Utgåvor som stöds för datakällan för händelser i loggen för åtkomstinsyn i utredningsverktyget: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus. Jämför utgåvor
Som organisationens administratör kan du använda verktyget för säkerhetsutredningar för att köra sökningar som rör händelser i loggen för åtkomstinsyn. Där kan du se uppgifter om åtgärder som Google-anställda utför vid åtkomst till din data.
Händelsedata i loggen för åtkomstinsyn innehåller information om
- den berörda resursen och åtgärden
- tiden för åtgärden
- anledningen till åtgärden (till exempel ärendenumret som är kopplat till en begäran om kundsupport)
- den Google-medarbetare som har utfört åtgärden (till exempel kontorsplats).
Mer information finns i Åtkomstinsyn: Visa loggar med åtkomst till användarinnehåll på Google.
Vidarebefordra loggdata till Google Cloud
Du kan välja att dela loggdata med Google Cloud. Om du aktiverar delning vidarebefordras data till Cloud Logging där du kan söka i och se dina loggar samt kontrollera hur du dirigerar och lagrar dina loggar.
Din åtkomst till verktyget för säkerhetsutredningar
- De utgåvor som stöds för verktyget för säkerhetsutredningar är Enterprise Plus, Education Standard, Education Plus och Enterprise Essentials Plus.
- Administratörer med Cloud Identity-premiumversion, Frontline Standard, Enterprise Standard och Education Standard kan också använda utredningsverktyget för en delmängd av datakällorna.
- Möjligheten att göra en sökning i utredningsverktyget beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Om du inte kan köra en sökning i utredningsverktyget för en viss datakälla kan du i allmänhet använda gransknings- och utredningssidan i stället. Mer information finns i Förbättrad granskning och utredning.
- Du kan köra en sökning i utredningsverktyget på alla användare, oavsett vilken Google-utgåva de har.
Kör en sökning efter händelser i logen för åtkomstinsyn
Om du vill köra en sökning i utredningsverktyget väljer du först en datakälla. Du måste sedan välja ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde.
Gör så här:
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn SäkerhetSäkerhetscenterUtredningsverktyg.
- På rullgardinsmenyn Datakälla väljer du Händelser i logg för åtkomstinsyn.
- Klicka på Lägg till villkor.
Du kan inkludera ett eller flera villkor i din sökning. Du kan även anpassa sökningen med kapslade frågor – sökningar med två eller tre villkorsnivåer (mer information finns i Anpassa sökningen med kapslade frågor). - På rullgardinsmenyn Attribut väljer du ett av attributen, till exempel Aktör eller Datum. En fullständig lista över attribut som är tillgängliga för händelser i logg för åtkomstinsyn finns i avsnittet nedan.
Obs! Om du begränsar datumintervallet för sökningen visas resultaten snabbare i utredningsverktyget. Om du till exempel begränsar sökningen till händelser från den senaste veckan visas resultatet snabbare än om du söker utan att begränsa frågan till en kortare tidsperiod.
- Välj en operator, till exempel Är, Är inte, Innehåller eller Innehåller inte.
- Välj eller ange ett värde för attributet. För vissa attribut kan du välja alternativ på en rullgardinsmeny. För andra attribut anger du ett värde.
- (Valfritt) Upprepa stegen ovan om du vill inkludera flera sökvillkor.
- Klicka på Sök.
Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan. - (Valfritt) Om du vill spara sökningen klickar du på Spara , anger en titel och beskrivning och klickar sedan på Spara.
Obs! På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
Attributbeskrivningar
För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:
Attribut | Beskrivning |
---|---|
Grupp-id |
Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp. Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:
|
Användarens hemmakontor |
Hemmakontoret för skådespelaren som utförde dataåtkomsten. Visar ISO 3166-1 alfa-2-lands-/regionkoden där personen som fått åtkomst har ett permanent skrivbord. Värdena innefattar:
|
Organisationsenhet för aktör | Aktörens organisationsenhet |
Datum | Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon) |
Händelse | Den loggade händelseåtgärden, till exempel Resursen har nåtts |
Google Workspace-produkt | Namn på produkten som nåtts |
Motiveringar | Få åtkomst till motiveringar, till exempel Kundinitierad support – ärendenummer: 12345678. |
Logg-id | Unikt logg-id |
På uppdrag av | E-postadress(er) för de användare vars behörighet användes för kontroller för Åtkomsthantering |
Ägarens e-post | E-postadress eller teamidentifierare för den kund som äger resursen |
Resursnamn | Namn på resursen som nåtts |
Ärenden | Ärenden som är kopplade till eventuella motiveringar |
Vidta åtgärder baserat på sökresultat
När du har gjort en sökning i utredningsverktyget kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda utredningsverktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Läs mer om åtgärder i utredningsverktyget i Vidta åtgärder baserat på sökresultat.
Skapa aktivitetsregler och konfigurera varningar
Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i utredningsverktyget och konfigurera varningar genom att skapa aktivitetsregler. Konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information och instruktioner finns i Skapa och hantera aktivitetsregler.
Hantera dina utredningar
Visa listan över utredningarVisa en lista över utredningar som du äger och som har delats med dig genom att klicka på Visa utredningar . Utredningslistan innehåller utredningarnas namn, beskrivningar och ägare samt det datum då de senast ändrades.
I den här listan kan du vidta åtgärder för utredningar du äger. Du kan till exempel radera en utredning. Markera kryssrutan för en utredning och klicka sedan på Åtgärder.
Obs! Direkt ovanför listan över utredningar kan du under Snabbåtkomst se de undersökningar som nyligen har sparats.
Som avancerad administratör klickar du på Inställningar för att göra följande:
- Ändra tidszon för dina undersökningar. Tidszonen tillämpas på sökvillkoren och resultaten.
- Aktivera eller inaktivera Kräv granskare. Mer information finns i Kräv granskare för massåtgärder.
- Aktivera eller inaktivera Visa innehåll. Med den här inställningen kan administratörer med relevant behörighet visa innehåll.
- Slå på eller av Aktivera åtgärdsanpassning.
Anvisningar och detaljer finns i Konfigurera inställningar för undersökningar.
Du kan styra vilka datakolumner som visas i sökresultaten.
- Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
- (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort objekt .
- (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till ny kolumn och väljer datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du kolumnnamnet.
- Klicka på Spara.
- Klicka på Exportera alla högst upp i sökresultattabellen.
- Ange ett namn klicka på Exportera.
Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat. - Klicka på exportens namn om du vill visa informationen.
Exporten öppnas i Google Kalkylark.
Följ de här riktlinjerna när du visar exporterade sökresultat:
- När du har klickat på knappen Exportera alla högst upp i tabellen skapas ett Google-kalkylark med sökresultaten i mappen Min enhet. Beroende på resultatens storlek kan exportprocessen ta lite tid och flera Google-kalkylark kan skapas. Gränsen för exporterade resultat är 30 miljoner rader (förutom när det gäller sökningar i Gmail-meddelanden, som begränsas till 1,25 miljoner rader).
- Medan exportprocessen pågår skapas Google-kalkylarken med tillfälliga namn, till exempel TMP-1-<titel>. Om flera Google-kalkylark skapas får de ytterligare filerna namn som TMP-2-<titel>, TMP-3-<titel> och så vidare. När exportprocessen är klar ändras filnamnen automatiskt till: <titel> [1 av N], <titel> [2 av N] och så vidare. Om du bara har ett Google-kalkylark med exporterad data får filen namnet <titel>.
- Delningsbehörigheterna för filer med de exporterade sökresultaten följer konfigurationen på domänen. Om standardinställningen till exempel är att alla filer som skapas delas med alla på företaget får även filerna med exporterad data den här synligheten.
Om du vill spara dina sökkriterier eller dela dem med andra kan du skapa och spara en utredning och sedan dela, duplicera eller radera den.
Mer information finns i Spara, dela, radera och duplicera utredningar.
Läs mer om datakällor i Datalagring och fördröjningar.
Tolka loggdata för åtkomstinsyn
Loggfältbeskrivningar
Loggfältnamn | Systemfältnamn | Beskrivning |
---|---|---|
Datum | items:id:time | Tid då loggen skrevs |
Google Workspace-produkt | items:events:parameters:GSUITE_PRODUCT_NAME | Kundens produkt som nåtts. Versaler krävs. Kan vara:
|
Ägarens e-post | items:events:parameters:OWNER_EMAIL | E-postadress eller teamidentifierare för den kund som äger resursen |
Användarens hemmakontor | items:events:parameters:ACTOR_HOME_OFFICE |
ISO 3166-1 alfa-2-lands-/regionkod där personen som fått åtkomst har ett permanent skrivbord:
|
Motiveringar |
items:events:parameters:JUSTIFICATIONS |
Få åtkomst till motiveringar, till exempel Kundinitierad support – ärendenummer: 12345678. |
Ärenden | tickets | Ärenden som är kopplade till eventuella motiveringar |
Logg-id | items:events:parameters:LOG_ID | Unikt logg-id |
Resursnamn | items:events:parameters:RESOURCE_NAME | Namn på resursen som nåtts. Resursnamn kan användas i verktyget för säkerhetsutredningar för att identifiera, utvärdera och agera på säkerhets- och integritetsfrågor på domänen. |
På uppdrag av | items:events:parameters:ON_BEHALF_OF | Målet för åtkomsten. Den som delar ett dokument kan vara målet för support snarare än ägaren. På uppdrag av ger extra information om sammanhanget för en viss åtkomst. |
Policy för åtkomsthantering | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
Den policy för åtkomsthantering som validerats före åtkomst. Gäller endast kunder som har konfigurerat åtkomsthantering. |
Motiveringar
Orsak | Beskrivning |
---|---|
Kundinitierad support | Kundinitierad support, exempelvis ett ärendenummer |
Externt initierad granskning av otillåten användning
|
Externt initierade granskningar av otillåten användning startas när innehållet anmäls till Google för granskning.
Mer information och anvisningar finns i Anpassa sökningar i utredningsverktyget. Läs mer om att anmäla otillåten användning. |
Googles svar på produktionsvarning | Google-initierad åtkomst för att bibehålla systemtillförlitligheten vid ett misstänkt avbrott, inklusive:
|
Google-initierad granskning | Google-initierad åtkomst för säkerhets-, bedrägeri-, övergrepps- eller efterlevnadsskäl, inklusive:
|
Google-initerad tjänst |
Google-initierad åtkomst för det löpande underhållet och leveransen av Google Cloud-tjänster, däribland:
|
Databegäran från tredje part | Google får åtkomst till kunddata för att svara på en juridisk begäran eller juridisk process. Detta inkluderar när vi svarar på en juridisk process från kunden som kräver att vi får åtkomst till kundens egna uppgifter. I det här fallet är loggar för åtkomstinsyn kanske inte tillgängliga om Google inte juridiskt kan informera dig om en sådan begäran eller process. |
Konfigurera en varning för åtkomstinsyn
Du kan konfigurera en e-postvarning för ett eller flera loggfilter, till exempel ägarens e-post och användarens hemmakontor. Du kan även aktivera en varning för alla loggar i alla produkter som stöder åtkomstinsyn.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn SäkerhetSäkerhetscenterUtredningsverktyg.
- På rullgardinsmenyn Datakälla väljer du Händelser i logg för åtkomstinsyn.
- Klicka på + Lägg till ett filter.
- Välj ett eller flera filter och klicka på Tillämpa.
- (Valfritt) Om du vill aktivera en varning för alla loggar över alla produkter som stöds klickar du på HändelsenamnÅtkomst. Detta skapar ett filter som heter Händelsenamn: Åtkomst.
- Klicka på Skapa rapporteringsregel , ange ett regelnamn och ange e-postadresserna för ytterligare varningsmottagare.
- Klicka på Skapa.
Integrera data från loggen för åtkomstinsyn med verktyg från tredje part
Du kan använda Reports API för att integrera loggar för åtkomstinsyn med dina befintliga verktyg för säkerhetsinformation och händelseshantering (SIEM). Mer information finns i Aktivitetshändelser för åtkomstinsyn.
När och hur länge är data tillgänglig?
Gå till Datalagring och fördröjning.