Événements de journaux Access Transparency

Outil d'investigation de sécurité

Éditions compatibles avec la source de données des événements de journaux Access Transparency dans l'outil d'investigation : Enterprise Plus, Education Standard, Education Plus et Enterprise Essentials Plus Comparer votre édition

En tant qu'administrateur de votre organisation, vous pouvez exécuter des recherches liées aux événements de journaux Access Transparency à l'aide de l'outil d'investigation de sécurité. Vous pouvez y consulter un récapitulatif des actions effectuées par les équipes Google lorsqu'elles accèdent à vos données.

Les données des événements de journaux Access Transparency contiennent des informations sur :

la ressource et l'action affectées ;
le moment où l'action a été effectuée ;
le motif de l'action (par exemple, le numéro de dossier associé à une demande auprès du service client) ;
l'employé Google qui agit sur les données (par exemple, son adresse professionnelle).

Pour en savoir plus, accédez à Access Transparency : Afficher les journaux sur l'accès de Google au contenu des utilisateurs.

Transférer les données de journaux vers Google Cloud

Vous pouvez accepter de partager les données de journaux avec Google Cloud. Si vous activez le partage, les données sont transférées vers Cloud Logging, où vous pouvez interroger et consulter vos journaux, et contrôler comment ils sont acheminés et stockés.

Comment accéder à l'outil d'investigation de sécurité

Les éditions compatibles avec l'outil d'investigation de sécurité incluent Enterprise Plus, Education Standard, Education Plus et Enterprise Essentials Plus.
Les administrateurs disposant de Cloud Identity Premium, Frontline Standard, Enterprise Standard et Education Standard peuvent également utiliser l'outil d'investigation pour un sous-ensemble de sources de données.
La possibilité d'effectuer une recherche dans l'outil d'investigation dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Si vous ne parvenez pas à effectuer de recherche dans l'outil d'investigation pour une source de données spécifique, vous pouvez utiliser la page d'audit et d'enquête à la place. Pour en savoir plus, consultez Expérience d'audit et d'investigation améliorée.
Vous pouvez effectuer une recherche dans l'outil d'investigation pour tous les utilisateurs, quelle que soit l'édition de Google dont ils disposent.

Rechercher des événements de journaux Access Transparency

Pour lancer une recherche dans l'outil d'investigation, choisissez d'abord une source de données. Vous devez ensuite choisir une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

Procédez comme suit :

Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
Dans la console d'administration, accédez à Menu Sécurité Centre de sécurité Outil d'investigation.
Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
Cliquez sur Ajouter une condition.
Vous pouvez inclure une ou plusieurs conditions dans la recherche. Vous avez également la possibilité de personnaliser votre recherche avec des requêtes imbriquées, c'est-à-dire des recherches comportant deux ou trois niveaux de conditions. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
Dans la liste déroulante Attribut, choisissez l'un des attributs, par exemple Acteur ou Date. Pour obtenir la liste complète des attributs disponibles pour les événements de journaux Access Transparency, consultez la section ci-dessous.

Remarque : En restreignant la plage de dates de votre recherche, les résultats apparaîtront plus rapidement dans l'outil d'investigation. Par exemple, si vous limitez la recherche aux événements survenus au cours de la semaine passée, les résultats s'afficheront plus rapidement que si vous effectuez une recherche sans restreindre la période.
Sélectionnez un opérateur (par exemple, Est, N'est pas, Contient ou Ne contient pas).
Choisissez ou saisissez une valeur pour l'attribut. Vous pouvez sélectionner certains attributs dans une liste déroulante. Pour les autres attributs, saisissez une valeur.
(Facultatif) Pour inclure plusieurs conditions de recherche, répétez la procédure ci-dessus.
Cliquez sur Rechercher.
Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page.
(Facultatif) Pour enregistrer votre recherche, cliquez sur Enregistrer , saisissez un titre et une description, puis cliquez sur Enregistrer.

Remarque : Dans l'onglet Générateur de conditions, les filtres sont représentés sous forme de conditions avec des opérateurs AND/OR. Vous pouvez également utiliser l'onglet Filtre pour inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :

Attribut	Description
Nom de groupe de l'acteur	Nom de groupe de l'utilisateur Pour en savoir plus, consultez Filtrer les résultats par groupe Google. Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage : Sélectionnez Nom du groupe de l'acteur. Cliquez sur Groupes de filtrage. La page "Groupes de filtrage" s'affiche. Cliquez sur Ajouter des groupes. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez le groupe. Une fois les groupes sélectionnés, cliquez sur Ajouter. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe . Cliquez sur Enregistrer.
Bureau à domicile de l'utilisateur	Bureau à domicile de l'acteur qui a accédé aux données. Affiche le code ISO 3166-1 alpha-2 du pays/de la région dans lequel l'utilisateur qui accède aux données dispose d'un bureau permanent. Voici quelques valeurs : Identifiant de continent à trois caractères si l'employé Google se trouve dans un pays à faible population, par exemple ASI, EUR, OCE, AFR, NAM, SAM ou ANT "??" signifie que l'emplacement n'est pas disponible
Unité organisationnelle de l'acteur	Unité organisationnelle de l'utilisateur
Date	La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur)
Événement	Action consignée pour l'événement, telle que Ressource consultée
Produit Google Workspace	Nom du produit consulté.
Justifications	Justifications de l'accès, par exemple Assistance demandée par le client – Numéro de dossier : 12345678
ID journal	Identifiant unique du journal
Pour	Adresse(s) e-mail des utilisateurs dont l'autorité a été utilisée pour les contrôles Access Management
Adresse e-mail du propriétaire	ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource
Nom de la ressource	Nom de la ressource consultée.
Demandes d'assistance	Demandes d'assistance associées à la justification, le cas échéant

Prendre des mesures en fonction des résultats de recherche

Après avoir effectué une recherche dans l'outil d'investigation, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil d'investigation, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus sur les actions disponibles dans l'outil d'investigation, consultez Effectuer des actions en fonction des résultats de recherche.

Créer des règles d'activité et configurer des alertes

Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus et obtenir des instructions, consultez Créer des règles d'activité à l'aide de l'outil d'investigation.

Gérer vos enquêtes

Afficher la liste d'enquêtes

Pour afficher la liste des enquêtes dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.

Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.

Configurer les paramètres de vos enquêtes

En tant que super-administrateur, cliquez sur Paramètres pour effectuer les actions suivantes :

Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
Activer ou désactiver l'option Activer la justification des actions.

Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.

Gérer les colonnes dans vos résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
(Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément .
(Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire.
(Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
Cliquez sur Enregistrer.

Exporter des données à partir des résultats de recherche

En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
Saisissez un nomcliquez sur Exporter.
L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action.
Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Google Sheets.

Prenez en compte les informations suivantes lorsque les résultats de recherche exportés s'affichent :

Lorsque vous cliquez sur Tout exporter en haut du tableau, une feuille de calcul Google Sheets comprenant les résultats de recherche est créée dans votre dossier Mon Drive. En fonction du nombre de résultats, le processus d'exportation peut prendre un certain temps et plusieurs feuilles de calcul Google peuvent être créées. Le total de résultats de l'exportation est limité à 30 millions de lignes, sauf pour les recherches de messages Gmail, limitées à 1,25 million de lignes.
Pendant l'exportation, chaque feuille de calcul Google Sheets est créée avec un nom provisoire, par exemple TMP-1-<titre>. Si plusieurs feuilles sont créées, les fichiers successifs sont nommés TMP-2-<titre>, TMP-3-<titre>, et ainsi de suite. Lorsque le processus d'exportation est terminé, les fichiers sont automatiquement renommés <titre> [1 de N], <titre> [2 de N], et ainsi de suite. Si les données exportées sont contenues dans une seule feuille de calcul Google Sheets, le fichier est renommé <titre>.
Les autorisations de partage des fichiers contenant les résultats de recherche exportés correspondent à celles configurées pour votre domaine. Par exemple, si les fichiers créés sont partagés par défaut avec toute l'entreprise, les données exportées le seront également.

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer et partager des enquêtes.

Quand et pendant combien de temps les données sont-elles disponibles ?

Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.

Comprendre les données de journaux Access Transparency

Description des champs de journal

Nom du champ (journal)	Nom du champ (système)	Description
Date	items:id:time	Date et heure de création du journal
Produit Google Workspace	items:events:parameters:GSUITE_PRODUCT_NAME	Produit du client consulté. Majuscules obligatoires. Valeurs autorisées : GMAIL AGENDA DRIVE SHEETS SLIDES
Adresse e-mail du propriétaire	items:events:parameters:OWNER_EMAIL	ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource
Bureau principal de l'utilisateur	items:events:parameters:ACTOR_HOME_OFFICE	Code ISO 3166-1 alpha-2 du pays/de la région dans lequel l'utilisateur qui accède aux données dispose d'un bureau permanent : "??" si l'emplacement n'est pas disponible Identifiant de continent à trois caractères (ASI, EUR, OCE, AFR, NAM, SAM, ANT) si l'employé Google se trouve dans un pays à faible population
Justifications	items:events:parameters:JUSTIFICATIONS	Justifications de l'accès, par exemple Assistance demandée par le client – Numéro de dossier : 12345678
Demandes d'assistance	tickets	Demandes d'assistance associées à la justification, le cas échéant
ID journal	items:events:parameters:LOG_ID	Identifiant unique du journal
Nom de la ressource	items:events:parameters:RESOURCE_NAME	Nom de la ressource consultée. Dans l'outil d'investigation de sécurité, les noms des ressources peuvent servir à identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité survenant dans votre domaine.
Pour	items:events:parameters:ON_BEHALF_OF	Cible de l'accès : la personne avec qui un document est partagé peut être la cible de l'opération plutôt que son propriétaire. Pour fournit des informations supplémentaires pour comprendre le contexte d'un accès.
Stratégie Access Management	items:events:parameters: ACCESS_MANAGEMENT_POLICY	Stratégie Access Management qui a été validée avant l'accès. S'applique uniquement aux clients pour lesquels Access Management est configuré.

Description des justifications

Motif	Description
Demande d'assistance soumise par le client	Assistance demandée par le client, par exemple un numéro de dossier
Demande d'examen de contenu abusif soumise par l'utilisateur	Lorsqu'un utilisateur signale un contenu abusif, Google procède à un examen de ce contenu. Les utilisateurs peuvent signaler du contenu constituant un abus des Conditions d'utilisation de Google. L'outil d'investigation de sécurité vous permet, en tant que super-administrateur, d'afficher les détails associés à un document, y compris son type, son titre, son propriétaire et les événements de journaux ayant eu lieu au cours des 180 derniers jours : Dans l'outil d'investigation, lancez une recherche à l'aide de la source de données Événements de journaux Drive. Sous Conditions, cliquez sur Identifiant du document. Copiez l'identifiant de ressource du journal Access Transparency et collez-le dans le champ Identifiant du document de l'outil d'investigation. Cliquez sur Rechercher. Pour en savoir plus et obtenir des instructions, consultez Personnaliser les recherches dans l'outil d'investigation. En savoir plus sur le signalement d'abus
Réponse à une alerte de production initiée par Google	Accès initié par Google pour maintenir la fiabilité du système en cas de panne suspectée, par exemple : une enquête pour confirmer qu'un client n'est pas concerné par une interruption de service suspectée ; la sauvegarde et la récupération à la suite de pannes et de défaillances du système.
Examen initié par Google	Accès initié par Google à des fins de sécurité, de conformité ou de prévention des fraudes ou des abus pour, entre autres : assurer la sûreté et la sécurité des comptes et données client ; vérifier si les données sont affectées par un événement pouvant compromettre la sécurité du compte, par exemple les infections dues à des logiciels malveillants ; vérifier si le client utilise les services Google conformément aux Conditions d'utilisation de Google ; enquêter sur les réclamations d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive ; s'assurer que les services Google sont utilisés conformément aux règles de conformité applicables, telles que les réglementations pour lutter contre le blanchiment d'argent.
Service initié par Google	Accès initié par Google pour la maintenance et la disponibilité continues des services Google Cloud, y compris : le débogage technique nécessaire à une demande d'assistance ou à une enquête complexe ; la correction de problèmes techniques tels que la corruption de données ou une panne de stockage isolées.
Demande de données par un tiers	Google accède aux données client en réponse à une demande légale ou une réquisition judiciaire. Cela inclut toute intervention de notre part lors d'un acte de procédure initié par le client, nécessitant l'accès à ses propres données. Dans ce cas, il se peut que les journaux Access Transparency ne soient pas disponibles si Google ne peut pas vous informer légalement d'une telle demande ou d'un tel acte.

Configurer une alerte Access Transparency

Vous pouvez configurer une alerte par e-mail pour un ou plusieurs filtres de journal ("Adresse e-mail du propriétaire", "Bureau principal de l'utilisateur", etc.). Vous pouvez également activer une alerte pour tous les journaux de tous les produits compatibles avec Access Transparency.

Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
Dans la console d'administration, accédez à Menu Sécurité Centre de sécurité Outil d'investigation.
Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
Cliquez sur + Ajoutez un filtre.
Sélectionnez un ou plusieurs filtres, puis cliquez sur Appliquer.
(Facultatif) Pour activer une alerte pour tous les journaux de tous les produits compatibles, cliquez sur Nom de l'événementAccès. Cette action permet de créer un filtre appelé Nom de l'événement : Accès.
Cliquez sur Créer une règle de reporting , saisissez le nom d'une règle, puis saisissez les adresses e-mail d'autres destinataires des alertes.
Cliquez sur Créer.

Intégrer les données de journaux Access Transparency à des outils tiers

L'API Reporting vous permet d'intégrer les journaux Access Transparency à vos outils de gestion des informations et des événements de sécurité (SIEM, Security information and event management) existants. Pour en savoir plus, consultez Événements liés aux activités dans Access Transparency.