Ondersteunde versies voor de gegevensbron Gebeurtenissen in het Access Transparency-logboek in de onderzoekstool: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus. Versies vergelijken
Als beheerder van uw organisatie kunt u in de tool voor beveiligingsonderzoek zoekopdrachten uitvoeren naar gebeurtenissen in het Access Transparency-logboek. Hier vindt u een overzicht van welke acties Google-medewerkers hebben uitgevoerd toen ze uw gegevens openden.
In de gebeurtenisgegevens van het Access Transparency-logboek staat onder andere deze informatie:
- De betreffende bron en actie
- De tijd van de actie
- De reden voor de actie (bijvoorbeeld het casenummer van een supportverzoek)
- Informatie over de Google-medewerker die de actie heeft uitgevoerd (bijvoorbeeld de kantoorlocatie)
Ga naar Access Transparency: logboeken over Google-toegang tot gebruikerscontent bekijken voor meer informatie.
Logboekgegevens doorsturen naar Google Cloud
U kunt toestaan dat logboekgegevens worden gedeeld met Google Cloud. Als u delen aanzet, worden gegevens doorgestuurd naar Cloud Logging. Hier kunt u logboeken bekijken en erin zoeken, en ook bepalen hoe logboeken worden gerouteerd en opgeslagen.
Uw toegang tot de tool voor beveiligingsonderzoek
- Voor de tool voor beveiligingsonderzoek is een premium Google Workspace-versie (Enterprise Standard, Enterprise Plus of Education Plus) vereist.
- U kunt via de Chrome-browser toegang krijgen tot logboeken van de Google-apps die u heeft geïnstalleerd. Bijvoorbeeld Gmail.
- Of u een zoekopdracht kunt uitvoeren in de onderzoekstool, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. Als u geen zoekopdracht kunt uitvoeren in de onderzoekstool voor een specifieke gegevensbron, kunt u wel de controle- en onderzoekspagina gebruiken.
- U kunt in de onderzoekstool een zoekopdracht uitvoeren voor alle gebruikers, ongeacht de Google-versie die ze gebruiken.
Zoeken naar gebeurtenissen in het Access Transparency-logboek
Als u een zoekopdracht wilt uitvoeren in de onderzoekstool, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.
Volg deze stappen:
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingBeveiligingscentrumOnderzoekstool.
- Kies in het dropdownmenu Gegevensbron de optie Gebeurtenissen in het Access Transparency-logboek.
- Klik op Voorwaarde toevoegen.
U kunt een of meer voorwaarden toevoegen aan de zoekopdracht. U kunt een zoekopdracht ook aanpassen met geneste query's: zoekopdrachten met 2 of 3 niveaus aan voorwaarden (zie Een zoekopdracht aanpassen met geneste query's). - Kies in het dropdownmenu Kenmerk een van de kenmerken, bijvoorbeeld Handelende gebruiker of Datum. Bekijk het gedeelte hieronder voor een volledige lijst met kenmerken die beschikbaar zijn voor gebeurtenissen in het Access Transparency-logboek.
Opmerking: Als u een kortere periode instelt voor een zoekopdracht, verschijnen de resultaten sneller in de onderzoekstool. Als u bijvoorbeeld de zoekopdracht verfijnt naar gebeurtenissen van de afgelopen week, krijgt u sneller resultaten dan als u niet zoekt binnen een bepaalde periode.
- Kies een operator, bijvoorbeeld Is, Is niet, Bevat of Bevat niet.
- Kies of voer een waarde in voor het kenmerk. Sommige kenmerken hebben een dropdownmenu. Voor andere kenmerken moet u een waarde typen.
- (Optioneel) Herhaal de stappen hierboven om meerdere zoekvoorwaarden toe te voegen.
- Klik op Zoeken.
In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina. - (Optioneel) Als u de zoekopdracht wilt opslaan, klikt u op Opslaan . Voer een titel en een beschrijving in en klik op Opslaan.
Opmerking: Het tabblad Voorwaardenbuilder bevat filters als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.
Kenmerkbeschrijvingen
Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u in gebeurtenisgegevens in logboeken zoekt:
Kenmerk | Beschrijving |
---|---|
Naam van handelende groep |
Groepsnaam van de handelende gebruiker. Ga naar Resultaten filteren op Google-groep voor meer informatie. Zo voegt u een groep toe op de toelatingslijst voor filtergroepen:
|
Thuiskantoor handelende gebruiker |
Thuiskantoor van de handelende gebruiker die de gegevenstoegang heeft uitgevoerd. Toont de ISO 3166-1 alpha-2-landcode/regiocode waarin de gebruiker die de gegevenstoegang heeft uitgevoerd, een permanent bureau heeft. De volgende waarden zijn onder andere:
|
Handelende organisatie-eenheid | Organisatie-eenheid van de handelende gebruiker |
Datum | De datum en tijd van de gebeurtenis (weergegeven in de standaard tijdzone van uw browser). |
Gebeurtenis | De actie in de geregistreerde gebeurtenis, zoals Toegang tot faciliteit. |
Google Workspace-product | De naam van het product dat is geopend |
Redenen | Redenen voor toegang, zoals: Door klant gestarte support, casenummer: 12345678. |
Logboek-ID | De unieke logboek-ID. |
Namens | E-mailadres(sen) van de gebruikers van wie de autorisatie is gebruikt voor Access Management-functies |
E-mailadres eigenaar | De e-mail-ID of team-ID van de klant die eigenaar is van de bron. |
Faciliteitnaam | De faciliteitnaam van de bron die is geopend. |
Tickets | Eventuele tickets die te maken hebben met de reden. |
Acties uitvoeren op basis van zoekresultaten
Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de onderzoekstool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Zie Acties uitvoeren op basis van zoekresultaten voor meer informatie over acties in de onderzoekstool.
Activiteitsregels maken en meldingen instellen
U kunt acties in de onderzoekstool automatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Zie Activiteitsregels maken en beheren voor meer informatie en instructies.
Uw onderzoeken beheren
De lijst met onderzoeken bekijkenKlik op Onderzoeken bekijken om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.
In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.
Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.
Klik als hoofdbeheerder op Instellingen om het volgende te doen:
- De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
- Beoordeling vereisen aan- of uitzetten. Zie Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
- Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
- De instelling Reden voor actie aanzetten aan- of uitzetten.
Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.
U kunt bepalen welke gegevenskolommen worden getoond in de zoekresultaten.
- Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
- (Optioneel) Als u huidige kolommen wilt verwijderen, klikt u op Item verwijderen .
- (Optioneel) Als u kolommen wilt toevoegen, klikt u naast 'Nieuwe kolom toevoegen' op de pijl-omlaag en selecteert u de juiste gegevenskolom.
Herhaal de stappen indien nodig. - (Optioneel) Als u de volgorde van kolommen wilt wijzigen, versleept u de kolomnaam.
- Klik op Opslaan.
- Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
- Vul een naam inklik op Exporteren.
De export wordt onder de tabel met zoekresultaten weergegeven, onder Actieresultaten exporteren. - Klik op de naam van de export om de gegevens te bekijken.
De export wordt geopend in Google Spreadsheets.
Het volgende geldt als u geëxporteerde zoekresultaten bekijkt:
- Nadat u bovenaan de tabel op de knop Alles exporteren heeft geklikt, wordt er een Google-spreadsheet met de zoekresultaten gemaakt in de map Mijn Drive. Afhankelijk van de hoeveelheid resultaten kan de export enige tijd duren en kunnen er meerdere Google-spreadsheets worden gemaakt. Er kunnen in totaal niet meer dan 30 miljoen rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 1,25 miljoen rijen).
- Tijdens de export worden er Google-spreadsheets gemaakt met een tijdelijke naam, zoals TMP-1-<titel>. Als er meerdere Google-spreadsheets worden gemaakt, krijgen aanvullende bestanden de naam TMP-2-<titel>, TMP-3-<titel> etc. Wanneer de export is voltooid, krijgen de bestanden automatisch de naam <titel> [1 van N], <titel> [2 van N] etc. Als de geëxporteerde gegevens in één Google-spreadsheet staan, krijgt dit de naam <titel>.
- Welke rechten voor delen gelden voor bestanden met de geëxporteerde zoekresultaten, hangt af van uw domeinconfiguratie. Als gemaakte bestanden bijvoorbeeld standaard worden gedeeld met iedereen in het bedrijf, geldt deze zichtbaarheid ook voor de geëxporteerde gegevens.
Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.
Zie Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.
Zie Bewaartijden van gegevens en vertragingstijden voor meer informatie over gegevensbronnen.
De gegevens in het Access Transparency-logboek begrijpen
Beschrijvingen van logboekvelden
Naam logboekveld | Naam systeemveld | Beschrijving |
---|---|---|
Datum | items:id:time | De datum waarop het logboek is gemaakt. |
Google Workspace-product | items:events:parameters:GSUITE_PRODUCT_NAME | Het product van de klant dat is geopend. Dit moet in hoofdletters staan. Dit kan het volgende zijn:
|
E-mailadres eigenaar | items:events:parameters:OWNER_EMAIL | De e-mail-ID of team-ID van de klant die eigenaar is van de bron. |
Thuiskantoor gebruiker | items:events:parameters:ACTOR_HOME_OFFICE |
De ISO 3166-1 alpha-2-landcode/-regiocode waarin de gebruiker die de gegevens heeft geopend een permanent bureau heeft:
|
Redenen |
items:events:parameters:JUSTIFICATIONS |
Redenen voor toegang, zoals: Door klant gestarte support, casenummer: 12345678. |
Tickets | tickets | Eventuele tickets die te maken hebben met de reden. |
Logboek-ID | items:events:parameters:LOG_ID | De unieke logboek-ID. |
Bronnaam | items:events:parameters:RESOURCE_NAME | De naam van de bron die is geopend. U kunt bronnamen gebruiken in de tool voor beveiligingsonderzoek om beveiligings- en privacyproblemen in uw domein vast te stellen, verder te onderzoeken en acties te ondernemen. |
Namens | items:events:parameters:ON_BEHALF_OF | Het doel van de toegang. Degene met wie het document is gedeeld kan het doel van de support zijn, in plaats van de eigenaar. Namens biedt extra informatie over de context van de toegang. |
Access Management-beleid | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
Het Access Management-beleid dat is gevalideerd voor toegang. Geldt alleen voor klanten die Access Management hebben ingesteld. |
Beschrijvingen van redenen
Reden | Beschrijving |
---|---|
Door klant gestarte support | Door klant gestarte support, zoals een casenummer. |
Extern gestarte misbruikbeoordeling
|
Extern gestarte misbruikbeoordelingen worden aangeroepen als gebruikers content melden bij Google voor beoordeling.
Ga naar Zoekopdrachten aanpassen in de onderzoekstool voor meer informatie en instructies. Ontdek meer over misbruik melden. |
Google-reactie op productiemelding | Door Google gestarte toegang om de systeembetrouwbaarheid rond een vermoedelijke uitval te checken, zoals:
|
Door Google gestarte beoordeling | Door Google gestarte toegang voor beveiligings-, fraude-, misbruik- of nalevingsdoeleinden, zoals:
|
Door Google gestart: service |
Door Google gestarte toegang voor het doorlopende onderhoud en de levering van Google Cloud-services, zoals:
|
Gegevensverzoek van derden | Google analyseert klantgegevens waar nodig om te voldoen aan een juridisch verzoek of juridische procedure. Dit geldt ook wanneer we reageren op een juridische procedure van de klant waarvoor we toegang nodig hebben tot de eigen gegevens van de klant. In dit geval zijn de Access Transparency-logboeken waarschijnlijk niet beschikbaar als Google u wettelijk niet mag informeren over een dergelijk verzoek of procedure. |
Een Access Transparency-melding instellen
U kunt een e-mailmelding instellen voor een of meer logboekfilters, zoals E-mailadres eigenaar of Thuiskantoor gebruiker. U kunt ook een melding aanzetten voor alle logboeken van alle producten die Access Transparency ondersteunen.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingBeveiligingscentrumOnderzoekstool.
- Kies in het dropdownmenu Gegevensbron de optie Gebeurtenissen in het Access Transparency-logboek.
- Klik op + Filter toevoegen.
- Selecteer een of meer filters en klik op Toepassen.
- (Optioneel) Als u voor alle logboeken van alle ondersteunde producten een melding wilt aanzetten, klikt u op Naam gebeurtenisToegang. Er wordt een filter gemaakt met de naam Naam gebeurtenis: toegang.
- Klik op Rapportregel maken . Voer de naam in van een regel en voer daarna eventueel de e-mailadressen in van andere mensen die de melding moeten krijgen.
- Klik op Maken.
Access Transparency-logboekgegevens integreren met tools van derden
Met de Reports API kunt u Access Transparency-logboeken integreren met uw bestaande tools voor beveiligingsinformatie- en -gebeurtenisbeheer (Security Information and Event Management, SIEM). Ga naar Access Transparency Activity Events (Activiteitsgebeurtenissen in Access Transparency) voor meer informatie.