Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше
Адміністратори організації можуть шукати й усувати проблеми з безпекою, пов’язані з подіями в журналі пристрою. Ви можете переглянути записи про дії на комп’ютерах, мобільних пристроях і пристроях розумного дому, які використовуються для доступу до даних організації. Наприклад, ви можете дізнатися, коли користувач додав свій обліковий запис на пристрій або чи відповідає пароль пристрою вашим правилам. Крім того, можна налаштувати сповіщення, які повідомлятимуть про певні дії.Перш ніж почати
- Щоб переглянути всі події, пов’язані з перевіркою, для мобільних пристроїв, потрібно налаштувати розширені функції керування пристроями.
- Щоб переглянути зміни в додатках на пристроях Android, потрібно ввімкнути перевірку додатків.
- Не можна переглядати дії на пристроях, які синхронізують корпоративні дані за допомогою Google Sync.
- Якщо повернутися до версії, яка не підтримує журнал аудиту, цей журнал припинить збирати дані про нові події. Однак адміністратори й далі матимуть доступ до старих даних.
Як надсилати дані про події в журналі в Google Cloud
Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.
Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.
Як шукати події в журналі
Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.
Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
Звіти
Аудит і аналіз
- Натисніть Додати фільтр і виберіть атрибут.
- У спливаючому вікні виберіть оператор
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- Натисніть Пошук.
-
Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.
Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
Безпека
- Натисніть Джерело даних і виберіть Події в журналі пристрою.
- Натисніть Додати умову.
Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю. - Натисніть Атрибут
Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці). - Виберіть оператор.
- Введіть значення або виберіть значення зі списку.
- (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
- Натисніть Пошук.
Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки. - Необов’язково: щоб зберегти аналіз, натисніть значок
Примітки
- На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
- Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.
Опис атрибутів
Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:
| Атрибут | Опис |
|---|---|
| Стан облікового запису | Статус реєстрації облікового запису |
| Назва групи виконавця |
Назва групи виконавця Щоб дізнатися більше, перегляньте статтю Фільтрування результатів за групами Google. Щоб додати групу до списку дозволених, виконайте наведені нижче дії.
|
| Організаційний підрозділ виконавця | Організаційний підрозділ, до якого належить виконавець |
| Ідентифікатор додатка | Ідентифікатор для додатка |
| Хеш SHA-256 додатка | Для подій, пов’язаних із додатком, – хеш SHA-256 пакета додатка (лише для Android) |
| Стан додатка | Інформація про те, чи додаток установлено, видалено або оновлено |
| Дата | Дата й час події (відображається в часовому поясі за умовчанням вебпереглядача) |
| Відповідність пристрою |
Відповідність пристрою правилам організації Пристрій вважається невідповідним за наведених нижче умов.
Приклад. Пристрій Nexus 6P користувача не відповідає встановленим правилам, оскільки порушує правила щодо паролів. |
| Чи зламано пристрій |
Інформація, чи зламано пристрій. Зламаними вважаються пристрої, які мають кореневий доступ або є незаконно розблокованими (для яких скасовано певні обмеження). Зламані пристрої становлять потенційну загрозу безпеці. Система реєструє подію щоразу, коли пристрій користувача зламано або вже ні. Приклад. Пристрій Nexus 5 користувача зламано. |
| Ідентифікатор пристрою | Ідентифікатор пристрою, на якому відбулася подія |
| Модель пристрою | Інформація про модель пристрою |
| Власник пристрою | Інформація про власника пристрою |
| Власник пристрою |
Інформація про те, чи змінився власник пристрою Наприклад, власником особистого пристрою стала компанія після імпорту даних про нього в Консоль адміністратора. Ця перевірка проводиться відразу після додавання в Консоль адміністратора корпоративного пристрою. Якщо видалити корпоративний пристрій із Консолі адміністратора, перевірка відбудеться під час наступної синхронізації (після повторної реєстрації пристрою для керування). Приклад. Власником пристрою Nexus 5 користувача стала компанія. Новий ідентифікатор пристрою: abcd1234. |
| Властивість пристрою | Інформація про пристрій (модель пристрою, серійний номер або MAC-адреса Wi-Fi) |
| Налаштування пристрою |
Користувач пристрою змінив параметри розробника, налаштування "Невідомі джерела", "Налагодження через USB" або перевірку додатків на пристрої. Ця подія записуватиметься під час наступної синхронізації пристрою. Приклад. Користувач увімкнув перевірку додатків на пристрої Nexus 6P. |
| Тип пристрою | Тип пристрою, на якому відбулася подія (наприклад, Android або Apple iOS) |
| Домен* | Домен, у якому відбулася дія |
| Подія | Зареєстрована дія події, наприклад Оновлення ОС пристрою або Подія синхронізації пристрою |
| Невдалі спроби ввести пароль* |
Кількість невдалих спроб користувача розблокувати пристрій Подія реєструється після 5 невдалих спроб розблокувати пристрій. Приклад. П’ять невдалих спроб розблокувати пристрій Nexus 7 користувача. |
| Ідентифікатор постачальника iOS | Ідентифікатор постачальника iOS |
| Новий ідентифікатор пристрою | Ідентифікатор нового пристрою |
| Властивість ОС | Інформація про операційну систему (номер складання, версія ОС або виправлення вразливості) |
| Повноваження для реєстрації | Роль користувача пристрою, наприклад Власник пристрою або Адміністратор пристрою |
| Ідентифікатор ресурсу | Унікальний ідентифікатор пристрою |
| Серійний номер |
Серійний номер пристрою Щоб відобразити серійний номер на комп’ютері, виконайте наведені нижче дії.
|
| Електронна адреса користувача | Електронна адреса користувача пристрою |
Примітка. Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.
Як керувати даними про події в журналі
Як керувати стовпцями даних у результатах пошуку
Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.
- У верхньому правому куті таблиці з результатами пошуку натисніть значок
.
- (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок
.
- (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок
і виберіть стовпець даних.
За потреби виконайте ці кроки ще раз. - (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
- Натисніть Зберегти.
Як експортувати дані результатів пошуку
Результати пошуку можна експортувати в Google Таблиці або файл CSV.
- Угорі таблиці з результатами пошуку натисніть Експортувати все.
- Введіть назву
Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій. - Щоб переглянути дані, натисніть назву експорту.
Після цього відкриється сервіс Google Таблиці.
На експорт накладаються різні обмеження.
- Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.
Коли дані стануть доступними й на який строк
Які дії можна виконувати на основі результатів пошуку
- Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.
Як керувати аналізами
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Як переглянути список результатів аналізівЩоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни.
На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.
Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.
Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.
- Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
- Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
- Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
- Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.
Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.
Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.
Дізнатися більше про зазначені вище дії ви можете в цій статті.
