Éditions compatibles avec la source de données des événements de journaux Access Transparency dans l'outil d'investigation : Enterprise Plus, Education Standard, Education Plus et Enterprise Essentials Plus Comparer votre édition
En tant qu'administrateur de votre organisation, vous pouvez exécuter des recherches liées aux événements de journaux Access Transparency à l'aide de l'outil d'investigation de sécurité. Vous pouvez y consulter un récapitulatif des actions effectuées par les équipes Google lorsqu'elles accèdent à vos données.
Les données des événements de journaux Access Transparency contiennent des informations sur :
- la ressource et l'action affectées ;
- le moment où l'action a été effectuée ;
- le motif de l'action (par exemple, le numéro de dossier associé à une demande auprès du service client) ;
- l'employé Google qui agit sur les données (par exemple, son adresse professionnelle).
Pour en savoir plus, accédez à Access Transparency : Afficher les journaux sur l'accès de Google au contenu des utilisateurs.
Transférer les données de journaux vers Google Cloud
Vous pouvez accepter de partager les données de journaux avec Google Cloud. Si vous activez le partage, les données sont transférées vers Cloud Logging, où vous pouvez interroger et consulter vos journaux, et contrôler comment ils sont acheminés et stockés.
Comment accéder à l'outil d'investigation de sécurité
- Les éditions compatibles avec l'outil d'investigation de sécurité incluent Enterprise Plus, Education Standard, Education Plus et Enterprise Essentials Plus.
- Les administrateurs disposant de Cloud Identity Premium, Frontline Standard, Enterprise Standard et Education Standard peuvent également utiliser l'outil d'investigation pour un sous-ensemble de sources de données.
- La possibilité d'effectuer une recherche dans l'outil d'investigation dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Si vous ne parvenez pas à effectuer de recherche dans l'outil d'investigation pour une source de données spécifique, vous pouvez utiliser la page d'audit et d'enquête à la place. Pour en savoir plus, consultez Expérience d'audit et d'investigation améliorée.
- Vous pouvez effectuer une recherche dans l'outil d'investigation pour tous les utilisateurs, quelle que soit l'édition de Google dont ils disposent.
Rechercher des événements de journaux Access Transparency
Pour lancer une recherche dans l'outil d'investigation, choisissez d'abord une source de données. Vous devez ensuite choisir une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.
Procédez comme suit :
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Sécurité Centre de sécurité Outil d'investigation.
- Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
- Cliquez sur Ajouter une condition.
Vous pouvez inclure une ou plusieurs conditions dans la recherche. Vous avez également la possibilité de personnaliser votre recherche avec des requêtes imbriquées, c'est-à-dire des recherches comportant deux ou trois niveaux de conditions. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées. - Dans la liste déroulante Attribut, choisissez l'un des attributs, par exemple Acteur ou Date. Pour obtenir la liste complète des attributs disponibles pour les événements de journaux Access Transparency, consultez la section ci-dessous.
Remarque : En restreignant la plage de dates de votre recherche, les résultats apparaîtront plus rapidement dans l'outil d'investigation. Par exemple, si vous limitez la recherche aux événements survenus au cours de la semaine passée, les résultats s'afficheront plus rapidement que si vous effectuez une recherche sans restreindre la période.
- Sélectionnez un opérateur (par exemple, Est, N'est pas, Contient ou Ne contient pas).
- Choisissez ou saisissez une valeur pour l'attribut. Vous pouvez sélectionner certains attributs dans une liste déroulante. Pour les autres attributs, saisissez une valeur.
- (Facultatif) Pour inclure plusieurs conditions de recherche, répétez la procédure ci-dessus.
- Cliquez sur Rechercher.
Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page. - (Facultatif) Pour enregistrer votre recherche, cliquez sur Enregistrer , saisissez un titre et une description, puis cliquez sur Enregistrer.
Remarque : Dans l'onglet Générateur de conditions, les filtres sont représentés sous forme de conditions avec des opérateurs AND/OR. Vous pouvez également utiliser l'onglet Filtre pour inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
Attribut | Description |
---|---|
Nom de groupe de l'acteur |
Nom de groupe de l'utilisateur Pour en savoir plus, consultez Filtrer les résultats par groupe Google. Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :
|
Bureau à domicile de l'utilisateur |
Bureau à domicile de l'acteur qui a accédé aux données. Affiche le code ISO 3166-1 alpha-2 du pays/de la région dans lequel l'utilisateur qui accède aux données dispose d'un bureau permanent. Voici quelques valeurs :
|
Unité organisationnelle de l'acteur | Unité organisationnelle de l'utilisateur |
Date | La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur) |
Événement | Action consignée pour l'événement, telle que Ressource consultée |
Produit Google Workspace | Nom du produit consulté. |
Justifications | Justifications de l'accès, par exemple Assistance demandée par le client – Numéro de dossier : 12345678 |
ID journal | Identifiant unique du journal |
Pour | Adresse(s) e-mail des utilisateurs dont l'autorité a été utilisée pour les contrôles Access Management |
Adresse e-mail du propriétaire | ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource |
Nom de la ressource | Nom de la ressource consultée. |
Demandes d'assistance | Demandes d'assistance associées à la justification, le cas échéant |
Prendre des mesures en fonction des résultats de recherche
Après avoir effectué une recherche dans l'outil d'investigation, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil d'investigation, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus sur les actions disponibles dans l'outil d'investigation, consultez Effectuer des actions en fonction des résultats de recherche.
Créer des règles d'activité et configurer des alertes
Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus et obtenir des instructions, consultez Créer des règles d'activité à l'aide de l'outil d'investigation.
Gérer vos enquêtes
Afficher la liste d'enquêtesPour afficher la liste des enquêtes dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification.
Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.
Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.
En tant que super-administrateur, cliquez sur Paramètres pour effectuer les actions suivantes :
- Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
- Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
- Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
- Activer ou désactiver l'option Activer la justification des actions.
Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément .
- (Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
- En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
- Saisissez un nomcliquez sur Exporter.
L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action. - Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Google Sheets.
Prenez en compte les informations suivantes lorsque les résultats de recherche exportés s'affichent :
- Lorsque vous cliquez sur Tout exporter en haut du tableau, une feuille de calcul Google Sheets comprenant les résultats de recherche est créée dans votre dossier Mon Drive. En fonction du nombre de résultats, le processus d'exportation peut prendre un certain temps et plusieurs feuilles de calcul Google peuvent être créées. Le total de résultats de l'exportation est limité à 30 millions de lignes, sauf pour les recherches de messages Gmail, limitées à 1,25 million de lignes.
- Pendant l'exportation, chaque feuille de calcul Google Sheets est créée avec un nom provisoire, par exemple TMP-1-<titre>. Si plusieurs feuilles sont créées, les fichiers successifs sont nommés TMP-2-<titre>, TMP-3-<titre>, et ainsi de suite. Lorsque le processus d'exportation est terminé, les fichiers sont automatiquement renommés <titre> [1 de N], <titre> [2 de N], et ainsi de suite. Si les données exportées sont contenues dans une seule feuille de calcul Google Sheets, le fichier est renommé <titre>.
- Les autorisations de partage des fichiers contenant les résultats de recherche exportés correspondent à celles configurées pour votre domaine. Par exemple, si les fichiers créés sont partagés par défaut avec toute l'entreprise, les données exportées le seront également.
Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.
Pour en savoir plus, consultez Enregistrer et partager des enquêtes.
Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.
Comprendre les données de journaux Access Transparency
Description des champs de journal
Nom du champ (journal) | Nom du champ (système) | Description |
---|---|---|
Date | items:id:time | Date et heure de création du journal |
Produit Google Workspace | items:events:parameters:GSUITE_PRODUCT_NAME | Produit du client consulté. Majuscules obligatoires. Valeurs autorisées :
|
Adresse e-mail du propriétaire | items:events:parameters:OWNER_EMAIL | ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource |
Bureau principal de l'utilisateur | items:events:parameters:ACTOR_HOME_OFFICE |
Code ISO 3166-1 alpha-2 du pays/de la région dans lequel l'utilisateur qui accède aux données dispose d'un bureau permanent :
|
Justifications |
items:events:parameters:JUSTIFICATIONS |
Justifications de l'accès, par exemple Assistance demandée par le client – Numéro de dossier : 12345678 |
Demandes d'assistance | tickets | Demandes d'assistance associées à la justification, le cas échéant |
ID journal | items:events:parameters:LOG_ID | Identifiant unique du journal |
Nom de la ressource | items:events:parameters:RESOURCE_NAME | Nom de la ressource consultée. Dans l'outil d'investigation de sécurité, les noms des ressources peuvent servir à identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité survenant dans votre domaine. |
Pour | items:events:parameters:ON_BEHALF_OF | Cible de l'accès : la personne avec qui un document est partagé peut être la cible de l'opération plutôt que son propriétaire. Pour fournit des informations supplémentaires pour comprendre le contexte d'un accès. |
Stratégie Access Management | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
Stratégie Access Management qui a été validée avant l'accès. S'applique uniquement aux clients pour lesquels Access Management est configuré. |
Description des justifications
Motif | Description |
---|---|
Demande d'assistance soumise par le client | Assistance demandée par le client, par exemple un numéro de dossier |
Demande d'examen de contenu abusif soumise par l'utilisateur
|
Lorsqu'un utilisateur signale un contenu abusif, Google procède à un examen de ce contenu.
Pour en savoir plus et obtenir des instructions, consultez Personnaliser les recherches dans l'outil d'investigation. En savoir plus sur le signalement d'abus |
Réponse à une alerte de production initiée par Google | Accès initié par Google pour maintenir la fiabilité du système en cas de panne suspectée, par exemple :
|
Examen initié par Google | Accès initié par Google à des fins de sécurité, de conformité ou de prévention des fraudes ou des abus pour, entre autres :
|
Service initié par Google |
Accès initié par Google pour la maintenance et la disponibilité continues des services Google Cloud, y compris :
|
Demande de données par un tiers | Google accède aux données client en réponse à une demande légale ou une réquisition judiciaire. Cela inclut toute intervention de notre part lors d'un acte de procédure initié par le client, nécessitant l'accès à ses propres données. Dans ce cas, il se peut que les journaux Access Transparency ne soient pas disponibles si Google ne peut pas vous informer légalement d'une telle demande ou d'un tel acte. |
Configurer une alerte Access Transparency
Vous pouvez configurer une alerte par e-mail pour un ou plusieurs filtres de journal ("Adresse e-mail du propriétaire", "Bureau principal de l'utilisateur", etc.). Vous pouvez également activer une alerte pour tous les journaux de tous les produits compatibles avec Access Transparency.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Sécurité Centre de sécurité Outil d'investigation.
- Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
- Cliquez sur + Ajoutez un filtre.
- Sélectionnez un ou plusieurs filtres, puis cliquez sur Appliquer.
- (Facultatif) Pour activer une alerte pour tous les journaux de tous les produits compatibles, cliquez sur Nom de l'événementAccès. Cette action permet de créer un filtre appelé Nom de l'événement : Accès.
- Cliquez sur Créer une règle de reporting , saisissez le nom d'une règle, puis saisissez les adresses e-mail d'autres destinataires des alertes.
- Cliquez sur Créer.
Intégrer les données de journaux Access Transparency à des outils tiers
L'API Reporting vous permet d'intégrer les journaux Access Transparency à vos outils de gestion des informations et des événements de sécurité (SIEM, Security information and event management) existants. Pour en savoir plus, consultez Événements liés aux activités dans Access Transparency.
Quand et pendant combien de temps les données sont-elles disponibles ?
Accédez à Conservation des données et temps de latence.
Articles associés
- Utiliser l'outil d'investigation avec le tableau de bord de sécurité
- Créer un graphique personnalisé basé sur une investigation
- Lancer une enquête à partir du centre d'alerte
- Examiner les signalements d'e-mails malveillants
- Effectuer une recherche dans le partage de fichiers
- Rechercher un utilisateur dans différentes sources de données