支持此功能的版本:企业 Plus 版、教育标准版和教育 Plus 版、企业基本功能 Plus 版。 比较您的版本
作为您组织的管理员,您可以使用安全调查工具来执行与 Access Transparency 日志事件相关的搜索。您可以在该工具中查看操作记录,了解 Google 员工在访问您的数据时所执行的操作。
Access Transparency 日志事件数据包含以下方面的信息:
- 受影响的资源和操作
- 操作的执行时间
- 执行相应操作的原因(例如,与客户支持请求关联的请求编号)
- 对数据执行操作的 Google 员工(例如办公地点)
有关详情,请参阅 Access Transparency:查看 Google 访问用户内容的相关活动日志。
将日志数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以利用该服务查询和查看您的日志,并控制转送和存储日志的方式。
搜索 Access Transparency 日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。
如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
请按照以下步骤操作:
-
-
在管理控制台中,依次点击“菜单”图标
安全性
安全中心
- 在数据源下拉列表中,选择 Access Transparency 日志事件。
- 点击添加条件。
您可以添加一项或多项搜索条件。您还可以选择使用嵌套查询(即包含二级或三级条件的搜索查询)来自定义搜索条件。有关详情,请参阅使用嵌套查询自定义搜索。 - 从属性下拉列表中,选择一个属性,例如执行者或日期。如需查看适用于 Access Transparency 日志事件的所有属性,请参阅接下来的部分。
注意:如果您缩小搜索的日期范围,安全调查工具就能更快地显示搜索结果。举例来说,如果您将搜索范围缩小为上一周发生的事件,那么相对于不限制时间段的查询,系统将能更快地返回结果。
- 选择运算符,例如为、非、包含或不包含。
- 为该属性选择或输入一个值。对于某些属性,您可以从下拉列表中选择值。对于其他属性,请输入值。
- (可选)如需添加多个搜索条件,请重复上述步骤。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存这项搜索,请点击“保存”图标
,输入标题和说明,然后点击保存。
注意:使用条件构建器标签页时,过滤条件以用“且”/“或”运算符连在一起的条件表示。您还可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 操作者主要办公地点 |
执行数据访问的操作者主要办公地点。显示访问者的固定办公桌所在地点的 ISO 3166-1 alpha-2 国家/地区代码。 该参数的值包括:
|
| 执行者组织部门 | 执行者的组织部门 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 事件 | 记录的事件操作,例如“访问了资源” |
| Google Workspace 产品 | 所访问的产品的名称 |
| 理由 | 访问理由,例如“客户发起了支持请求 - 请求编号:12345678” |
| 日志 ID | 唯一日志 ID |
| 代表对象 | 其权限用于访问管理控制的用户的电子邮件地址 |
| 所有者电子邮件 | 拥有相应资源的客户的电子邮件 ID 或团队标识符 |
| 资源名称 | 所访问的资源的名称 |
| 工单 | 与访问理由关联的工单(如果有) |
根据搜索结果执行操作
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
理解 Access Transparency 日志数据
日志字段说明
| 日志字段名称 | 系统字段名称 | 说明 |
|---|---|---|
| 日期 | items:id:time | 写入日志的时间 |
| Google Workspace 产品 | items:events:parameters:GSUITE_PRODUCT_NAME | 所访问的客户产品。需要大写,例如:
|
| 所有者电子邮件地址 | items:events:parameters:OWNER_EMAIL | 拥有相应资源的客户的电子邮件 ID 或团队标识符 |
| 操作者主要办公地点 | items:events:parameters:ACTOR_HOME_OFFICE |
访问者的固定办公桌所在地点的 ISO 3166-1 alpha-2 国家/地区代码:
|
| 理由 |
items:events:parameters:JUSTIFICATIONS |
访问理由,例如“客户发起了支持请求 - 请求编号:12345678” |
| 工单 | tickets | 与访问理由关联的工单(如果有) |
| 日志 ID | items:events:parameters:LOG_ID | 唯一日志 ID |
| 资源名称 | items:events:parameters:RESOURCE_NAME | 所访问的资源的名称。您可以在安全调查工具中使用资源名称进一步识别网域中的安全和隐私问题、对其进行分类并采取行动。 |
| 代表对象 | items:events:parameters:ON_BEHALF_OF | 访问者是代表谁进行的访问。需要支持的人可能是文档共享对象,而非文档所有者。“代表对象”提供了更多信息,便于了解访问发生的情境。 |
| 访问管理政策 | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
在访问前验证的访问管理政策。仅适用于配置了访问管理的客户。 |
理由说明
| 理由 | 说明 |
|---|---|
| 客户提出了支持服务请求 | 客户发起的支持请求,比如一个请求编号 |
| 外部发起了滥用行为审核
|
当有人向 Google 举报特定内容,要求对该内容进行审核时,就会启动由外部发起的滥用行为审核。
如需更多详细信息和说明,请参阅在调查工具中自定义搜索。 详细了解如何举报滥用行为。 |
| Google 回应服务中断警报 | Google 在疑似发生服务中断时为维持系统可靠性而发起的访问,具体可包括:
|
| Google 发起了审核 | Google 出于安全保护、防欺诈、滥用行为调查或确保合规性的目的而发起的访问,具体原因包括:
|
|
Google 发起的服务 |
Google 为持续维护和提供 Google Cloud 服务而发起的访问,具体可包括:
|
| 第三方数据请求 | Google 根据法律要求或司法程序而访问客户数据。这包括我们在客户要求的情况下按照司法程序访问客户自己的数据。 在这种情况下,如果 Google 根据法律规定不能告知您相应法律要求或司法程序,恕 Google 不能在 Access Transparency 日志中提供相应信息。 |
设置 Access Transparency 提醒
您可以为一个或多个日志过滤条件设置电子邮件提醒,例如为“所有者电子邮件地址”和“操作者主要办公地点”设置提醒。您还可以为支持 Access Transparency 的所有产品的全部日志启用提醒功能。
-
-
在管理控制台中,依次点击“菜单”图标
- 在数据源下拉列表中,选择 Access Transparency 日志事件。
- 点击 + 添加过滤条件。
- 选择一个或多个过滤条件,然后点击应用。
- (可选)如需为所有受支持产品的全部日志启用提醒功能,请点击事件名称
- 点击创建报告规则图标
,输入规则名称,然后输入其他提醒接收者的电子邮件地址。
- 点击创建。
将 Access Transparency 日志数据与第三方工具集成
您可以使用 Reports API 将 Access Transparency 日志与您现有的安全信息和事件管理 (SIEM) 工具集成。有关详情,请参阅 Access Transparency 活动事件。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。