รุ่นที่รองรับสำหรับแหล่งข้อมูลเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงในเครื่องมือตรวจสอบ ได้แก่ Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus เปรียบเทียบรุ่นของคุณ
ในฐานะผู้ดูแลระบบขององค์กร คุณสามารถใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อเรียกใช้การค้นหาที่เกี่ยวข้องกับเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงได้ จากจุดนี้คุณจะเห็นบันทึกของการดําเนินการที่ให้ข้อมูลเกี่ยวกับการดําเนินการของเจ้าหน้าที่ของ Google เมื่อเข้าถึงข้อมูลของคุณ
ข้อมูลเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงจะมีข้อมูลดังต่อไปนี้
- ทรัพยากรและการดำเนินการที่ได้รับผลกระทบ
- เวลาดำเนินการ
- เหตุผลของการดำเนินการ (เช่น หมายเลขเคสที่เชื่อมโยงกับคำขอรับการสนับสนุนจากลูกค้า)
- เจ้าหน้าที่ของ Google ที่ดําเนินการกับข้อมูลดังกล่าว (เช่น สถานที่ตั้งสํานักงาน)
โปรดดูข้อมูลเพิ่มเติมที่หัวข้อความโปร่งใสในการเข้าถึง: ดูบันทึกเหตุการณ์ที่ Google เข้าถึงเนื้อหาของผู้ใช้
ส่งต่อข้อมูลบันทึกไปยัง Google Cloud
คุณสามารถเลือกที่จะแชร์ข้อมูลบันทึกกับ Google Cloud ได้ หากคุณเปิดการแชร์ ข้อมูลจะส่งต่อไปยัง Cloud Logging ซึ่งคุณสามารถค้นหาและดูบันทึก รวมทั้งควบคุมการกำหนดเส้นทางและการจัดเก็บบันทึกของคุณได้
สิทธิ์เข้าถึงเครื่องมือตรวจสอบความปลอดภัย
- รุ่นที่รองรับเครื่องมือตรวจสอบความปลอดภัย ได้แก่ Enterprise Plus, Education Standard, Education Plus และ Enterprise Essentials Plus
- ผู้ดูแลระบบที่มี Cloud Identity Premium, Frontline Standard, Enterprise Standard และ Education Standard ยังสามารถใช้เครื่องมือตรวจสอบสำหรับแหล่งข้อมูลบางส่วนได้
- ความสามารถในการค้นหาในเครื่องมือตรวจสอบจะขึ้นอยู่กับรุ่นของ Google, สิทธิ์ของผู้ดูแลระบบ และแหล่งข้อมูล หากค้นหาในเครื่องมือตรวจสอบของแหล่งข้อมูลที่ต้องการไม่ได้ คุณจะใช้หน้าการตรวจสอบและการสืบสวนแทนได้ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อปรับปรุงประสบการณ์การตรวจสอบ
- คุณสามารถค้นหาผู้ใช้ทุกคนในเครื่องมือตรวจสอบได้ ไม่ว่าผู้ใช้จะใช้ Google รุ่นใดก็ตาม
เรียกใช้การค้นหาเหตุการณ์ในบันทึกความโปร่งใสในการเข้าถึง
หากต้องการเรียกใช้การค้นหาในเครื่องมือตรวจสอบ ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกเงื่อนไขอย่างน้อย 1 รายการสําหรับการค้นหา สําหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า
โปรดทำตามขั้นตอนต่อไปนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยศูนย์ความปลอดภัยเครื่องมือตรวจสอบ
- เลือกเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงจากรายการแบบเลื่อนลงของแหล่งข้อมูล
- คลิกเพิ่มเงื่อนไข
คุณจะกำหนดเงื่อนไขได้มากกว่า 1 รายการในการค้นหา และยังเลือกปรับแต่งการค้นหาได้ด้วยการค้นหาแบบซ้อน ซึ่งคือการค้นหาที่มีเงื่อนไข 2 หรือ 3 ระดับ (โปรดดูรายละเอียดที่หัวข้อปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน) - จากรายการแบบเลื่อนลงของแอตทริบิวต์ ให้เลือกแอตทริบิวต์รายการใดรายการหนึ่ง เช่น ผู้ดำเนินการหรือวันที่ ดูรายการแอตทริบิวต์ทั้งหมดที่พร้อมใช้งานสําหรับเหตุการณ์ในบันทึกความโปร่งใสในการเข้าถึงได้ที่หัวข้อด้านล่าง
หมายเหตุ: หากจำกัดช่วงวันที่ที่ต้องการค้นหาไว้ ผลการค้นหาจะปรากฏในเครื่องมือตรวจสอบเร็วขึ้น เช่น หากจำกัดขอบเขตการค้นหาไว้เฉพาะเหตุการณ์ที่เกิดขึ้นในสัปดาห์ที่ผ่านมา ระบบจะแสดงผลการค้นหาได้เร็วกว่าการค้นหาที่ไม่จำกัดกรอบเวลา
- เลือกโอเปอเรเตอร์ เช่น Is, Is not, Contains หรือ Does not contain
- เลือกหรือป้อนค่าสําหรับแอตทริบิวต์ สำหรับแอตทริบิวต์บางรายการ คุณสามารถเลือกได้จากรายการแบบเลื่อนลง สําหรับแอตทริบิวต์อื่นๆ ให้ใช้การพิมพ์ค่า
- (ไม่บังคับ) หากต้องการรวมเงื่อนไขการค้นหาหลายรายการ ให้ทําซ้ำขั้นตอนด้านบน
- คลิกค้นหา
ผลการค้นหาในเครื่องมือตรวจสอบจะแสดงเป็นตารางที่ด้านล่างของหน้า - (ไม่บังคับ) หากต้องการบันทึกการค้นหา ให้คลิกบันทึก ป้อนชื่อและคําอธิบาย แล้วคลิกบันทึก
หมายเหตุ: เมื่อใช้แท็บเครื่องมือสร้างเงื่อนไข ตัวกรองจะแสดงเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย
คำอธิบายแอตทริบิวต์
สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้
แอตทริบิวต์ | คำอธิบาย |
---|---|
ชื่อกลุ่มผู้ดำเนินการ |
ชื่อกลุ่มที่ผู้ดำเนินการอยู่ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการกรองผลลัพธ์ตาม Google Group หากต้องการเพิ่มกลุ่มไปยังรายการที่อนุญาตของกลุ่มการกรอง ให้ทำดังนี้
|
โฮมออฟฟิศของผู้ดำเนินการ |
โฮมออฟฟิศของผู้ดำเนินการที่เข้าถึงข้อมูล แสดงรหัสประเทศ/ภูมิภาคของผู้เข้าถึงข้อมูลตามมาตรฐาน ISO 3166-1 alpha-2 ค่าต่างๆ ประกอบด้วย
|
หน่วยขององค์กรผู้ดำเนินการ | หน่วยองค์กรที่ผู้ดำเนินการอยู่ |
วันที่ | วันที่และเวลาของเหตุการณ์ (ตามที่แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์) |
กิจกรรม | การดำเนินการของเหตุการณ์ที่บันทึกไว้ เช่น มีการเข้าถึงทรัพยากร |
ผลิตภัณฑ์ Google Workspace | ชื่อของผลิตภัณฑ์ที่มีการเข้าถึง |
เหตุผลรองรับ | เหตุผลรองรับการเข้าถึง เช่น Customer Initiated Support - Case Number: 12345678 |
รหัสบันทึก | รหัสบันทึกที่ไม่ซ้ำกัน |
ในนามของ | อีเมลของผู้ใช้ที่ใช้สิทธิ์ควบคุมการจัดการการเข้าถึง |
อีเมลเจ้าของ | รหัสอีเมลหรือตัวระบุทีมของลูกค้าที่เป็นเจ้าของทรัพยากร |
ชื่อทรัพยากร | ชื่อทรัพยากรของทรัพยากรที่มีการเข้าถึง |
คำขอแจ้งปัญหา | คำขอแจ้งปัญหาที่เชื่อมโยงกับเหตุผลรองรับ หากมี |
ดำเนินการตามผลการค้นหา
หลังจากทําการค้นหาในเครื่องมือตรวจสอบแล้ว คุณจะดําเนินการกับผลการค้นหาได้ เช่น คุณสามารถค้นหาตามเหตุการณ์ในบันทึกของ Gmail แล้วใช้เครื่องมือตรวจสอบเพื่อลบข้อความที่ต้องการ ส่งข้อความไปยังเขตกักบริเวณ หรือส่งข้อความไปยังกล่องจดหมายของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการดําเนินการต่างๆ ในเครื่องมือตรวจสอบที่หัวข้อดําเนินการตามผลการค้นหา
สร้างกฎกิจกรรมและตั้งค่าการแจ้งเตือน
คุณจะปรับให้การทำงานในเครื่องมือตรวจสอบเกิดขึ้นโดยอัตโนมัติและตั้งค่าการแจ้งเตือนได้โดยการสร้างกฎกิจกรรม ซึ่งจะช่วยป้องกัน ตรวจจับ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้น หากต้องการตั้งค่ากฎ ให้กําหนดเงื่อนไขสําหรับกฎ จากนั้นระบุการดําเนินการที่จะเกิดขึ้นเมื่อตรงตามเงื่อนไข โปรดดูรายละเอียดและวิธีการที่หัวข้อสร้างและจัดการกฎกิจกรรม
จัดการการตรวจสอบ
ดูรายการการตรวจสอบหากต้องการดูรายการการตรวจสอบที่คุณเป็นเจ้าของและรายการที่ผู้อื่นแชร์กับคุณ ให้คลิกดูการตรวจสอบ รายการการตรวจสอบประกอบด้วยชื่อ คําอธิบาย และเจ้าของการตรวจสอบ และวันที่แก้ไขล่าสุด
จากรายการนี้ คุณจะดำเนินการกับการตรวจสอบที่คุณเป็นเจ้าของได้ เช่น ลบการตรวจสอบ เลือกช่องสำหรับการตรวจสอบแล้วคลิกการดำเนินการ
หมายเหตุ: ที่ด้านบนของรายการการตรวจสอบ ใต้ส่วนการเข้าถึงด่วน คุณจะดูการตรวจสอบที่บันทึกไว้ล่าสุดได้
ในฐานะผู้ดูแลระบบขั้นสูง ให้คลิกการตั้งค่า เพื่อดําเนินการดังนี้
- เปลี่ยนเขตเวลาสําหรับการตรวจสอบ โดยเขตเวลาจะมีผลกับเงื่อนไขการค้นหาและผลการค้นหา
- การเปิดหรือปิดต้องมีผู้ตรวจสอบ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อต้องมีผู้ตรวจสอบสําหรับการดำเนินการหลายรายการพร้อมกัน
- เปิดหรือปิดการดูเนื้อหา การตั้งค่านี้จะอนุญาตให้ผู้ดูแลระบบที่มีสิทธิ์ในระดับที่เหมาะสมดูเนื้อหาได้
- เปิดหรือปิดการเปิดใช้เหตุผลรองรับการดําเนินการ
โปรดดูวิธีการและรายละเอียดที่หัวข้อกําหนดการตั้งค่าสําหรับการตรวจสอบ
คุณควบคุมได้ว่าจะให้คอลัมน์ข้อมูลใดปรากฏในผลการค้นหา
- คลิกจัดการคอลัมน์ ที่ด้านขวาบนของตารางผลการค้นหา
- (ไม่บังคับ) หากต้องการนําคอลัมน์ปัจจุบันออก ให้คลิกนํารายการออก
- (ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ ให้คลิกลูกศรลง ถัดจาก "เพิ่มคอลัมน์ใหม่" แล้วเลือกคอลัมน์ข้อมูล
ทำซ้ำตามที่จำเป็น - (ไม่บังคับ) หากต้องการเปลี่ยนลําดับของคอลัมน์ ให้ลากชื่อคอลัมน์
- คลิกบันทึก
- คลิกส่งออกทั้งหมดที่ด้านบนของตารางผลการค้นหา
- ป้อนชื่อคลิกส่งออก
การส่งออกจะแสดงใต้ตารางผลการค้นหาในส่วนส่งออกผลลัพธ์การดําเนินการ - หากต้องการดูข้อมูล ให้คลิกชื่อการส่งออก
การส่งออกจะเปิดขึ้นใน Google ชีต
โปรดทราบสิ่งต่อไปนี้เมื่อดูผลการค้นหาที่ส่งออก
- หลังจากคลิกปุ่มส่งออกทั้งหมดที่ด้านบนของตาราง ระบบจะสร้างไฟล์ Google ชีตที่มีผลการค้นหาไว้ในโฟลเดอร์ "ไดรฟ์ของฉัน" กระบวนการส่งออกอาจใช้เวลาสักครู่และระบบอาจสร้างสเปรดชีตใน Google ชีตขึ้นหลายไฟล์ ทั้งนี้ขึ้นอยู่กับขนาดของผลลัพธ์ ผลการส่งออกทั้งหมดจำกัดอยู่ที่ 30 ล้านแถว (ยกเว้นการค้นหาข้อความ Gmail ซึ่งจำกัดไว้ที่ 1.25 ล้านแถว)
- ขณะกำลังส่งออก ระบบจะสร้าง Google ชีตที่มีชื่อชั่วคราว เช่น TMP-1-<title> หากระบบสร้าง Google ชีตหลายรายการ ไฟล์ที่สร้างเพิ่มใหม่จะมีชื่อเป็น TMP-2-<ชื่อ>, TMP-3-<ชื่อ> แบบนี้ไปเรื่อยๆ เมื่อการส่งออกเสร็จสมบูรณ์ ไฟล์จะเปลี่ยนชื่อโดยอัตโนมัติเป็น <ชื่อ> [1 จาก N], <ชื่อ> [2 จาก N] เป็นต้น หากมีแค่สเปรดชีตเดียวที่มีข้อมูลส่งออก ระบบจะเปลี่ยนชื่อไฟล์เป็น <ชื่อ>
- สิทธิ์การแชร์สำหรับไฟล์ที่มีผลการค้นหาที่ส่งออกจะเป็นไปตามการกำหนดค่าของโดเมน เช่น หากค่าเริ่มต้นกำหนดให้แชร์ไฟล์ที่สร้างขึ้นกับทุกคนในบริษัท ข้อมูลที่ส่งออกก็จะมีระดับการเข้าถึงเดียวกัน
หากต้องการบันทึกเกณฑ์การค้นหาหรือแชร์กับคนอื่นๆ คุณสามารถสร้างและบันทึกการตรวจสอบ จากนั้นก็แชร์ ทำซ้ำ หรือลบออกได้
โปรดดูรายละเอียดที่หัวข้อบันทึก แชร์ ลบ และทําซ้ำการตรวจสอบ
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแหล่งข้อมูลที่หัวข้อการเก็บรักษาข้อมูลและเวลาล่าช้า
ทำความเข้าใจข้อมูลบันทึกความโปร่งใสในการเข้าถึง
คำอธิบายฟิลด์ในบันทึก
ชื่อฟิลด์ในบันทึก | ชื่อฟิลด์ในระบบ | คำอธิบาย |
---|---|---|
วันที่ | items:id:time | เวลาที่มีการลงบันทึก |
ผลิตภัณฑ์ Google Workspace | items:events:parameters:GSUITE_PRODUCT_NAME | ผลิตภัณฑ์ของลูกค้าที่มีการเข้าถึง ต้องใช้ตัวพิมพ์ใหญ่ ดังนี้
|
อีเมลเจ้าของ | items:events:parameters:OWNER_EMAIL | รหัสอีเมลหรือตัวระบุทีมของลูกค้าที่เป็นเจ้าของทรัพยากร |
โฮมออฟฟิศของผู้ดำเนินการ | items:events:parameters:ACTOR_HOME_OFFICE |
รหัสประเทศ/ภูมิภาคของผู้เข้าถึงข้อมูลตามมาตรฐาน ISO 3166-1 alpha-2 จะแสดงดังนี้
|
เหตุผลรองรับ |
items:events:parameters:JUSTIFICATIONS |
เหตุผลรองรับการเข้าถึง เช่น Customer Initiated Support - Case Number: 12345678 |
คำขอแจ้งปัญหา | tickets | คำขอแจ้งปัญหาที่เชื่อมโยงกับเหตุผลรองรับ หากมี |
รหัสบันทึก | items:events:parameters:LOG_ID | รหัสบันทึกที่ไม่ซ้ำกัน |
ชื่อทรัพยากร | items:events:parameters:RESOURCE_NAME | ชื่อของทรัพยากรที่มีการเข้าถึง โดยชื่อทรัพยากรสามารถนำไปใช้ในเครื่องมือตรวจสอบความปลอดภัยเพื่อระบุ ตรวจสอบ และดำเนินการกับปัญหาด้านความปลอดภัยและความเป็นส่วนตัวในโดเมนได้ |
ในนามของ | items:events:parameters:ON_BEHALF_OF | เป้าหมายของการเข้าถึง ฝ่ายสนับสนุนอาจกำหนดเป้าหมายไปที่ผู้ได้รับแชร์เอกสารแทนเจ้าของ ส่วนในนามของจะให้ข้อมูลเพิ่มเติมเพื่อทําความเข้าใจบริบทของการเข้าถึง |
นโยบายการจัดการการเข้าถึง | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
นโยบายการจัดการการเข้าถึงที่ได้รับการตรวจสอบก่อนการเข้าถึง ใช้ได้เฉพาะกับลูกค้าที่กําหนดค่าการจัดการการเข้าถึงไว้เท่านั้น |
คำอธิบายเหตุผลรองรับ
เหตุผล | คำอธิบาย |
---|---|
Customer Initiated Support | การสนับสนุนที่ลูกค้าขอ เช่น หมายเลขเคส |
Externally Initiated Abuse Review
|
เราจะทำการตรวจสอบการละเมิดที่ดำเนินการจากภายนอกเมื่อมีการรายงานให้ Google ตรวจสอบเนื้อหา
โปรดดูรายละเอียดเพิ่มเติมและวิธีการที่หัวข้อปรับแต่งการค้นหาในเครื่องมือตรวจสอบ ดูข้อมูลเพิ่มเติมเกี่ยวกับการรายงานการละเมิด |
Google Response to Production Alert | การเข้าถึงที่ Google เป็นผู้เริ่มดำเนินการเองเพื่อรักษาความน่าเชื่อถือของระบบเมื่อสงสัยว่าอาจมีการหยุดทํางาน เช่น
|
Google Initiated Review | การเข้าถึงที่ Google เป็นผู้เริ่มต้นเองเพื่อวัตถุประสงค์ในด้านความปลอดภัย การตรวจสอบการฉ้อโกง การละเมิด หรือการปฏิบัติตามข้อกำหนด ซึ่งรวมถึงการดำเนินการต่อไปนี้
|
Google Initiated Service |
การเข้าถึงที่ Google เป็นผู้เริ่มดำเนินการเองสําหรับการบํารุงรักษาและให้บริการ Google Cloud อย่างต่อเนื่อง เช่น
|
Third Party Data Request | Google เข้าถึงข้อมูลของลูกค้าเพื่อดำเนินการตามคำขอทางกฎหมายหรือกระบวนการทางกฎหมาย โดยรวมถึงกรณีที่เราต้องดำเนินการตามกระบวนการทางกฎหมายในกรณีที่ลูกค้ากำหนดให้เราเข้าถึงข้อมูลของลูกค้าเอง ในกรณีนี้ หาก Google ไม่มีคำขอหรือกระบวนการที่จะแจ้งให้คุณทราบได้ทางกฎหมาย ก็อาจไม่มีข้อมูลในบันทึกความโปร่งใสในการเข้าถึง |
ตั้งค่าการแจ้งเตือนเกี่ยวกับความโปร่งใสในการเข้าถึง
คุณจะตั้งการแจ้งเตือนทางอีเมลสำหรับตัวกรองบันทึกได้อย่างน้อย 1 รายการ เช่น อีเมลเจ้าของและโฮมออฟฟิศของผู้ดำเนินการ นอกจากนี้ยังเปิดใช้การแจ้งเตือนสำหรับบันทึกทั้งหมดจากทุกผลิตภัณฑ์ที่รองรับฟีเจอร์ความโปร่งใสในการเข้าถึงได้อีกด้วย
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยศูนย์ความปลอดภัยเครื่องมือตรวจสอบ
- เลือกเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงจากรายการแบบเลื่อนลงของแหล่งข้อมูล
- คลิก + เพิ่มตัวกรอง
- เลือกตัวกรองอย่างน้อย 1 รายการแล้วคลิกใช้
- (ไม่บังคับ) หากต้องการเปิดการแจ้งเตือนสำหรับบันทึกทั้งหมดจากทุกผลิตภัณฑ์ที่รองรับ ให้คลิกชื่อเหตุการณ์การเข้าถึง ซึ่งจะสร้างตัวกรองที่มีชื่อว่าชื่อเหตุการณ์: การเข้าถึง
- คลิกสร้างกฎการรายงาน ป้อนชื่อกฎ แล้วจึงป้อนอีเมลของผู้รับการแจ้งเตือนรายอื่นๆ
- คลิกสร้าง
ใช้ข้อมูลจากบันทึกความโปร่งใสในการเข้าถึงร่วมกับเครื่องมือของบุคคลที่สาม
คุณจะใช้ Reports API เพื่อนำบันทึกความโปร่งใสในการเข้าถึงไปใช้กับเครื่องมือการจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM) ที่มีอยู่ได้ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเหตุการณ์ของกิจกรรมเกี่ยวกับความโปร่งใสในการเข้าถึง
ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด
โปรดไปที่หัวข้อการเก็บรักษาข้อมูลและเวลาล่าช้า