Инструмент "Анализ безопасности" поддерживает поиск по журналу прозрачного доступа в следующих версиях: Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus. Сравнение версий
Как администратор организации, вы можете искать в инструменте "Анализ безопасности" события, записанные в журнал прозрачного доступа, и проверять, какие действия выполняли сотрудники Google, получив доступ к вашим данным.
Журнал прозрачного доступа содержит следующую информацию о событиях:
- название ресурса и действие, которое с ним выполнялось;
- время выполнения действия;
- причину действия, например номер запроса в службу поддержки от пользователя;
- информацию о сотруднике Google, выполнившем действие с данными, например местоположение его офиса.
Дополнительная информация приведена в статье Прозрачный доступ. Просмотр журналов доступа сотрудников Google к контенту пользователей.
Как пересылать данные журналов в Google Cloud
Вы можете предоставить Google Cloud доступ к данным журналов. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.
Доступ к инструменту "Анализ безопасности"
- Инструмент "Анализ безопасности" доступен в версиях Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus.
- Администраторы Cloud Identity Premium, Frontline Standard, Enterprise Standard и Education Standard также могут использовать инструмент "Анализ безопасности", но список источников данных для них ограничен.
- Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, можно найти информацию на странице аудита и анализа. Подробнее о расширенных возможностях аудита и анализа…
- В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.
Как найти события из журнала прозрачного доступа
Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. После этого добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.
Затем сделайте следующее:
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Центр безопасности
- В раскрывающемся списке Источник данных выберите События в журнале прозрачного доступа.
- Нажмите Добавить условие.
Можно указать одно или несколько условий. Вы также можете создавать вложенные запросы с двумя или тремя уровнями условий. Подробнее о том, как использовать вложенные запросы при поиске… - В раскрывающемся списке Атрибут выберите один из атрибутов, например Пользователь или Дата. Полный список атрибутов, доступных для событий в журнале прозрачного доступа, приведен в разделе ниже.
Примечание. Если вы сузите диапазон дат, результаты будут получены быстрее. Например, если указать, что вам нужны данные только за последнюю неделю, поиск будет выполнен быстрее, чем без этого условия.
- Выберите оператор, например Равно, Не равно, Содержит или Не содержит.
- Выберите значение атрибута из раскрывающегося списка или введите его вручную.
- (Необязательно.) Чтобы указать несколько условий поиска, повторите шаги выше.
- Нажмите Поиск.
Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы. - (Необязательно.) Чтобы сохранить поисковый запрос, нажмите на значок Сохранить
, введите название и описание и нажмите кнопку Сохранить.
Примечание. Фильтры на вкладке Конструктор условий представлены в виде условий с операторами "И/ИЛИ". На вкладке Фильтр вы можете ограничить результаты поиска с помощью простых пар параметров и значений.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
| Атрибут | Описание |
|---|---|
| Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
| Адрес основного офиса сотрудника |
Домашний офис пользователя, выполнившего доступ к данным, с указанием кода страны или региона (в формате ISO 3166-1 alpha-2). Возможные варианты:
|
| Организационное подразделение пользователя | Организационное подразделение, к которому относится исполнитель. |
| Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
| Событие | Сведения о действии в зарегистрированном событии, например Получен доступ к ресурсу. |
| Продукт Google Workspace | Название продукта, к которому был выполнен доступ. |
| Причины | Причины доступа, например Запрос в службу поддержки от клиента, номер запроса: 12345678. |
| Идентификатор журнала | Уникальный идентификатор журнала. |
| От чьего имени | Адреса электронной почты пользователей, чьи права использовались для функций управления доступом. |
| Адрес электронной почты владельца | Идентификатор электронной почты или идентификатор команды, принадлежащий клиенту – владельцу ресурса. |
| Название ресурса | Название ресурса, к которому был выполнен доступ. |
| Запросы | Запросы, связанные с причиной доступа (при наличии). |
Какие действия можно выполнить с результатами поиска
Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробная информация о возможных действиях в инструменте "Анализ безопасности" приведена в статье Какие действия можно выполнять с результатами поиска.
Как создавать правила активности и настраивать оповещения
Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробные сведения и инструкции приведены в статье Как создавать правила активности с использованием инструмента "Анализ безопасности".
Как управлять процессом анализа
Как посмотреть список анализовЧтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставили доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.
На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.
Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.
Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:
- Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
- Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
- Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
- Включить или отключить параметр Включить обоснование действия.
Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы результатов поиска нажмите на значок "Управление столбцами"
.
- Чтобы удалить отображаемые столбцы, нажмите на значок "Удалить"
.
- Чтобы добавить столбцы, рядом с надписью "Добавить столбец" нажмите на стрелку вниз
и выберите вариант из списка.
При необходимости повторите действия для другого запроса. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
- В верхней части таблицы результатов поиска нажмите Экспортировать все.
- Введите название
Экспортированные данные будут показаны под таблицей результатов поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы посмотреть данные, нажмите на название экспорта.
Данные откроются в Google Таблицах.
При работе с экспортированными результатами поиска обратите внимание на приведенные ниже примечания.
- После того как вы нажмете кнопку Экспортировать все в верхней части таблицы, в папке "Мой диск" будет создана таблица Google с результатами поиска. Если их окажется много, экспорт займет больше времени, а вместо одной таблицы может появиться несколько. Всего можно экспортировать не более 30 млн строк (1,25 млн строк для писем Gmail).
- В процессе экспорта таблице Google присваивается временное название, например TMP-1-<название>. Если файлов окажется больше одного, им будут даны названия TMP-2-<название>, TMP-3-<название> и т. д. После окончания экспорта файлы будут автоматически переименованы в <название> [1 из N], <название> [2 из N] и т. д. Если все результаты поместятся в один файл, он будет переименован в <название>.
- Права доступа к файлам с экспортированными результатами поиска определяются настройками, заданными в домене. Например, если по умолчанию создаваемые объекты видны всем пользователям в организации, то файлы с результатами действий тоже будут доступны каждому сотруднику.
Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.
Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.
Чтобы узнать больше об источниках данных, изучите статью Задержка при обновлении отчетов и сроки хранения данных.
Общие сведения о данных журнала прозрачного доступа
Описание полей журнала
| Название поля журнала | Системное название поля | Описание |
|---|---|---|
| Дата | items:id:time | Дата добавления записи в журнал. |
| Продукт Google Workspace | items:events:parameters:GSUITE_PRODUCT_NAME | Продукт клиента, к которому был выполнен доступ. Название указывается прописными буквами, например:
|
| Адрес электронной почты владельца | items:events:parameters:OWNER_EMAIL | Идентификатор электронной почты или идентификатор команды, принадлежащий клиенту – владельцу ресурса. |
| Адрес основного офиса сотрудника | items:events:parameters:ACTOR_HOME_OFFICE |
Код страны или региона (в формате ISO 3166-1 alpha-2), где находится офис сотрудника Google, выполнившего доступ.
|
| Причины |
items:events:parameters:JUSTIFICATIONS |
Причины доступа, например Запрос в службу поддержки от клиента, номер запроса: 12345678. |
| Запросы | tickets | Запросы, связанные с причиной доступа (при наличии). |
| Идентификатор журнала | items:events:parameters:LOG_ID | Уникальный идентификатор журнала. |
| Название ресурса | items:events:parameters:RESOURCE_NAME | Название ресурса, к которому был выполнен доступ. Названия ресурсов в инструменте "Анализ безопасности" помогают идентифицировать, сортировать и устранять проблемы с конфиденциальностью и безопасностью в домене. |
| От чьего имени | items:events:parameters:ON_BEHALF_OF | Пользователь, у которого возникла проблема, для решения которой потребовался доступ. Адресатом поддержки может быть не владелец документа, а пользователь, с которым этим документом поделились. Информация в поле От чьего имени помогает лучше понять, из-за чего понадобился доступ. |
| Правило управления доступом | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
Правило управления доступом, которое было проверено перед обращением к документу (только для клиентов, у которых настроено управление доступом). |
Описания причин доступа
| Причина | Описание |
|---|---|
| Запрос в службу поддержки от клиента | Доступ для оказания поддержки по инициативе клиента (например, с указанием определенного номера запроса). |
| Проверка на наличие нарушений по внешнему запросу
|
Такие проверки проводятся, когда в Google поступают жалобы на контент.
Подробные сведения и инструкции приведены в разделе Справочного центра Как выполнить поиск в инструменте "Анализ безопасности". Подробнее о жалобах на нарушения… |
| Реагирование Google на сбой в работе | Доступ по инициативе Google для поддержания надежности систем в связи с возможным сбоем, например:
|
| Проверка, инициированная Google | Доступ по инициативе Google в связи с обеспечением безопасности, предотвращением мошенничества или других нарушений или в целях соблюдения законодательства. Возможны следующие причины:
|
|
Обслуживание, инициированное Google |
Доступ по инициативе Google в рамках стандартного обслуживания и обеспечения работы сервисов Google Cloud. Например:
|
| Запрос данных третьими лицами | Доступ по инициативе Google для реагирования на официальный запрос или требование в рамках судебного процесса, включая случаи, когда процесс инициирован самим клиентом и для получения нужной информации требуется доступ к его данным. Если компания Google не имеет права уведомлять вас о таком запросе или процессе, информация об обращении к данным может не показываться в журнале прозрачного доступа. |
Как настроить отправку оповещений для журналов прозрачного доступа
Вы можете настроить оповещения по электронной почте для одного или нескольких фильтров журнала, например "Электронная почта владельца" или "Адрес основного офиса сотрудника". Можно также настроить отправку оповещений для всех журналов тех продуктов, которые поддерживают прозрачный доступ.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- В раскрывающемся списке Источник данных выберите События в журнале прозрачного доступа.
- Нажмите + Добавить фильтр.
- Выберите один или несколько фильтров и нажмите Применить.
- (Необязательно.) Чтобы включить отправку оповещений для всех журналов тех продуктов, которые поддерживают прозрачный доступ, выберите Название события
- Нажмите на значок Создать правило
, введите название правила, а затем укажите адреса электронной почты получателей оповещения.
- Нажмите Создать.
Как интегрировать данные журнала прозрачного доступа со сторонними инструментами
Чтобы интегрировать журналы прозрачного доступа с существующими инструментами управления информацией и событиями, связанными с безопасностью (SIEM), воспользуйтесь Reports API. Подробнее о событиях журнала прозрачного доступа…
Когда данные становятся доступны и как долго они хранятся?
Подробная информация приведена в статье Сроки хранения данных и задержки.
