Zdarzenia z dziennika urządzenia

Sprawdzanie aktywności na urządzeniach należących do organizacji

W zależności od używanej wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji

Jako administrator organizacji możesz wyszukiwać problemy z zabezpieczeniami związane ze zdarzeniami z dziennika urządzenia i podejmować odpowiednie działania. Możesz wyświetlić rejestr działań na komputerach, urządzeniach mobilnych i inteligentnych urządzeniach domowych, które są używane do uzyskiwania dostępu do danych Twojej organizacji. Możesz na przykład sprawdzić, kiedy dany użytkownik dodał swoje konto na urządzeniu lub czy hasło do urządzenia spełnia wymagania zasad dotyczących haseł. Możesz też skonfigurować alert, aby otrzymać powiadomienie, gdy wystąpi określone działanie.

Zanim zaczniesz

  • Aby można było sprawdzić wszystkie zdarzenia kontroli dotyczące urządzeń mobilnych, urządzenia te muszą być zarządzane za pomocą funkcji zaawansowanego zarządzania urządzeniami
  • Aby można było zobaczyć zmiany w aplikacjach na urządzeniach z Androidem, musisz włączyć kontrolę aplikacji.
  • Ta funkcja nie udostępnia informacji o działaniach dotyczących urządzeń, które synchronizują firmowe dane za pomocą Google Sync.
  • Jeśli przejdziesz na wersję, która nie obsługuje dziennika kontrolnego, dziennik ten przestanie gromadzić dane dotyczące nowych zdarzeń. Stare dane wciąż jednak będą dostępne dla administratorów.

Przeprowadzanie wyszukiwania zdarzeń z dziennika

Możliwość przeprowadzania wyszukiwania zależy od wersji Google, Twoich uprawnień administracyjnych i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Raportowanie a potem Kontrola i analiza zagrożeń a potem Zdarzenia z dziennika urządzenia.
  3. Kliknij Dodaj filtr, a następnie wybierz atrybut.
  4. W wyskakującym okienku wybierz operator a potem wybierz wartość a potem kliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj.

    Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń
Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz menu  a potem  Zabezpieczenia a potemCentrum bezpieczeństwa a potemNarzędzie do analizy zagrożeń.
  3. Kliknij Źródło danych i wybierz Zdarzenia z dziennika urządzenia.
  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów poniżej.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz kroki 4–7.
  9. Kliknij Szukaj.
    W narzędziu do analizy zagrożeń wyniki wyszukiwania są wyświetlane w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwaga:

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą stara_nazwa@example.com.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Stan konta Wskazuje, czy konto jest zarejestrowane czy niezarejestrowanie.
Nazwa grupy

Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google.

Aby dodać grupę do listy dozwolonych grup filtrowania:

  1. Kliknij Nazwa grupy.
  2. Kliknij Grupy filtrowania.
    Pojawi się strona Grupy filtrowania.
  3. Kliknij Dodawanie grup.
  4. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją.
  5. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz.
  6. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj.
  7. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę .
  8. Kliknij Zapisz.
Jednostka organizacyjna użytkownika, który wykonał czynność Jednostka organizacyjna użytkownika, który wykonał czynność.
Identyfikator aplikacji Identyfikator aplikacji.
Identyfikator SHA-256 aplikacji W przypadku zdarzeń związanych z aplikacjami jest to identyfikator SHA-256 pakietu aplikacji (tylko urządzenia z Androidem).
Stan aplikacji Określa, czy aplikacja jest zainstalowana, odinstalowana lub zaktualizowana.
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Stan zgodności urządzenia z zasadami

Wskazuje, czy urządzenie jest zgodne z zasadami organizacji

Urządzenie jest oznaczane jako niezgodne, jeśli:

Przykład: urządzenie Nexus 6P użytkownika jest niezgodne ze skonfigurowanymi zasadami, ponieważ nie przestrzega zasad dotyczących haseł.
Zmiana stanu przejęcia urządzenia

Wskazuje, czy urządzenie zostało przejęte. Naruszenie zabezpieczeń to rootowanie lub jailbreak urządzenia – są to procesy usuwające ograniczenia. Takie zhakowane urządzenia stanowią potencjalne zagrożenie bezpieczeństwa.

System rejestruje wpis za każdym razem, gdy zabezpieczenia urządzenia użytkownika zostają naruszone lub przestają być naruszone.

Przykład: nazwa-użytkownika Nexus 5 is compromised (Urządzenie Nexus 5 użytkownika nazwa-użytkownika zostało zhakowane).
Identyfikator urządzenia Identyfikator urządzenia, na którym wystąpiło zdarzenie.
Model urządzenia Model urządzenia.
Właściciel urządzenia Właściciel urządzenia.
Własność urządzenia

Wskazuje, czy zmieniła się własność urządzenia.

Na przykład urządzenie prywatne stało się urządzeniem należącym do firmy po zaimportowaniu jego szczegółów w konsoli administracyjnej.

Ta kontrola zachodzi natychmiast po dodaniu urządzenia należącego do firmy w konsoli administracyjnej. Jeśli urządzenie należące do firmy zostanie usunięte z konsoli administracyjnej, kontrola zajdzie podczas następnej synchronizacji (po jego ponownym zarejestrowaniu w funkcji zarządzania).

Przykład: Własność urządzenia Nexus 5 użytkownika zmieniła się na urządzenie należące do firmy, nowy identyfikator to abcd1234.
Właściwość urządzenia Informacje o urządzeniu, takie jak Model urządzenia, Numer seryjny lub Adres MAC sieci Wi-Fi
Ustawienie urządzenia

Użytkownik urządzenia zmienił na swoim urządzeniu ustawienie opcji programisty, nieznanych źródeł, debugowania USB lub weryfikowania aplikacji.

To zdarzenie jest rejestrowane podczas następnej synchronizacji urządzenia.

Przykład: Verify Apps changed from off to on by nazwa-użytkownika on Nexus 6P (Użytkownik nazwa-użytkownika zmienił ustawienie Weryfikowanie aplikacji z wyłączone na włączone na urządzeniu Nexus 6P).
Typ urządzenia Typ urządzenia, na którym wystąpiło zdarzenie, np. urządzenie z Androidem lub Apple iOS.
Domena* Domena, w której wykonano czynność
Zdarzenie Zarejestrowane zdarzenie, na przykład aktualizacja systemu operacyjnego urządzenia lub zdarzenie synchronizacji urządzenia.
Nieudane próby podania hasła*

Liczba nieudanych prób odblokowania urządzenia przez użytkownika.

Zdarzenie jest generowane tylko w przypadku, gdy użytkownik wykona więcej niż 5 nieudanych prób odblokowania ekranu.

Przykład: 5 nieudanych prób odblokowania urządzenia Nexus 7 użytkownika
Identyfikator dostawcy iOS Identyfikator dostawcy iOS.
Nowy identyfikator urządzenia Identyfikator nowego urządzenia.
Właściwość systemu operacyjnego Informacje o systemie operacyjnym, takie jak numer kompilacji, wersja systemu operacyjnego lub poprawka zabezpieczeń.
Uprawnienia do rejestracji Rola użytkownika na urządzeniu, na przykład właściciel urządzenia lub administrator urządzenia.
Identyfikator zasobu Unikalny identyfikator urządzenia.
Numer seryjny

Numer seryjny urządzenia.

Aby wyświetlić numery seryjne komputerów:
Adres e-mail użytkownika Adres e-mail użytkownika urządzenia.
* Nie możesz utworzyć reguł raportowania z tymi filtrami. Dowiedz się więcej o regułach raportowania i regułach związanych z aktywnością.

Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta StaraNazwa@example.com na NowaNazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą StaraNazwa@example.com.

Zarządzanie danymi zdarzeń z dziennika

Zarządzanie danymi w kolumnie wyników wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
  3. (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół  i wybierz kolumnę danych.
    W razie potrzeby powtórz tę czynność.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
  5. Kliknij Zapisz.

Eksportowanie danych wyników wyszukiwania

Wyniki wyszukiwania możesz wyeksportować do Arkuszy Google lub do pliku CSV.

  1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
  2. Wpisz nazwę a potem kliknij Eksportuj.
    Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
  3. Aby wyświetlić dane, kliknij nazwę eksportu.
    Eksport otworzy się w Arkuszach Google.

Limity eksportu różnią się od siebie:

  • Limit liczby eksportowanych wyników wynosi 100 tys. wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 10 tys. wierszy.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji

    Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 10 tys. wierszy.

Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Kiedy i jak długo dane są dostępne?

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów
  • Korzystając z reguł raportowania, możesz skonfigurować alerty na podstawie danych zdarzenia z dziennika. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Szczegółowe informacje i instrukcje znajdziesz w artykule o tworzeniu reguł związanych z aktywnością i zarządzaniu nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele szablonów analizy zagrożeń oraz daty ostatniej modyfikacji. 

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok danego szablonu analizy zagrożeń i kliknij Czynności.

Uwaga: bezpośrednio nad listą szablonów analizy zagrożeń w sekcji Szybki dostęp możesz wyświetlić ostatnio zapisane szablony analizy zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby:

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Odpowiednie informacje i instrukcje znajdziesz w artykule na temat konfigurowania ustawień analizy zagrożeń.

Udostępnianie, usuwanie i powielanie szablonów analizy zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.

Powiązane artykuły w Centrum bezpieczeństwa

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
1812635058467715689
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false