Événements de journaux Access Transparency

Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Standard et Education Plus, Enterprise Essentials Plus. Comparer votre édition

En tant qu'administrateur de votre organisation, vous pouvez exécuter des recherches portant sur les événements de journaux Access Transparency à l'aide de l'outil d'investigation de sécurité. Vous pouvez y consulter un récapitulatif des actions effectuées par les équipes Google lorsqu'elles accèdent à vos données.

Les données des événements de journaux Access Transparency contiennent des informations sur :

  • la ressource et l'action affectées ;
  • le moment où l'action a été effectuée ;
  • le motif de l'action (par exemple, le numéro de dossier associé à une demande auprès du service client) ;
  • l'employé Google qui agit sur les données (par exemple, son adresse professionnelle).

Pour en savoir plus, accédez à Access Transparency : Afficher les journaux sur l'accès de Google au contenu des utilisateurs.

Transférer les données de journaux vers Google Cloud

Vous pouvez accepter de partager les données de journaux avec Google Cloud. Si vous activez le partage, les données sont transférées vers Cloud Logging, où vous pouvez interroger et consulter vos journaux, et contrôler comment ils sont acheminés et stockés.

Exécuter une recherche portant sur les événements de journaux Access Transparency

Votre capacité à effectuer une recherche dépend de votre édition de Google Workspace, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur

Procédez comme suit :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Centre de sécurité puis Outil d'investigation.
  3. Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
  4. Cliquez sur Ajouter une condition.
    Vous pouvez inclure une ou plusieurs conditions dans la recherche. Vous avez également la possibilité de personnaliser votre recherche avec des requêtes imbriquées, c'est-à-dire des recherches comportant deux ou trois niveaux de conditions. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Dans la liste déroulante Attribut, choisissez l'un des attributs, par exemple Acteur ou Date. Pour obtenir la liste complète des attributs disponibles pour les événements de journaux Access Transparency, consultez la section ci-dessous.

    Remarque : Si vous restreignez la plage de dates de votre recherche, les résultats apparaîtront plus rapidement dans l'outil d'investigation de sécurité. Par exemple, si vous limitez la recherche aux événements survenus au cours de la semaine passée, les résultats s'affichent plus rapidement que si vous effectuez une recherche sans restreindre la période.
     
  6. Sélectionnez un opérateur (par exemple, Est, N'est pas, Contient ou Ne contient pas).
  7. Choisissez ou saisissez une valeur pour l'attribut. Vous pouvez sélectionner certains attributs dans une liste déroulante. Pour les autres attributs, saisissez une valeur.
  8. (Facultatif) Pour inclure plusieurs conditions de recherche, répétez la procédure ci-dessus.
  9. Cliquez sur Rechercher.
    Les résultats de la recherche dans l'outil d'investigation s'affichent dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre recherche, cliquez sur Enregistrer , saisissez un titre et une description, puis cliquez sur Enregistrer.

Remarque : Dans l'onglet Générateur de conditions, les filtres sont représentés sous forme de conditions avec des opérateurs AND/OR. Vous pouvez également utiliser l'onglet Filtre pour inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :

Attribut Description
Nom de groupe de l'acteur

Nom de groupe de l'utilisateur Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom du groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez le groupe.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Bureau à domicile de l'utilisateur

Bureau à domicile de l'acteur qui a accédé aux données. Affiche le code ISO 3166-1 alpha-2 du pays/de la région dans lequel l'utilisateur qui accède aux données dispose d'un bureau permanent.

Voici quelques valeurs :

  • Identifiant de continent à trois caractères si l'employé Google se trouve dans un pays à faible population, par exemple ASI, EUR, OCE, AFR, NAM, SAM ou ANT
  • "??" signifie que l'emplacement n'est pas disponible
Unité organisationnelle de l'acteur Unité organisationnelle de l'utilisateur
Date La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur)
Événement Action consignée pour l'événement, telle que Ressource consultée
Produit Google Workspace Nom du produit consulté.
Justifications Justifications de l'accès, par exemple Assistance demandée par le client – Numéro de dossier : 12345678
ID journal Identifiant unique du journal
Pour Adresse(s) e-mail des utilisateurs dont l'autorité a été utilisée pour les contrôles Access Management
Adresse e-mail du propriétaire ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource
Nom de la ressource Nom de la ressource consultée.
Demandes d'assistance Demandes d'assistance associées à la justification, le cas échéant

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes
  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus et obtenir des instructions, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Comprendre les données des journaux Access Transparency

Description des champs de journal

Nom du champ (journal) Nom du champ (système) Description
Date items:id:time Moment auquel le journal a été créé
Produit Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME Produit du client consulté. Majuscules obligatoires. Valeurs autorisées :
  • GMAIL
  • AGENDA
  • DRIVE
  • SHEETS
  • SLIDES
Adresse e-mail du propriétaire items:events:parameters:OWNER_EMAIL ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource
Bureau principal de l'utilisateur items:events:parameters:ACTOR_HOME_OFFICE

Code ISO 3166-1 alpha-2 du pays/de la région dans lequel l'utilisateur qui accède aux données dispose d'un bureau permanent :

  • "??" si l'emplacement n'est pas disponible
  • Identifiant de continent à trois caractères (ASI, EUR, OCE, AFR, NAM, SAM, ANT) si l'employé Google se trouve dans un pays à faible population
Justifications

items:events:parameters:JUSTIFICATIONS

Justifications de l'accès, par exemple Assistance demandée par le client – Numéro de dossier : 12345678
Demandes d'assistance tickets Demandes d'assistance associées à la justification, le cas échéant
ID journal items:events:parameters:LOG_ID Identifiant unique du journal
Nom de la ressource items:events:parameters:RESOURCE_NAME Nom de la ressource consultée. Dans l'outil d'investigation de sécurité, les noms des ressources peuvent servir à identifier et trier les problèmes de confidentialité et de sécurité survenant dans votre domaine, et à agir dessus.
Pour items:events:parameters:ON_BEHALF_OF Cible de l'accès : la personne avec qui un document est partagé peut être la cible de l'opération plutôt que son propriétaire. Pour fournit des informations supplémentaires pour comprendre le contexte d'un accès.
Stratégie Access Management items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Stratégie Access Management qui a été validée avant l'accès. S'applique uniquement aux clients pour lesquels Access Management est configuré.

Description des justifications

Motif Description
Demande d'assistance soumise par le client Assistance demandée par le client, par exemple un numéro de dossier
Demande d'examen de contenu abusif soumise par l'utilisateur

 

 Lorsqu'un utilisateur signale un contenu abusif, Google procède à un examen de ce contenu.
  • Les utilisateurs peuvent signaler du contenu constituant un abus des Conditions d'utilisation de Google.
  • L'outil d'investigation de sécurité vous permet, en tant que super-administrateur, d'afficher les détails associés à un document, y compris son type, son titre, son propriétaire et les événements de journaux ayant eu lieu au cours des 180 derniers jours :
  1. Dans l'outil d'investigation, lancez une recherche à l'aide de la source de données Événements de journaux Drive.
  2. Sous Conditions, cliquez sur Identifiant du document.
  3. Copiez l'identifiant de ressource du journal Access Transparency et collez-le dans le champ Identifiant du document de l'outil d'investigation.
  4. Cliquez sur Rechercher.

Pour en savoir plus et obtenir des instructions, consultez Personnaliser les recherches dans l'outil d'investigation.

Découvrez comment signaler des abus.
Réponse de Google à une alerte de production Accès initié par Google pour maintenir la fiabilité du système en cas de suspicion d'indisponibilité, par exemple :
  • Enquête pour confirmer qu'un client n'est pas concerné par une suspicion d'indisponibilité du service
  • Sauvegarde et récupération à la suite d'indisponibilités et de pannes du système
Examen initié par Google Accès initié par Google à des fins de sécurité, de conformité ou de prévention des fraudes ou des abus pour, entre autres :
  • Assurer la protection et la sécurité des comptes et données client
  • Vérifier si les données sont affectées par un événement pouvant compromettre la sécurité du compte, par exemple les infections dues à des logiciels malveillants
  • Vérifier si le client utilise les services Google conformément aux Conditions d'utilisation de Google
  • Enquêter sur les réclamations d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive
  • S'assurer que les services Google sont utilisés conformément aux règles de conformité applicables, telles que les réglementations pour lutter contre le blanchiment d'argent

Service initié par Google

Accès initié par Google pour la maintenance et la disponibilité continues des services Google Cloud, y compris :

  • Débogage technique nécessaire à une demande d'assistance ou à une enquête complexe
  • Correction de problèmes techniques tels que la corruption de données ou une panne de stockage isolées
Demande de données par un tiers Google accède aux données client en réponse à une demande légale ou une réquisition judiciaire. Cela inclut toute intervention de notre part lors d'un acte de procédure initié par le client, nécessitant l'accès à ses propres données.

Dans ce cas, il se peut que les journaux Access Transparency ne soient pas disponibles si Google ne peut pas vous informer légalement d'une telle demande ou d'un tel acte.

Configurer une alerte Access Transparency

Vous pouvez configurer une alerte par e-mail pour un ou plusieurs filtres de journal ("Adresse e-mail du propriétaire", "Bureau principal de l'utilisateur", etc.). Vous pouvez également activer une alerte pour tous les journaux de tous les produits compatibles avec Access Transparency.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Centre de sécurité puis Outil d'investigation.
  3. Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
  4. Cliquez sur + Ajoutez un filtre.
  5. Sélectionnez un ou plusieurs filtres, puis cliquez sur Appliquer.
  6. (Facultatif) Pour activer une alerte pour tous les journaux de tous les produits compatibles, cliquez sur Nom de l'événementpuisAccès. Cette action permet de créer un filtre appelé Nom de l'événement : Accès.
  7. Cliquez sur Créer une règle de reporting , saisissez le nom d'une règle, puis saisissez les adresses e-mail d'autres destinataires des alertes.
  8. Cliquez sur Créer.

Intégrer les données de journaux Access Transparency à des outils tiers

L'API Reports vous permet d'intégrer les journaux Access Transparency à vos outils de gestion des informations et des événements de sécurité (SIEM) existants. Pour en savoir plus, consultez Événements liés aux activités dans Access Transparency.

Quand et pendant combien de temps les données sont-elles disponibles ?

Accédez à Conservation des données et temps de latence.

Articles associés au centre de sécurité

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
12938314886127849121
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false