouter un filtre.
- (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
- (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de Ajouter un filtre.
- Cliquez sur Rechercher.
-
Remarque: L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.
Outil d'investigation de sécurité
Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Sécurité Centre de sécurité Outil d'investigation.
- Cliquez sur Source de données et sélectionnez Événements du journal d'administration.
- Cliquez sur Ajouter une condition.
Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées. - Cliquez sur Attributsélectionnez une option.
Pour obtenir la liste complète des attributs, consultez Descriptions des attributs ci-dessous. - Sélectionnez un opérateur.
- Saisissez une valeur ou sélectionnez-en une dans la liste déroulante.
- (Facultatif) Pour ajouter d'autres critères de recherche, répétez les étapes 4 à 7.
- Cliquez sur Rechercher.
Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page. - (Facultatif) Pour enregistrer votre enquête, cliquez sur Enregistrer saisissez un titre et une descriptioncliquez sur Enregistrer.
Remarque :
- Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
- Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
Attribut | Description |
---|---|
Action(s)* | Action(s) effectuée(s) par l'administrateur à l'aide de l'outil d'investigation de sécurité ou d'une règle d'activité. Pour en savoir plus sur les actions qu'un administrateur peut réaliser, consultez Effectuer des actions en fonction des résultats de recherche. |
Utilisateur |
Adresse e-mail de l'utilisateur ayant réalisé l'activité. À la place d'une adresse e-mail, vous pouvez voir :
|
Nom de groupe de l'acteur |
Nom de groupe de l'utilisateur Pour en savoir plus, consultez Filtrer les résultats par groupe Google. Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :
|
Unité organisationnelle de l'acteur | Unité organisationnelle de l'utilisateur |
Informations supplémentaires | Autres informations contextuelles sur l'événement |
Date de début* | Utilisez les options Date de début et Date de fin pour filtrer les événements qui incluent une plage de dates de début et de fin spécifique, comme les événements "Vue détaillée du graphique". Remarque : Pour rechercher des événements se déroulant dans une plage de dates, utilisez l'attribut Date. |
Source de données* | La source de données dans l'outil d'investigation ou la source de l'alerte dans le centre d'alerte |
Date | La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur) |
ID de l'appareil* | ID de l'appareil concerné par cet événement d'audit. Par exemple, si un administrateur efface les données d'un appareil détenu par l'entreprise, ce champ indique l'ID de l'appareil. |
Type d'appareil | Type d'appareil concerné par cet événement d'audit. Par exemple, si un administrateur efface les données d'un appareil détenu par l'entreprise, ce champ indique le type d'appareil. |
Nom de domaine | Le domaine où l'action s'est produite |
Date de fin* | Utilisez les options Date de début et Date de fin pour filtrer les événements qui incluent une plage de dates de début et de fin spécifique, comme les événements "Vue détaillée du graphique". Remarque : Pour rechercher des événements se déroulant dans une plage de dates, utilisez l'attribut Date. |
Événement |
Action d'événement consignée, telle que Requête d'enquête ou Création de règle d'activité. Sous Valeur de l'événement, les événements sont regroupés par type (par exemple, Paramètres utilisateur ou Paramètres du domaine). La plupart des valeurs liées aux événements sont explicites. Par exemple, sous Paramètres du domaine, Ajouter une application est la valeur de recherche d'une application qui a été ajoutée à votre domaine. Vous pouvez rechercher des événements dans le champ de recherche. Conseil : Si vous utilisez souvent certaines valeurs d'événement, épinglez-les en haut du menu déroulant. |
Édition Google Workspace* | Édition Google Workspace de l'administrateur (acteur) qui a effectué l'action. |
Adresse e-mail du groupe |
Adresse e-mail du groupe Google concerné par cette activité |
Adresse IP | Adresse du protocole Internet (IP) associée à l'action consignée. Celle-ci désigne généralement la position géographique de l'utilisateur, mais elle peut également correspondre à l'adresse d'un serveur proxy ou d'un réseau privé virtuel (VPN). |
Justification* | Si une justification était requise pour l'action, explication fournie par l'administrateur |
ID du message* | ID de l'e-mail concerné par cet événement d'audit |
Nouvelle valeur* | Nouvelle valeur du paramètre s'il est mis à jour |
Ancienne valeur* | Ancienne valeur du paramètre s'il est mis à jour |
ID des ressources* | ID d'une ou de plusieurs ressources concernées par l'événement d'audit |
Nom de la ressource* | Nom de la ressource concernée par l'événement d'audit |
Type de ressource* | Type de la ressource concernée par l'événement d'audit |
Requête de recherche | Requête utilisée pour récupérer ou traiter des données. Par exemple, la requête utilisée dans la recherche de l'outil d'investigation lors de la création de règles d'activité ou de celle d'un fichier de vidage d'e-mail. |
Nom du paramètre | Nom du paramètre mis à jour. |
Définition du nom de l'unité organisationnelle | Les paramètres de la console d'administration peuvent être limités à une unité organisationnelle. Lorsqu'un paramètre est mis à jour et qu'il est limité à une unité organisationnelle, le nom de l'unité organisationnelle s'affiche dans ce champ. |
Cible* | Adresse e-mail cible de l'événement. Il peut s'agir, par exemple, de l'adresse e-mail de destination lors de la création d'une surveillance des e-mails ou de l'adresse e-mail de la personne chargée de la vérification lorsque vous effectuez une action groupée dans l'outil d'investigation. |
Nombre total d'entités concernées* | Nombre total d'entités concernées par l'événement d'audit. Il peut s'agir, par exemple, du nombre d'utilisateurs importés lors d'une importation groupée dans un groupe, ou du nombre d'actions déclenchées par un déclencheur de règle d'activité. Ce champ contextuel dépend de l'événement. |
Nombre total d'entités en échec* | Nombre total d'opérations ayant échoué. Il peut s'agir, par exemple, du nombre d'utilisateurs pour lesquels l'importation a échoué lors de l'importation groupée d'utilisateurs dans un groupe, ou du nombre d'actions ayant échoué dans le cadre d'un déclencheur de règle d'activité. Ce champ contextuel dépend de l'événement. |
Adresse e-mail de l'utilisateur | Adresse e-mail de l'utilisateur ayant réalisé l'action |
Remarque : Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.
Gérer les données d'événement des journaux
Gérer les données des colonnes de résultats de recherche
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
- (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
Exporter les données des résultats de recherche
Vous pouvez exporter les résultats de recherche dans Google Sheets ou un fichier CSV.
- En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
- Saisissez un nom cliquez sur Exporter.
L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action. - Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Google Sheets.
Les limites d'exportation varient :
- Le total de résultats de l'exportation est limité à 100 000 lignes (sauf pour les recherches de messages Gmail, qui sont limitées à 10 000 lignes).
- Éditions compatibles avec cette fonctionnalité : Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Comparer votre édition
Si vous disposez de l'outil d'investigation de sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes (sauf pour les recherches de messages Gmail, qui sont limitées à 10 000 lignes).
Pour en savoir plus, consultez Exporter les résultats d'une recherche.
Quand et pendant combien de temps les données sont-elles disponibles ?
Effectuer des actions en fonction des résultats de recherche
- Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
- Éditions compatibles avec cette fonctionnalité : Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Comparer votre édition
Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus et obtenir des instructions, consultez Créer et gérer des règles d'activité.
Éditions compatibles avec cette fonctionnalité : Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Comparer votre édition
Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.
Gérer vos enquêtes
Éditions compatibles avec cette fonctionnalité : Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Comparer votre édition
Afficher la liste d'enquêtesPour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification.
Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.
Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.
En tant que super-administrateur, cliquez sur Paramètres pour effectuer les actions suivantes :
- Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
- Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
- Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
- Activer ou désactiver l'option Activer la justification des actions.
Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.
Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.
Pour en savoir plus, consultez Enregistrer et partager des enquêtes.
Articles associés au centre de sécurité
- Utiliser l'outil d'investigation avec le tableau de bord de sécurité
- Créer un graphique personnalisé basé sur une investigation
- Lancer une enquête à partir du centre d'alerte
- Examiner les rapports d'e-mails malveillants
- Effectuer une recherche dans le partage de fichiers
- Rechercher un utilisateur dans différentes sources de données