Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше
Як адміністратор організації ви можете шукати й усувати проблеми з безпекою, пов’язані з подіями в журналі Chat. Наприклад, за допомогою записів про дії можна відстежувати дії в чатах і обговореннях у вашій організації та дізнаватися, коли користувач починає пряму переписку або створює групу.
Перш ніж почати
Якщо історію Google Chat вимкнено, дані користувачів, які надсилають повідомлення в прямих переписках, а також відомості про подію Пряму переписку розпочато, будуть недоступні. Докладніше про те, як увімкнути або вимкнути історію чату для користувачів.
Як надсилати дані про події в журналі в Google Cloud
Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.
Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.
Як шукати події в журналі
Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.
Аудит і інструмент "Аналіз безпеки"
Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
In the Admin console, go to Menu
Reporting
Audit and investigation
- Натисніть Додати фільтр і виберіть атрибут.
- У спливаючому вікні виберіть оператор
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- Натисніть Пошук.
Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.
Інструмент аналізу безпеки
Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
Безпека
- Натисніть Джерело даних і виберіть Події в журналі Chat.
- Натисніть Додати умову.
Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю. - Натисніть Атрибут
Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці). - Виберіть оператор.
- Введіть значення або виберіть значення зі списку.
- (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
- Натисніть Пошук.
Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки. - Необов’язково: щоб зберегти аналіз, натисніть значок
Примітки
- На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
- Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.
Опис атрибутів
Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:
| Атрибут | Опис |
|---|---|
| Виконавець | Електронна адреса користувача, який виконав дію |
| Назва групи виконавця |
Назва групи виконавця Щоб дізнатися більше, перегляньте статтю Фільтрування результатів за групами Google. Щоб додати групу до списку дозволених, виконайте наведені нижче дії.
|
| Організаційний підрозділ виконавця | Організаційний підрозділ, до якого належить виконавець. |
| Тип виконавця | Роль користувача, який виконав дію, наприклад Адміністратор або Звичайний користувач. |
| Хеш вкладеного файлу | Хеш SHA-256 вкладеного файлу в повідомленні чату. |
| Назва вкладеного файлу | Назва вкладеного файлу, прикріпленого до повідомлення в Chat. |
| URL-адреса вкладеного файлу | URL-адреса для завантаження вкладеного файлу, прикріпленого до повідомлення в Chat. |
| Статус сканування функцією запобігання витокам даних (DLP)* | Коли ви користуєтеся функцією DLP в Chat, ви створюєте правила захисту даних, які допомагають запобігти витоку інформації з повідомлень у Chat і вкладених (завантажених) файлів. Статус сканування функцією DLP може мати такі значення: Не виконано, Частково проскановано або Проскановано. |
| Дата | Дата й час події (відображається в часовому поясі за умовчанням вебпереглядача). |
| Подія | Зареєстрована дія події, наприклад Повідомлення надіслано, Вкладений файл завантажено або Пряму переписку розпочато. |
| Кімната для зовнішніх користувачів* | Можливість додавати в кімнату користувачів не з організації. |
| Ідентифікатор повідомлення |
Ідентифікатор повідомлення в Chat. |
| Нова роль | Тип нової ролі для одержувачів, наприклад Адміністратор групи або Учасник. |
| Одержувачі* | Одержувачі повідомлення в Chat. Цей атрибут реєструється, коли відбуваються наведені нижче події.
|
| Ідентифікатор звіту | Ідентифікатор звіту про повідомлення Chat. |
| Категорія скарги* | Категорія скарги на повідомлення в Chat, наприклад Спам, конфіденційна інформація або Чутлива інформація. |
| Налаштування історії кімнати | Увімкнено чи вимкнено історію кімнати в Chat. |
| Ідентифікатор кімнати | Ідентифікатор кімнати в Chat. |
| Назва кімнати | Назва кімнати в Chat. |
Примітка. Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.
Як керувати даними про події в журналі
Як керувати стовпцями даних у результатах пошуку
Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.
- У верхньому правому куті таблиці з результатами пошуку натисніть значок
.
- (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок
.
- (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок
і виберіть стовпець даних.
За потреби виконайте ці кроки ще раз. - (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
- Натисніть Зберегти.
Як експортувати дані результатів пошуку
Результати пошуку можна експортувати в Google Таблиці або файл CSV.
- Угорі таблиці з результатами пошуку натисніть Експортувати все.
- Введіть назву
Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій. - Щоб переглянути дані, натисніть назву експорту.
Після цього відкриється сервіс Google Таблиці.
На експорт накладаються різні обмеження.
- Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.
Коли дані стануть доступними й на який строк
Які дії можна виконувати на основі результатів пошуку
- Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.
Як керувати аналізами
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Як переглянути список результатів аналізівЩоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни.
На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.
Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.
Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.
- Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
- Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
- Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
- Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.
Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.
Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.
Дізнатися більше про зазначені вище дії ви можете в цій статті.