Versioni supportate per questa funzionalità: Enterprise Plus, Education Standard ed Education Plus, Enterprise Essentials Plus. Confronta la tua versione
In qualità di amministratore della tua organizzazione, puoi utilizzare lo strumento di indagine sulla sicurezza per eseguire ricerche relative agli eventi del log di Access Transparency, dove potrai visualizzare un registro che fornisce informazioni sulle azioni eseguite dal personale Google quando accede ai tuoi dati.
I dati sugli eventi del log di Access Transparency includono informazioni su:
- La risorsa e l'azione interessate
- L'ora dell'azione
- Il motivo dell'azione (ad esempio, il numero associato a una richiesta di assistenza clienti)
- Il membro del personale Google che svolge le operazioni sui dati (ad esempio, la sede dell'ufficio)
Per ulteriori informazioni, consulta Access Transparency: visualizzazione dei log relativi all'accesso da parte di Google ai contenuti degli utenti.
Inoltrare i dati dei log a Google Cloud
Puoi attivare la condivisione dei dati dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.
Eseguire una ricerca di eventi del log di Access Transparency
La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.
Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.
Segui questi passaggi:
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Nell'elenco a discesa Origine dati, scegli Eventi del log di Access Transparency.
- Fai clic su Aggiungi condizione.
Puoi includere una o più condizioni nella tua ricerca, nonché personalizzarla con query nidificate, ossia ricerche con condizioni su 2 o 3 livelli. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate. - Scegli uno degli attributi nell'elenco a discesa Attributo, ad esempio Attore o Data. Per un elenco completo degli attributi disponibili per gli eventi del log di Access Transparency, consulta la sezione seguente.
Nota: se riduci l'intervallo di date della ricerca, i risultati appariranno più velocemente nello strumento di indagine sulla sicurezza. Ad esempio, se circoscrivi la ricerca agli eventi accaduti nell'ultima settimana, il risultato della query verrà restituito più rapidamente di quanto accadrebbe con un intervallo di date più ampio.
- Scegli un operatore, ad esempio È, Non è, Contiene o Non contiene.
- Scegli o inserisci un valore per l'attributo. Per alcuni attributi puoi scegliere da un elenco a discesa, mentre per altri devi digitare un valore.
- (Facoltativo) Per includere più condizioni di ricerca, ripeti i passaggi precedenti.
- Fai clic su Cerca.
Nello strumento, i risultati di ricerca vengono mostrati in una tabella nella parte inferiore della pagina. - (Facoltativo) Per salvare la ricerca, fai clic su Salva e inserisci un titolo e una descrizione, quindi fai clic su Salva.
Nota: nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori E/O. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
Descrizioni degli attributi
Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:
Attributo | Descrizione |
---|---|
Nome del gruppo dell'attore |
Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro:
|
Ufficio principale dell'attore |
Ufficio principale dell'attore che ha eseguito l'accesso ai dati. Mostra il codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente. I valori includono:
|
Unità organizzativa che ha eseguito l'azione | Unità organizzativa dell'attore |
Data | Data e ora dell'evento, riportate nel fuso orario predefinito del browser |
Evento | L'azione evento registrata, ad esempio Accesso alla risorsa eseguito |
Prodotto Google Workspace | Nome del prodotto a cui è stato eseguito l'accesso |
Motivazioni | Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678 |
ID log | ID log univoco |
Per conto di | Indirizzi email degli utenti la cui autorità è stata utilizzata per i controlli di Access Management |
Email proprietario | L'ID email o l'identificatore del team del cliente proprietario della risorsa |
Nome della risorsa | Nome della risorsa a cui è stato eseguito l'accesso |
Ticket | Eventuali richieste di assistenza associate alla motivazione |
Adottare azioni basate sui risultati della ricerca
- Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vedi Creare e gestire le regole di reporting.
- Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione
Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire le regole di attività.
Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione
Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vai a Adottare azioni basate sui risultati di ricerca.
Comprendere i dati del log di Access Transparency
Descrizione dei campi del log
Nome del campo del log | Nome del campo del sistema | Descrizione |
---|---|---|
Data | items:id:time | L'ora in cui è stato creato il log |
Prodotto Google Workspace | items:events:parameters:GSUITE_PRODUCT_NAME | Il prodotto del cliente al quale è stato eseguito l'accesso. È necessario usare le maiuscole. Ad esempio:
|
Email proprietario | items:events:parameters:OWNER_EMAIL | L'ID email o l'identificatore del team del cliente proprietario della risorsa |
Ufficio principale dell'attore | items:events:parameters:ACTOR_HOME_OFFICE |
Codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente:
|
Motivazioni |
items:events:parameters:JUSTIFICATIONS |
Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678 |
Ticket | ticket | Eventuali richieste di assistenza associate alla motivazione |
ID log | items:events:parameters:LOG_ID | ID log univoco |
Nome risorsa | items:events:parameters:RESOURCE_NAME | Nome della risorsa a cui è stato eseguito l'accesso. I nomi delle risorse possono essere utilizzati nello strumento di indagine sulla sicurezza per identificare ulteriormente i problemi di sicurezza e privacy nel tuo dominio, assegnare loro una priorità e intervenire in modo adeguato. |
Per conto di | items:events:parameters:ON_BEHALF_OF | Il destinatario dell'accesso. La persona con cui un documento viene condiviso potrebbe essere il destinatario dell'intervento di assistenza piuttosto che il proprietario. Il parametro Per conto di fornisce informazioni aggiuntive per comprendere il contesto di un accesso. |
Criterio di Access Management | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
Il criterio di Access Management convalidato prima dell'accesso. Si applica solo ai clienti per i quali è configurata la soluzione Access Management. |
Descrizioni delle motivazioni
Motivo | Descrizione |
---|---|
Richiesta di supporto inviata dal cliente | Assistenza richiesta dal cliente, ad esempio un numero di richiesta. |
Revisione di un abuso avviata dall'esterno
|
Le revisioni degli abusi avviate dall'esterno sono attivate quando i contenuti vengono segnalati a Google per la revisione.
Per ulteriori dettagli e istruzioni, vedi Personalizzare le ricerche nello strumento di indagine. Scopri di più sulle segnalazioni di abuso. |
Risposta di Google a un avviso relativo alla produzione | Accesso avviato da Google per preservare l'affidabilità del sistema in caso di sospetta interruzione, ad esempio:
|
Revisione avviata da Google | Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità, come ad esempio:
|
Servizio avviato da Google |
Accesso avviato da Google per la manutenzione e l'erogazione continue dei servizi Google Cloud, tra cui ad esempio:
|
Richiesta di dati di terze parti | Accessi ai dati dei clienti da parte di Google per rispondere a una richiesta di tipo legale o a un procedimento giudiziario. Sono inclusi i casi in cui il nostro accesso ai dati di un cliente è necessario per rispondere a un procedimento giudiziario avviato da quest'ultimo. In questo caso, se Google non può informare legalmente il cliente della richiesta o del procedimento, i log di Access Transparency potrebbero non essere disponibili. |
Configurare un avviso di Access Transparency
Puoi configurare un avviso via email per uno o più filtri di log, ad esempio Email proprietario e Ufficio principale dell'attore. Puoi anche attivare un avviso per tutti i log di tutti i prodotti che supportano Access Transparency.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Nell'elenco a discesa Origine dati, scegli Eventi del log di Access Transparency.
- Fai clic su + Aggiungi un filtro.
- Seleziona uno o più filtri e fai clic su Applica.
- (Facoltativo) Per attivare un avviso per tutti i log di tutti i prodotti supportati, fai clic su Nome eventoAccesso. Viene creato un filtro denominato Nome evento: Accesso.
- Fai clic su Crea regola per i report e inserisci il nome della regola, quindi immetti gli indirizzi email degli eventuali altri destinatari dell'avviso.
- Fai clic su Crea.
Integrare i dati del log di Access Transparency con strumenti di terze parti
Puoi utilizzare l'API Reports per integrare i log di Access Transparency con i tuoi strumenti di gestione degli eventi e delle informazioni di sicurezza (SIEM) esistenti. Per ulteriori informazioni, vai all'articolo sugli eventi relativi alle attività di Access Transparency.