Versioni supportate per l'origine dati Eventi del log di Access Transparency nello strumento di indagine: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus. Confronta la tua versione
In qualità di amministratore della tua organizzazione, puoi utilizzare lo strumento di indagine sulla sicurezza per eseguire ricerche relative agli eventi del log di Access Transparency, dove potrai visualizzare un registro che fornisce informazioni sulle azioni eseguite dal personale Google quando accede ai tuoi dati.
I dati sugli eventi del log di Access Transparency includono informazioni su:
- La risorsa e l'azione interessate
- L'ora dell'azione
- Il motivo dell'azione (ad esempio, il numero associato a una richiesta di assistenza clienti)
- Il membro del personale Google che svolge le operazioni sui dati (ad esempio, la sede dell'ufficio)
Per ulteriori informazioni, consulta Access Transparency: visualizzazione dei log relativi all'accesso da parte di Google ai contenuti degli utenti.
Inoltrare i dati dei log a Google Cloud
Puoi attivare la condivisione dei dati dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.
Accesso allo strumento di indagine sulla sicurezza
- Le versioni supportate per lo strumento di indagine sulla sicurezza includono Enterprise Plus, Education Standard, Education Plus ed Enterprise Essentials Plus.
- Inoltre, gli amministratori di Cloud Identity Premium, Frontline Standard, Enterprise Standard ed Education Standard possono utilizzare lo strumento di indagine per un sottoinsieme di origini dati.
- La possibilità di eseguire ricerche nello strumento di indagine dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Se non riesci a eseguire una ricerca nello strumento di indagine per un'origine dati specifica, in genere puoi utilizzare la pagina Controllo e indagine. Per saperne di più, vedi Esperienza di controllo e indagine migliorata.
- Puoi eseguire una ricerca nello strumento di indagine per tutti gli utenti, indipendentemente dalla versione di Google che utilizzano.
Eseguire una ricerca di eventi del log di Access Transparency
Per eseguire una ricerca nello strumento di indagine, scegli innanzitutto un'origine dati. Successivamente, scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.
Segui questi passaggi:
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Nell'elenco a discesa Origine dati, scegli Eventi del log di Access Transparency.
- Fai clic su Aggiungi condizione.
Puoi includere una o più condizioni nella tua ricerca, nonché personalizzarla con query nidificate, ossia ricerche con condizioni su 2 o 3 livelli. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate. - Scegli uno degli attributi nell'elenco a discesa Attributo, ad esempio Attore o Data. Per un elenco completo degli attributi disponibili per gli eventi del log di Access Transparency, consulta la sezione seguente.
Nota: se riduci l'intervallo di date della ricerca, i risultati appariranno più velocemente nello strumento di indagine. Ad esempio, se circoscrivi la ricerca agli eventi accaduti nell'ultima settimana, il risultato della query verrà restituito più rapidamente di quanto accadrebbe con un intervallo di date più ampio.
- Scegli un operatore, ad esempio È, Non è, Contiene o Non contiene.
- Scegli o inserisci un valore per l'attributo. Per alcuni attributi puoi scegliere da un elenco a discesa, mentre per altri devi digitare un valore.
- (Facoltativo) Per includere più condizioni di ricerca, ripeti i passaggi precedenti.
- Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca vengono mostrati in una tabella nella parte inferiore della pagina. - (Facoltativo) Per salvare la ricerca, fai clic su Salva e inserisci un titolo e una descrizione, quindi fai clic su Salva.
Nota: nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori E/O. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
Descrizioni degli attributi
Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:
Attributo | Descrizione |
---|---|
Nome del gruppo dell'attore |
Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro:
|
Ufficio principale dell'attore |
Ufficio principale dell'attore che ha eseguito l'accesso ai dati. Mostra il codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente. I valori includono:
|
Unità organizzativa che ha eseguito l'azione | Unità organizzativa dell'attore |
Data | Data e ora dell'evento, riportate nel fuso orario predefinito del browser |
Evento | L'azione evento registrata, ad esempio Accesso alla risorsa eseguito |
Prodotto Google Workspace | Nome del prodotto a cui è stato eseguito l'accesso |
Motivazioni | Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678 |
ID log | ID log univoco |
Per conto di | Indirizzi email degli utenti la cui autorità è stata utilizzata per i controlli di Access Management |
Email proprietario | L'ID email o l'identificatore del team del cliente proprietario della risorsa |
Nome della risorsa | Nome della risorsa a cui è stato eseguito l'accesso |
Ticket | Eventuali richieste di assistenza associate alla motivazione |
Adottare azioni basate sui risultati di ricerca
Dopo aver eseguito una ricerca nello strumento di indagine, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento di indagine per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli sulle azioni che puoi eseguire nello strumento di indagine, vedi Adottare azioni basate sui risultati di ricerca.
Creare regole di attività e configurare avvisi
Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire regole di attività.
Gestire le indagini
Visualizzare il proprio elenco di indaginiPer visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini. L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.
Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.
Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.
Come super amministratore, puoi fare clic su Impostazioni per:
- Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
- Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
- Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
- Attivare o disattivare l'opzione Abilita motivazione azione.
Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.
Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.
- Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne.
- (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi elemento.
- (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
Ripeti questa operazione in base alle necessità. - (Facoltativo) Per modificare l'ordine delle colonne, puoi trascinarne il nome.
- Fai clic su Salva.
- Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
- Inserisci un nomefai clic su Esporta.
L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta. - Per visualizzare i dati, fai clic sul nome dell'esportazione.
L'esportazione si apre in Fogli Google.
Quando visualizzi i risultati di ricerca esportati, tieni presente quanto segue:
- Dopo aver fatto clic su Esporta tutto nella parte superiore della tabella, nella cartella Il mio Drive viene creato un foglio Google che contiene i risultati di ricerca. A seconda delle dimensioni dei risultati, il processo di esportazione potrebbe richiedere del tempo e potrebbero essere creati più fogli Google. Il numero complessivo dei risultati dell'esportazione è limitato a 30 milioni di righe (ad eccezione delle ricerche di messaggi Gmail, i cui risultati sono limitati a 1,25 milioni di righe).
- Mentre l'esportazione è in corso, ai fogli Google creati viene assegnato un nome provvisorio, ad esempio TMP-1-<titolo>. Se vengono creati più fogli Google, i file aggiuntivi saranno denominati TMP-2-<titolo>, TMP-3-<titolo> e così via. Al termine del processo di esportazione, i file vengono automaticamente rinominati <title> [1 di N], <title> [2 di N] e così via. Se i dati esportati sono contenuti in un solo foglio Google, il file viene rinominato <title>.
- Le autorizzazioni di condivisione per i file contenenti i risultati di ricerca esportati si riferiscono alla configurazione del tuo dominio. Ad esempio, se i file creati vengono condivisi con tutti gli utenti dell'azienda per impostazione predefinita, anche i dati esportati avranno la stessa visibilità.
Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.
Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.
Per saperne di più sulle origini dati, vedi Conservazione dei dati e tempi di attesa.
Comprendere i dati del log di Access Transparency
Descrizione dei campi del log
Nome del campo del log | Nome del campo del sistema | Descrizione |
---|---|---|
Data | items:id:time | L'ora in cui è stato creato il log |
Prodotto Google Workspace | items:events:parameters:GSUITE_PRODUCT_NAME | Il prodotto del cliente al quale è stato eseguito l'accesso. È necessario usare le maiuscole. Ad esempio:
|
Email proprietario | items:events:parameters:OWNER_EMAIL | L'ID email o l'identificatore del team del cliente proprietario della risorsa |
Ufficio principale dell'attore | items:events:parameters:ACTOR_HOME_OFFICE |
Codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente:
|
Motivazioni |
items:events:parameters:JUSTIFICATIONS |
Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678 |
Ticket | ticket | Eventuali richieste di assistenza associate alla motivazione |
ID log | items:events:parameters:LOG_ID | ID log univoco |
Nome risorsa | items:events:parameters:RESOURCE_NAME | Nome della risorsa a cui è stato eseguito l'accesso. I nomi delle risorse possono essere utilizzati nello strumento di indagine sulla sicurezza per identificare ulteriormente i problemi di sicurezza e privacy nel tuo dominio, assegnare loro una priorità e intervenire in modo adeguato. |
Per conto di | items:events:parameters:ON_BEHALF_OF | Il destinatario dell'accesso. La persona con cui un documento viene condiviso potrebbe essere il destinatario dell'intervento di assistenza piuttosto che il proprietario. Il parametro Per conto di fornisce informazioni aggiuntive per comprendere il contesto di un accesso. |
Criterio di Access Management | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
Il criterio di Access Management convalidato prima dell'accesso. Si applica solo ai clienti per i quali è configurata la soluzione Access Management. |
Descrizioni delle motivazioni
Motivo | Descrizione |
---|---|
Richiesta di supporto inviata dal cliente | Assistenza richiesta dal cliente, ad esempio un numero di richiesta. |
Revisione di un abuso avviata dall'esterno
|
Le revisioni degli abusi avviate dall'esterno sono attivate quando i contenuti vengono segnalati a Google per la revisione.
Per ulteriori dettagli e istruzioni, vedi Personalizzare le ricerche nello strumento di indagine. Scopri di più sulle segnalazioni di abuso. |
Risposta di Google a un avviso relativo alla produzione | Accesso avviato da Google per preservare l'affidabilità del sistema in caso di sospetta interruzione, ad esempio:
|
Revisione avviata da Google | Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità, come ad esempio:
|
Servizio avviato da Google |
Accesso avviato da Google per la manutenzione e l'erogazione continue dei servizi Google Cloud, tra cui ad esempio:
|
Richiesta di dati di terze parti | Accessi ai dati dei clienti da parte di Google per rispondere a una richiesta di tipo legale o a un procedimento giudiziario. Sono inclusi i casi in cui il nostro accesso ai dati di un cliente è necessario per rispondere a un procedimento giudiziario avviato da quest'ultimo. In questo caso, se Google non può informare legalmente il cliente della richiesta o del procedimento, i log di Access Transparency potrebbero non essere disponibili. |
Configurare un avviso di Access Transparency
Puoi configurare un avviso via email per uno o più filtri di log, ad esempio Email proprietario e Ufficio principale dell'attore. Puoi anche attivare un avviso per tutti i log di tutti i prodotti che supportano Access Transparency.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Nell'elenco a discesa Origine dati, scegli Eventi del log di Access Transparency.
- Fai clic su + Aggiungi un filtro.
- Seleziona uno o più filtri e fai clic su Applica.
- (Facoltativo) Per attivare un avviso per tutti i log di tutti i prodotti supportati, fai clic su Nome eventoAccesso. Viene creato un filtro denominato Nome evento: Accesso.
- Fai clic su Crea regola per i report e inserisci il nome della regola, quindi immetti gli indirizzi email degli eventuali altri destinatari dell'avviso.
- Fai clic su Crea.
Integrare i dati del log di Access Transparency con strumenti di terze parti
Puoi utilizzare l'API Reports per integrare i log di Access Transparency con i tuoi strumenti di gestione degli eventi e delle informazioni di sicurezza (SIEM) esistenti. Per ulteriori informazioni, vai all'articolo sugli eventi relativi alle attività di Access Transparency.