Melding

Duet AI heet nu Gemini voor Google Workspace. Meer informatie

Gebeurtenissen in het Access Transparency-logboek

Tool voor beveiligingsonderzoek

Ondersteunde versies voor de gegevensbron Gebeurtenissen in het Access Transparency-logboek in de onderzoekstool: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus. Versies vergelijken

Als beheerder van uw organisatie kunt u in de tool voor beveiligingsonderzoek zoekopdrachten uitvoeren naar gebeurtenissen in het Access Transparency-logboek. Hier vindt u een overzicht van welke acties Google-medewerkers hebben uitgevoerd toen ze uw gegevens openden.

In de gebeurtenisgegevens van het Access Transparency-logboek staat onder andere deze informatie:

  • De betreffende bron en actie
  • De tijd van de actie
  • De reden voor de actie (bijvoorbeeld het casenummer van een supportverzoek)
  • Informatie over de Google-medewerker die de actie heeft uitgevoerd (bijvoorbeeld de kantoorlocatie)

Ga naar Access Transparency: logboeken over Google-toegang tot gebruikerscontent bekijken voor meer informatie.

Logboekgegevens doorsturen naar Google Cloud

U kunt toestaan dat logboekgegevens worden gedeeld met Google Cloud. Als u delen aanzet, worden gegevens doorgestuurd naar Cloud Logging. Hier kunt u logboeken bekijken en erin zoeken, en ook bepalen hoe logboeken worden gerouteerd en opgeslagen.

Uw toegang tot de tool voor beveiligingsonderzoek

  • De tool voor beveiligingsonderzoek wordt ondersteund in onder andere Enterprise Plus, Education Standard, Education Plus en Enterprise Essentials Plus.
  • Beheerders met Cloud Identity Premium, Frontline Standard, Enterprise Standard en Education Standard kunnen de onderzoekstool ook gebruiken voor een deel van de gegevensbronnen.
  • Of u een zoekopdracht kunt uitvoeren in de onderzoekstool, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. Als u geen zoekopdracht kunt uitvoeren in de onderzoekstool voor een specifieke gegevensbron, kunt u wel de controle- en onderzoekspagina gebruiken. Ga naar Nieuwe UI voor controle en onderzoek voor meer informatie.
  • U kunt in de onderzoekstool een zoekopdracht uitvoeren voor alle gebruikers, ongeacht de Google-versie die ze gebruiken.

Zoeken naar gebeurtenissen in het Access Transparency-logboek

Als u een zoekopdracht wilt uitvoeren in de onderzoekstool, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.

Volg deze stappen:

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenBeveiligingscentrumand thenOnderzoekstool.
  3. Kies in het dropdownmenu Gegevensbron de optie Gebeurtenissen in het Access Transparency-logboek.
  4. Klik op Voorwaarde toevoegen.
    U kunt een of meer voorwaarden toevoegen aan de zoekopdracht. U kunt een zoekopdracht ook aanpassen met geneste query's: zoekopdrachten met 2 of 3 niveaus aan voorwaarden (zie Een zoekopdracht aanpassen met geneste query's).
  5. Kies in het dropdownmenu Kenmerk een van de kenmerken, bijvoorbeeld Handelende gebruiker of Datum. Bekijk het gedeelte hieronder voor een volledige lijst met kenmerken die beschikbaar zijn voor gebeurtenissen in het Access Transparency-logboek.

    Opmerking: Als u een kortere periode instelt voor een zoekopdracht, verschijnen de resultaten sneller in de onderzoekstool. Als u bijvoorbeeld de zoekopdracht verfijnt naar gebeurtenissen van de afgelopen week, krijgt u sneller resultaten dan als u niet zoekt binnen een bepaalde periode.
     
  6. Kies een operator, bijvoorbeeld Is, Is niet, Bevat of Bevat niet.
  7. Kies of voer een waarde in voor het kenmerk. Sommige kenmerken hebben een dropdownmenu. Voor andere kenmerken moet u een waarde typen.
  8. (Optioneel) Herhaal de stappen hierboven om meerdere zoekvoorwaarden toe te voegen.
  9. Klik op Zoeken.
    In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina.
  10. (Optioneel) Als u de zoekopdracht wilt opslaan, klikt u op Opslaan . Voer een titel en een beschrijving in en klik op Opslaan.

Opmerking: Het tabblad Voorwaardenbuilder bevat filters als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.

Kenmerkbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u zoekt naar gegevens uit logboekgebeurtenissen:

Kenmerk Beschrijving
Naam van handelende groep

Groepsnaam van de handelende gebruiker. Ga naar Resultaten filteren op Google-groep voor meer informatie.

Zo voegt u een groep toe op de toelatingslijst voor filtergroepen:

  1. Selecteer Naam van handelende groep.
  2. Klik op Filtergroepen.
    De pagina Filtergroepen wordt geopend.
  3. Klik op Groepen toevoegen.
  4. Zoek een groep door de eerste tekens van de naam of het e-mailadres in te voeren. Selecteer de juiste groep wanneer deze verschijnt.
  5. (Optioneel) Als u nog een groep wilt toevoegen, zoekt u deze groep en selecteert u deze.
  6. Klik op Toevoegen als u de juiste groepen heeft geselecteerd.
  7. (Optioneel) Als u een groep wilt verwijderen, klikt u op Groep verwijderen .
  8. Klik op Opslaan.
Thuiskantoor handelende gebruiker

Thuiskantoor van de handelende gebruiker die de gegevenstoegang heeft uitgevoerd. Toont de ISO 3166-1 alpha-2-landcode/regiocode waarin de gebruiker die de gegevenstoegang heeft uitgevoerd, een permanent bureau heeft.

De volgende waarden zijn onder andere:

  • Continent-ID van 3 tekens als de Google-medewerker zich in een land met weinig inwoners bevindt, bijvoorbeeld ASI, EUR, OCE, AFR, NAM, SAM of ANT
  • ?? betekent dat de locatie niet beschikbaar is
Handelende organisatie-eenheid Organisatie-eenheid van de handelende gebruiker
Datum De datum en tijd van de gebeurtenis (weergegeven in de standaard tijdzone van uw browser).
Gebeurtenis De actie in de geregistreerde gebeurtenis, zoals Toegang tot faciliteit.
Google Workspace-product De naam van het product dat is geopend
Redenen Redenen voor toegang, zoals: Door klant gestarte support, casenummer: 12345678.
Logboek-ID De unieke logboek-ID.
Namens E-mailadres(sen) van de gebruikers van wie de autorisatie is gebruikt voor Access Management-functies
E-mailadres eigenaar De e-mail-ID of team-ID van de klant die eigenaar is van de bron.
Faciliteitnaam De faciliteitnaam van de bron die is geopend.
Tickets Eventuele tickets die te maken hebben met de reden.

Acties uitvoeren op basis van zoekresultaten

Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de onderzoekstool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Zie Acties uitvoeren op basis van zoekresultaten voor meer informatie over acties in de onderzoekstool.

Activiteitsregels maken en meldingen instellen

U kunt acties in de onderzoekstool automatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Zie Activiteitsregels maken en beheren voor meer informatie en instructies.

Uw onderzoeken beheren

De lijst met onderzoeken bekijken

Klik op Onderzoeken bekijken  om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.

In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.

Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.

Instellingen instellen voor onderzoeken

Klik als hoofdbeheerder op Instellingen  om het volgende te doen:

  • De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
  • Beoordeling vereisen aan- of uitzetten. Zie Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
  • Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
  • De instelling Reden voor actie aanzetten aan- of uitzetten.

Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.

Kolommen in de zoekresultaten beheren

U kunt bepalen welke gegevenskolommen worden getoond in de zoekresultaten.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
  2. (Optioneel) Als u huidige kolommen wilt verwijderen, klikt u op Item verwijderen .
  3. (Optioneel) Als u kolommen wilt toevoegen, klikt u naast 'Nieuwe kolom toevoegen' op de pijl-omlaag  en selecteert u de juiste gegevenskolom.
    Herhaal de stappen indien nodig.
  4. (Optioneel) Als u de volgorde van kolommen wilt wijzigen, versleept u de kolomnaam.
  5. Klik op Opslaan.
Gegevens exporteren uit zoekresultaten
  1. Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
  2. Vul een naam inand thenklik op Exporteren.
    De export wordt onder de tabel met zoekresultaten weergegeven, onder Actieresultaten exporteren.
  3. Klik op de naam van de export om de gegevens te bekijken.
    De export wordt geopend in Google Spreadsheets.

Het volgende geldt als u geëxporteerde zoekresultaten bekijkt:

  • Nadat u bovenaan de tabel op de knop Alles exporteren heeft geklikt, wordt er een Google-spreadsheet met de zoekresultaten gemaakt in de map Mijn Drive. Afhankelijk van de hoeveelheid resultaten kan de export enige tijd duren en kunnen er meerdere Google-spreadsheets worden gemaakt. Er kunnen in totaal niet meer dan 30 miljoen rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 1,25 miljoen rijen).
  • Tijdens de export worden er Google-spreadsheets gemaakt met een tijdelijke naam, zoals TMP-1-<titel>. Als er meerdere Google-spreadsheets worden gemaakt, krijgen aanvullende bestanden de naam TMP-2-<titel>, TMP-3-<titel> etc. Wanneer de export is voltooid, krijgen de bestanden automatisch de naam <titel> [1 van N], <titel> [2 van N] etc. Als de geëxporteerde gegevens in één Google-spreadsheet staan, krijgt dit de naam <titel>.
  • Welke rechten voor delen gelden voor bestanden met de geëxporteerde zoekresultaten, hangt af van uw domeinconfiguratie. Als gemaakte bestanden bijvoorbeeld standaard worden gedeeld met iedereen in het bedrijf, geldt deze zichtbaarheid ook voor de geëxporteerde gegevens.
Onderzoeken delen, verwijderen en dupliceren

Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.

Zie Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.

Wanneer en hoelang zijn gegevens beschikbaar?

Zie Bewaartijden van gegevens en vertragingstijden voor meer informatie over gegevensbronnen.

De gegevens in het Access Transparency-logboek begrijpen

Beschrijvingen van logboekvelden

Naam logboekveld Naam systeemveld Beschrijving
Datum items:id:time De datum waarop het logboek is gemaakt.
Google Workspace-product items:events:parameters:GSUITE_PRODUCT_NAME Het product van de klant dat is geopend. Dit moet in hoofdletters staan. Dit kan het volgende zijn:
  • GMAIL
  • AGENDA
  • DRIVE
  • SPREADSHEETS
  • PRESENTATIES
E-mailadres eigenaar items:events:parameters:OWNER_EMAIL De e-mail-ID of team-ID van de klant die eigenaar is van de bron.
Thuiskantoor gebruiker items:events:parameters:ACTOR_HOME_OFFICE

De ISO 3166-1 alpha-2-landcode/-regiocode waarin de gebruiker die de gegevens heeft geopend een permanent bureau heeft:

  • '??' als er geen locatie beschikbaar is.
  • Continent-ID van 3 tekens (ASI, EUR, OCE, AFR, NAM, SAM, ANT) als de Google-medewerker zich in een land met weinig inwoners bevindt.
Redenen

items:events:parameters:JUSTIFICATIONS

Redenen voor toegang, zoals: Door klant gestarte support, casenummer: 12345678.
Tickets tickets Eventuele tickets die te maken hebben met de reden.
Logboek-ID items:events:parameters:LOG_ID De unieke logboek-ID.
Bronnaam items:events:parameters:RESOURCE_NAME De naam van de bron die is geopend. U kunt bronnamen gebruiken in de tool voor beveiligingsonderzoek om beveiligings- en privacyproblemen in uw domein vast te stellen, verder te onderzoeken en acties te ondernemen.
Namens items:events:parameters:ON_BEHALF_OF Het doel van de toegang. Degene met wie het document is gedeeld kan het doel van de support zijn, in plaats van de eigenaar. Namens biedt extra informatie over de context van de toegang.
Access Management-beleid items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Het Access Management-beleid dat is gevalideerd voor toegang. Geldt alleen voor klanten die Access Management hebben ingesteld.

Beschrijvingen van redenen

Reden Beschrijving
Door klant gestarte support Door klant gestarte support, zoals een casenummer.
Extern gestarte misbruikbeoordeling

 

 Extern gestarte misbruikbeoordelingen worden aangeroepen als gebruikers content melden bij Google voor beoordeling.
  • Gebruikers kunnen markeren dat content misbruik maakt van de Servicevoorwaarden van Google.
  • Als hoofdbeheerder kunt u de tool voor beveiligingsonderzoek gebruiken om informatie over een document te bekijken, zoals de titel, de eigenaar, het type en de logboekgebeurtenissen over het document van de afgelopen 180 dagen:
  1. Voer in de onderzoekstool een zoekopdracht uit met de gegevensbron Drive-logboekgebeurtenissen.
  2. Klik onder Voorwaarden op Document-ID.
  3. Kopieer de bron-ID uit het Access Transparency-logboek en plak deze in het veld Document-ID in de onderzoekstool.
  4. Klik op Zoeken.

Ga naar Zoekopdrachten aanpassen in de onderzoekstool voor meer informatie en instructies.

Ontdek meer over misbruik melden.
Google-reactie op productiemelding Door Google gestarte toegang om de systeembetrouwbaarheid rond een vermoedelijke uitval te checken, zoals:
  • Onderzoeken of service-uitval problemen heeft opgeleverd voor een klant.
  • Back-ups maken en gegevens herstellen na uitval en systeemfouten.
Door Google gestarte beoordeling Door Google gestarte toegang voor beveiligings-, fraude-, misbruik- of nalevingsdoeleinden, zoals:
  • Klantaccounts en -gegevens veilig houden.
  • Checken of gegevens zijn getroffen door een gebeurtenis die invloed kan hebben gehad op de accountbeveiliging (zoals infecties met malware).
  • Controleren of de klant Google-services gebruikt volgens de Servicevoorwaarden van Google.
  • Onderzoeken van klachten van andere gebruikers en klanten of andere signalen van misbruik makende activiteit.
  • Checken of Google-services worden gebruikt volgens relevante nalevingsvereisten (zoals wetten tegen witwassen).

Door Google gestart: service

Door Google gestarte toegang voor het doorlopende onderhoud en de levering van Google Cloud-services, zoals:

  • Technische foutopsporing die nodig is voor een complex supportverzoek of onderzoek.
  • Oplossen van technische problemen, zoals geïsoleerde opslagfouten of gegevensbeschadiging.
Gegevensverzoek van derden Google analyseert klantgegevens waar nodig om te voldoen aan een juridisch verzoek of juridische procedure. Dit geldt ook wanneer we reageren op een juridische procedure van de klant waarvoor we toegang nodig hebben tot de eigen gegevens van de klant.

In dit geval zijn de Access Transparency-logboeken waarschijnlijk niet beschikbaar als Google u wettelijk niet mag informeren over een dergelijk verzoek of procedure.

Een Access Transparency-melding instellen

U kunt een e-mailmelding instellen voor een of meer logboekfilters, zoals E-mailadres eigenaar of Thuiskantoor gebruiker. U kunt ook een melding aanzetten voor alle logboeken van alle producten die Access Transparency ondersteunen.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenBeveiligingscentrumand thenOnderzoekstool.
  3. Kies in het dropdownmenu Gegevensbron de optie Gebeurtenissen in het Access Transparency-logboek.
  4. Klik op + Filter toevoegen.
  5. Selecteer een of meer filters en klik op Toepassen.
  6. (Optioneel) Als u voor alle logboeken van alle ondersteunde producten een melding wilt aanzetten, klikt u op Naam gebeurtenisand thenToegang. Er wordt een filter gemaakt met de naam Naam gebeurtenis: toegang.
  7. Klik op Rapportregel maken . Voer de naam in van een regel en voer daarna eventueel de e-mailadressen in van andere mensen die de melding moeten krijgen.
  8. Klik op Maken.

Access Transparency-logboekgegevens integreren met tools van derden

Met de Reports API kunt u Access Transparency-logboeken integreren met uw bestaande tools voor beveiligingsinformatie- en -gebeurtenisbeheer (Security Information and Event Management, SIEM). Ga naar Access Transparency Activity Events (Activiteitsgebeurtenissen in Access Transparency) voor meer informatie.

Wanneer en hoelang zijn gegevens beschikbaar?

Zie Bewaartijden van gegevens en vertragingstijden.

 

Gerelateerde onderwerpen

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
14349267157963871252
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false