Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Eventi del log di Access Transparency

Strumento di indagine sulla sicurezza

Versioni supportate per l'origine dati Eventi del log di Access Transparency nello strumento di indagine: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus.  Confronta la tua versione

In qualità di amministratore della tua organizzazione, puoi utilizzare lo strumento di indagine sulla sicurezza per eseguire ricerche relative agli eventi del log di Access Transparency, dove potrai visualizzare un registro che fornisce informazioni sulle azioni eseguite dal personale Google quando accede ai tuoi dati.

I dati sugli eventi del log di Access Transparency includono informazioni su:

  • La risorsa e l'azione interessate
  • L'ora dell'azione
  • Il motivo dell'azione (ad esempio, il numero associato a una richiesta di assistenza clienti)
  • Il membro del personale Google che svolge le operazioni sui dati (ad esempio, la sede dell'ufficio)

Per ulteriori informazioni, consulta Access Transparency: visualizzazione dei log relativi all'accesso da parte di Google ai contenuti degli utenti.

Inoltrare i dati dei log a Google Cloud

Puoi attivare la condivisione dei dati dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.

Accesso allo strumento di indagine sulla sicurezza

  • Le versioni supportate per lo strumento di indagine sulla sicurezza includono Enterprise Plus, Education Standard, Education Plus ed Enterprise Essentials Plus.
  • Inoltre, gli amministratori di Cloud Identity Premium, Frontline Standard, Enterprise Standard ed Education Standard possono utilizzare lo strumento di indagine per un sottoinsieme di origini dati.
  • La possibilità di eseguire ricerche nello strumento di indagine dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Se non riesci a eseguire una ricerca nello strumento di indagine per un'origine dati specifica, in genere puoi utilizzare la pagina Controllo e indagine. Per saperne di più, vedi Esperienza di controllo e indagine migliorata.
  • Puoi eseguire una ricerca nello strumento di indagine per tutti gli utenti, indipendentemente dalla versione di Google che utilizzano.

Eseguire una ricerca di eventi del log di Access Transparency

Per eseguire una ricerca nello strumento di indagine, scegli innanzitutto un'origine dati. Successivamente, scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore

Segui questi passaggi:

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiCentro sicurezzae poiStrumento di indagine.
  3. Nell'elenco a discesa Origine dati, scegli Eventi del log di Access Transparency.
  4. Fai clic su Aggiungi condizione.
    Puoi includere una o più condizioni nella tua ricerca, nonché personalizzarla con query nidificate, ossia ricerche con condizioni su 2 o 3 livelli. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  5. Scegli uno degli attributi nell'elenco a discesa Attributo, ad esempio Attore o Data. Per un elenco completo degli attributi disponibili per gli eventi del log di Access Transparency, consulta la sezione seguente.

    Nota: se riduci l'intervallo di date della ricerca, i risultati appariranno più velocemente nello strumento di indagine. Ad esempio, se circoscrivi la ricerca agli eventi accaduti nell'ultima settimana, il risultato della query verrà restituito più rapidamente di quanto accadrebbe con un intervallo di date più ampio.
     
  6. Scegli un operatore, ad esempio È, Non è, Contiene o Non contiene.
  7. Scegli o inserisci un valore per l'attributo. Per alcuni attributi puoi scegliere da un elenco a discesa, mentre per altri devi digitare un valore.
  8. (Facoltativo) Per includere più condizioni di ricerca, ripeti i passaggi precedenti.
  9. Fai clic su Cerca.
    Nello strumento di indagine, i risultati di ricerca vengono mostrati in una tabella nella parte inferiore della pagina.
  10. (Facoltativo) Per salvare la ricerca, fai clic su Salva e inserisci un titolo e una descrizione, quindi fai clic su Salva.

Nota: nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori E/O. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:

Attributo Descrizione
Nome del gruppo dell'attore

Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google.

Per aggiungere un gruppo alla lista consentita dei gruppi filtro:

  1. Seleziona Nome del gruppo dell'attore.
  2. Fai clic su Gruppi filtro.
    Viene visualizzata la pagina Gruppi filtro.
  3. Fai clic su Aggiungi gruppi.
  4. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo.
  5. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo.
  6. Quando hai selezionato tutti i gruppi che ti interessano, fai clic su Aggiungi.
  7. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo .
  8. Fai clic su Salva.
Ufficio principale dell'attore

Ufficio principale dell'attore che ha eseguito l'accesso ai dati. Mostra il codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente.

I valori includono:

  • Identificatore di 3 caratteri del continente se il membro del personale Google si trova in un paese a bassa densità di popolazione, ad esempio ASI, EUR, OCE, AFR, NAM, SAM o ANT
  • "??" indica che la località non è disponibile
Unità organizzativa che ha eseguito l'azione Unità organizzativa dell'attore
Data Data e ora dell'evento, riportate nel fuso orario predefinito del browser
Evento L'azione evento registrata, ad esempio Accesso alla risorsa eseguito
Prodotto Google Workspace Nome del prodotto a cui è stato eseguito l'accesso
Motivazioni Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678
ID log ID log univoco
Per conto di Indirizzi email degli utenti la cui autorità è stata utilizzata per i controlli di Access Management
Email proprietario L'ID email o l'identificatore del team del cliente proprietario della risorsa
Nome della risorsa Nome della risorsa a cui è stato eseguito l'accesso
Ticket Eventuali richieste di assistenza associate alla motivazione

Adottare azioni basate sui risultati di ricerca

Dopo aver eseguito una ricerca nello strumento di indagine, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento di indagine per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli sulle azioni che puoi eseguire nello strumento di indagine, vedi Adottare azioni basate sui risultati di ricerca.

Creare regole di attività e configurare avvisi

Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire regole di attività.

Gestire le indagini

Visualizzare il proprio elenco di indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini. L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica. 

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.

Configurare le impostazioni per le indagini

Come super amministratore, puoi fare clic su Impostazioni per:

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attivare o disattivare l'opzione Abilita motivazione azione.

Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.

Gestire le colonne nei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca. 

  1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne.
  2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi elemento.
  3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
    Ripeti questa operazione in base alle necessità.
  4. (Facoltativo) Per modificare l'ordine delle colonne, puoi trascinarne il nome.
  5. Fai clic su Salva.
Esportare i dati dai risultati di ricerca
  1. Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
  2. Inserisci un nomee poifai clic su Esporta.
    L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta.
  3. Per visualizzare i dati, fai clic sul nome dell'esportazione.
    L'esportazione si apre in Fogli Google.

Quando visualizzi i risultati di ricerca esportati, tieni presente quanto segue:

  • Dopo aver fatto clic su Esporta tutto nella parte superiore della tabella, nella cartella Il mio Drive viene creato un foglio Google che contiene i risultati di ricerca. A seconda delle dimensioni dei risultati, il processo di esportazione potrebbe richiedere del tempo e potrebbero essere creati più fogli Google. Il numero complessivo dei risultati dell'esportazione è limitato a 30 milioni di righe (ad eccezione delle ricerche di messaggi Gmail, i cui risultati sono limitati a 1,25 milioni di righe).
  • Mentre l'esportazione è in corso, ai fogli Google creati viene assegnato un nome provvisorio, ad esempio TMP-1-<titolo>. Se vengono creati più fogli Google, i file aggiuntivi saranno denominati TMP-2-<titolo>, TMP-3-<titolo> e così via. Al termine del processo di esportazione, i file vengono automaticamente rinominati <title> [1 di N], <title> [2 di N] e così via. Se i dati esportati sono contenuti in un solo foglio Google, il file viene rinominato <title>.
  • Le autorizzazioni di condivisione per i file contenenti i risultati di ricerca esportati si riferiscono alla configurazione del tuo dominio. Ad esempio, se i file creati vengono condivisi con tutti gli utenti dell'azienda per impostazione predefinita, anche i dati esportati avranno la stessa visibilità. 
Condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.

Quando vengono resi disponibili i dati e per quanto tempo?

Per saperne di più sulle origini dati, vedi Conservazione dei dati e tempi di attesa.

Comprendere i dati del log di Access Transparency

Descrizione dei campi del log

Nome del campo del log Nome del campo del sistema Descrizione
Data items:id:time L'ora in cui è stato creato il log
Prodotto Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME Il prodotto del cliente al quale è stato eseguito l'accesso. È necessario usare le maiuscole. Ad esempio:
  • GMAIL
  • CALENDAR
  • DRIVE
  • FOGLI
  • PRESENTAZIONI
Email proprietario items:events:parameters:OWNER_EMAIL L'ID email o l'identificatore del team del cliente proprietario della risorsa
Ufficio principale dell'attore items:events:parameters:ACTOR_HOME_OFFICE

Codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente:

  • "??" se la località non è disponibile
  • Identificatore di 3 caratteri del continente (ASI, EUR, OCE, AFR, NAM, SAM, ANT) se il membro del personale Google si trova in un paese a bassa densità di popolazione
Motivazioni

items:events:parameters:JUSTIFICATIONS

Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678
Ticket ticket Eventuali richieste di assistenza associate alla motivazione
ID log items:events:parameters:LOG_ID ID log univoco
Nome risorsa items:events:parameters:RESOURCE_NAME Nome della risorsa a cui è stato eseguito l'accesso. I nomi delle risorse possono essere utilizzati nello strumento di indagine sulla sicurezza per identificare ulteriormente i problemi di sicurezza e privacy nel tuo dominio, assegnare loro una priorità e intervenire in modo adeguato.
Per conto di items:events:parameters:ON_BEHALF_OF Il destinatario dell'accesso. La persona con cui un documento viene condiviso potrebbe essere il destinatario dell'intervento di assistenza piuttosto che il proprietario. Il parametro Per conto di fornisce informazioni aggiuntive per comprendere il contesto di un accesso.
Criterio di Access Management items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Il criterio di Access Management convalidato prima dell'accesso. Si applica solo ai clienti per i quali è configurata la soluzione Access Management.

Descrizioni delle motivazioni

Motivo Descrizione
Richiesta di supporto inviata dal cliente Assistenza richiesta dal cliente, ad esempio un numero di richiesta.
Revisione di un abuso avviata dall'esterno

 

 Le revisioni degli abusi avviate dall'esterno sono attivate quando i contenuti vengono segnalati a Google per la revisione.
  • Gli utenti possono segnalare contenuti come illeciti rispetto ai Termini di servizio di Google.
  • In qualità di super amministratore, puoi utilizzare lo strumento di indagine sulla sicurezza per visualizzare i dettagli associati a un documento, tra cui il titolo, il proprietario, il tipo e gli eventi di log relativi che si sono verificati negli ultimi 180 giorni:
  1. Nello strumento di indagine, esegui una ricerca utilizzando l'origine dati Eventi del log di Drive.
  2. In Condizioni, fai clic su ID documento.
  3. Copia l'ID risorsa dal log di Access Transparency e incollalo nel campo ID documento dello strumento di indagine.
  4. Fai clic su Cerca

Per ulteriori dettagli e istruzioni, vedi Personalizzare le ricerche nello strumento di indagine.

Scopri di più sulle segnalazioni di abuso.
Risposta di Google a un avviso relativo alla produzione Accesso avviato da Google per preservare l'affidabilità del sistema in caso di sospetta interruzione, ad esempio:
  • Indagini mirate a verificare che un cliente non sia interessato da una sospetta interruzione del servizio.
  • Backup e ripristino da interruzioni del servizio e malfunzionamenti del sistema.
Revisione avviata da Google Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità, come ad esempio:
  • Per garantire la sicurezza degli account e dei dati dei clienti.
  • Per verificare se i dati sono stati interessati da un evento che potrebbe influenzare la sicurezza dell'account (ad esempio infezioni da malware).
  • Per verificare se il cliente utilizza i servizi Google in conformità con i Termini di servizio di Google.
  • Per esaminare reclami di altri utenti e clienti o altri segnali di attività illecite.
  • Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio norme antiriciclaggio).

Servizio avviato da Google

Accesso avviato da Google per la manutenzione e l'erogazione continue dei servizi Google Cloud, tra cui ad esempio:

  • Debug tecnico necessario per una richiesta di assistenza o un'indagine complessa.
  • Soluzione di problemi tecnici, ad esempio malfunzionamenti isolati nello spazio di archiviazione o problemi di integrità dei dati.
Richiesta di dati di terze parti Accessi ai dati dei clienti da parte di Google per rispondere a una richiesta di tipo legale o a un procedimento giudiziario. Sono inclusi i casi in cui il nostro accesso ai dati di un cliente è necessario per rispondere a un procedimento giudiziario avviato da quest'ultimo.

In questo caso, se Google non può informare legalmente il cliente della richiesta o del procedimento, i log di Access Transparency potrebbero non essere disponibili.

Configurare un avviso di Access Transparency

Puoi configurare un avviso via email per uno o più filtri di log, ad esempio Email proprietario e Ufficio principale dell'attore. Puoi anche attivare un avviso per tutti i log di tutti i prodotti che supportano Access Transparency.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiCentro sicurezzae poiStrumento di indagine.
  3. Nell'elenco a discesa Origine dati, scegli Eventi del log di Access Transparency.
  4. Fai clic su + Aggiungi un filtro.
  5. Seleziona uno o più filtri e fai clic su Applica.
  6. (Facoltativo) Per attivare un avviso per tutti i log di tutti i prodotti supportati, fai clic su Nome eventoe poiAccesso. Viene creato un filtro denominato Nome evento: Accesso.
  7. Fai clic su Crea regola per i report  e inserisci il nome della regola, quindi immetti gli indirizzi email degli eventuali altri destinatari dell'avviso.
  8. Fai clic su Crea.

Integrare i dati del log di Access Transparency con strumenti di terze parti

Puoi utilizzare l'API Reports per integrare i log di Access Transparency con i tuoi strumenti di gestione degli eventi e delle informazioni di sicurezza (SIEM) esistenti. Per ulteriori informazioni, vai all'articolo sugli eventi relativi alle attività di Access Transparency.

Quando sono disponibili i dati? Per quanto tempo?

Vai a Conservazione dei dati e tempi di attesa.

 

Argomenti correlati

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
1286927622092341709
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false