Журналы Прозрачного доступа

Эта функция доступна только в пакетах G Suite Enterprise и G Suite Enterprise for Education.

Вы можете просматривать записи о действиях, выполненных пользователями организации, в журналах аудита G Suite. В журналы Прозрачного доступа заносится информация о действиях сотрудников Google при обращении к вашим данным.

В консоли администратора G Suite вы можете посмотреть отчет журнала Прозрачного доступа, который содержит следующие данные:

  • название ресурса и действие, которое с ним выполнялось;
  • дата действия;
  • причина действия, например номер запроса в службу поддержки от пользователя;
  • информация о сотруднике Google, выполнившем действие с данными, например местоположение его офиса.

Как создать отчет журнала Прозрачного доступа

Как открыть отчет журнала Прозрачного доступа

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Отчеты.

    Если вы не видите этот раздел, нажмите Добавить элементы управления внизу страницы.

  3. В разделе Проверка выберите Прозрачный доступ.

Как настроить отчет и экспортировать его данные

Как уточнить данные отчета
В левой части страницы выберите один или несколько фильтров, например название продукта G Suite или диапазон дат.

Как изменить тип отображаемых данных
Чтобы включить в отчет только нужные вам данные (например, даты или причины доступа), в правой верхней части страницы нажмите на значок управления столбцами Управлять столбцами.

Как экспортировать данные журнала
Чтобы экспортировать данные журнала в формате CSV-файла или Google Таблиц, в правой верхней части страницы нажмите на значок скачивания Скачать.

Как проанализировать данные отчета журнала Прозрачного доступа

Описание полей журнала

Название поля отчета Системное название поля Описание
Дата items:id:time Дата записи журнала.
Идентификатор журнала items:events:parameters:LOG_ID Уникальный идентификатор журнала.
Продукт G Suite items:events:parameters:GSUITE_PRODUCT_NAME Продукт G Suite клиента, к которому был выполнен доступ. Название указывается прописными буквами, например:
  • GMAIL
  • КАЛЕНДАРЬ
  • ДИСК
  • ТАБЛИЦЫ
  • ПРЕЗЕНТАЦИИ
Адрес основного офиса сотрудника items:events:parameters:ACTOR_HOME_OFFICE

Код страны, в которой расположен офис сотрудника Google, обратившегося к данным (по системе ISO 3166-1 alpha-2).

  • Если местоположение офиса недоступно, в записи будет указано "??".
  • Если сотрудник Google находится в стране с низкой плотностью населения, будет указан трехзначный идентификатор континента, например ASI, EUR, OCE, AFR, NAM, SAM или ANT.
Причины

items:events:parameters:JUSTIFICATIONS

Причины доступа, например: "Запрос в службу поддержки от клиента, номер запроса: 12345678".

Запросы tickets Запросы касательно причин доступа.
Название ресурса items:events:parameters:RESOURCE_NAME Название ресурса, к которому был получен доступ.
Электронная почта владельца items:events:parameters:OWNER_EMAIL Идентификатор электронной почты или групповой идентификатор клиента, которому принадлежит ресурс.

Причины доступа к данным

Причина Описание
CUSTOMER_INTIATED_SUPPORT Запрос в службу поддержки от клиента (например, может быть указан номер запроса).
EXTERNALLY_INITIATED_ABUSE_REVIEW

 

Проверка контента, инициированная сообщением пользователя о том, что этот контент нарушает правила.
  • Пользователи могут сообщать о том, что контент нарушает Условия использования.
  • Суперадминистратор G Suite может проверить документ, по которому было зарегистрировано сообщение, указав название ресурса Прозрачного доступа в инструменте "Анализ безопасности".
  • Подробнее о сообщениях о нарушении
GOOGLE_INITIATED_REVIEW Доступ, инициированный Google в целях обеспечения безопасности, предотвращения мошенничества, нарушений или для соблюдения требований, включая следующие причины:
  • обеспечение безопасности аккаунтов и данных клиентов;
  • проверка, повлияло ли на данные событие, которое могло нарушить безопасность аккаунта (например, установка вредоносного ПО);
  • подтверждение того, что клиент работает с сервисами Google в соответствии с Условиями использования Google;
  • расследование жалоб других пользователей и клиентов или выявление нарушений;
  • проверка, соответствует ли использование сервисов Google юридическим требованиям, например законам о противодействии отмыванию денег.
GOOGLE_INITIATED_SERVICE Доступ, инициированный Google в целях управления системой и устранения неполадок, например по следующим причинам:
  • резервное копирование и восстановление после перебоев и ошибок системы;
  • расследование для подтверждения того, что клиента не затрагивают предполагаемые неполадки с сервисом;
  • устранение технических неполадок, например сбой в работе хранилища или повреждение данных.
THIRD_PARTY_DATA_REQUEST Участие Google в юридическом запросе или судебном процессе, включая случаи, когда юридический процесс инициирован самим клиентом и для получения нужной информации требуется доступ к его данным.

Если компания Google не может уведомить вас о таком запросе или процессе по юридическим причинам, информация об обращении к данным может быть недоступна в журнале Прозрачного доступа.

Как настроить отправку оповещений для журналов Прозрачного доступа

Вы можете настроить оповещения по электронной почте для одного или нескольких фильтров журнала, например "Электронная почта владельца" или "Адрес основного офиса сотрудника". Можно также настроить отправку оповещений для всех журналов тех продуктов G Suite, которые поддерживают Прозрачный доступ.

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Отчеты.

    Если вы не видите этот раздел, нажмите Добавить элементы управления внизу страницы.

  3. В разделе Проверка выберите Прозрачный доступ.
  4. Нажмите + Добавить фильтр.
  5. Выберите один или несколько фильтров и нажмите Применить.
  6. Чтобы настроить отправку оповещений для всех журналов тех продуктов G Suite, которые поддерживают Прозрачный доступ, выберите Название события и под строкой поиска нажмите Доступ. Будет создан фильтр "Название события: Доступ".
  7. Нажмите Создание оповещения Оповещения, введите название для него и укажите адреса электронной почты других получателей оповещения.
  8. Чтобы завершить настройку, нажмите Создать.

Как интегрировать данные журнала Прозрачного доступа со сторонними инструментами

Чтобы интегрировать журналы Прозрачного доступа с существующими инструментами управления сведениями и событиями, связанными с безопасностью (SIEM), воспользуйтесь Reports API.Подробнее о событиях журнала Прозрачного доступа

Как сделать запрос по записи журнала

Чтобы запросить информацию о доступе в связи с определенной записью в журнале Прозрачного доступа, выполните следующие действия:

  1. Запишите идентификатор записи, по которой хотите запросить информацию.
  2. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  3. На главной странице консоли администратора выберите Поддержка.

    Если значка "Поддержка" нет, нажмите Добавить элементы управления в нижней части страницы.

  4. Нажмите Связаться с нами.
  5. Предоставьте службе поддержки следующие данные:
    • сообщите идентификатор нужной записи;
    • укажите, что запрос касается записи из журнала Прозрачного доступа;
    • попросите сообщить информацию о доступе к данным.

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?