以下版本可在調查工具中使用「資料存取透明化控管機制」記錄事件資料來源:Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus。 版本比較
機構管理員可以使用「安全調查工具」,針對「資料存取透明化控管機制」記錄事件進行搜尋。在該頁面查看動作記錄,即可瞭解 Google 員工在存取您的資料時採取了哪些動作。
「資料存取透明化控管機制」記錄事件資料包含下列資訊:
- 受影響的資源與動作
- 動作的時間
- 動作的原因 (例如:與客戶服務要求有關的客服案件編號)
- Google 員工對資料執行動作時的相關資訊 (例如辦公地點)
詳情請參閱「資料存取透明化控管機制:查看 Google 存取使用者內容的記錄」。
將記錄資料轉送至 Google Cloud
您可以選擇與 Google Cloud 共用記錄資料。如果您開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。
您的安全調查工具存取權
- 支援安全調查工具的版本包括 Enterprise Plus、Education Standard、Education Plus 和 Enterprise Essentials Plus。
- 使用 Cloud Identity 進階版、Frontline Standard、Enterprise Standard 和 Education Standard 的管理員也可以使用調查工具,但僅限部分資料來源。
- 能否使用調查工具執行搜尋,取決於您的 Google 版本、管理員權限和資料來源。如果您無法在調查工具中執行特定資料來源的搜尋,可以改用稽核與調查頁面。 詳情請參閱「更完善的稽核與調查服務」。
- 您可以在調查工具中對所有使用者執行搜尋作業,不論對方擁有的 Google 版本為何。
針對「資料存取透明化控管機制」的記錄事件執行搜尋
如要使用調查工具執行搜尋,請先選擇「資料來源」。然後,您必須選擇加入一或多個搜尋「條件」,再針對每個條件分別選擇「屬性」、「運算子」和「值」。
步驟如下:
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「安全中心」「調查工具」。
- 在「資料來源」下拉式清單中,選擇「資料存取透明化控管機制記錄事件」。
- 按一下「新增條件」。
您可以加入一或多個搜尋條件。此外,您也可以使用「巢狀查詢」自訂搜尋方式,也就是使用 2 或 3 層條件執行搜尋 (詳情請參閱「使用巢狀查詢自訂搜尋方式」)。 - 在「屬性」下拉式清單中選擇任一屬性,例如「操作者」或「日期」。如要查看可用於「資料存取透明化控管機制」記錄事件的完整屬性清單,請參閱下一節的說明。
注意:如果縮小搜尋的日期範圍,就能更快在調查工具中看到結果。舉例來說,如果您只搜尋上週發生的事件,則相較於不限制時間範圍的搜尋,前者的查詢傳回速度會較快。
- 選擇運算子,例如「是」、「不是」、「包含」或「不包含」。
- 選擇或輸入屬性的值。有些屬性的值可以直接從下拉式選單中選取,有些則需要自行輸入。
- (選用) 如要加入多個搜尋條件,請重複以上步驟。
- 按一下「搜尋」。
調查工具中的搜尋結果會顯示在頁面底部的表格中。 - (選用) 如要儲存搜尋項目,請按一下「儲存」圖示 ,輸入標題與說明後,按一下「儲存」。
注意:使用「條件建構工具」分頁時,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
屬性說明
針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:
屬性 | 說明 |
---|---|
執行者群組名稱 |
執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。 如何將群組加入篩選群組許可清單:
|
執行者主要辦公地點 |
執行資料存取者的主要辦公地點。顯示存取者常駐辦公地點所在國家/地區的 ISO 3166-1 alpha-2 代碼。 相關的值包括:
|
執行者機構單位 | 執行者的機構單位 |
日期 | 事件發生的日期和時間 (以您的瀏覽器預設時區為準) |
事件 | 系統記錄的事件動作,例如「已存取的資源」 |
Google Workspace 產品 | Google 員工存取的產品名稱 |
理由 | 存取資料的理由,例如「客戶發起的客服要求 - 客服案件編號:12345678」 |
記錄 ID | 不重複的記錄 ID |
代表 | 授權存取管理控制項的使用者電子郵件地址 |
擁有者電子郵件 | 擁有資源的客戶電子郵件 ID 或團隊 ID |
資源名稱 | Google 員工存取的資源名稱 |
支援單 | 與理由相關聯的支援單 (如果有的話) |
根據搜尋結果執行動作
使用調查工具執行搜尋後,您可以對找到的搜尋結果採取行動。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過調查工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。如要進一步瞭解您可以在調查工具中執行的動作,請參閱「根據搜尋結果執行動作」。
建立活動規則及設定快訊
為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。如需詳細資訊和操作說明,請參閱「建立及管理活動規則」。
管理調查項目
查看您的調查清單如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁邊的方塊,然後按一下「動作」。
注意:在調查清單正上方的「快速存取」底下,您可以查看近期儲存的調查項目。
超級管理員可以點選「設定」圖示 並執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「請啟用動作執行原因」設定。
如需操作說明和詳細資訊,請參閱「配置調查設定」。
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示 。
- (選用) 如要移除目前的資料欄,請按一下「移除項目」圖示 。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱 按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
查看匯出的搜尋結果時,請注意以下幾點:
- 點選表格頂端的「全部匯出」按鈕後,「我的雲端硬碟」資料夾中就會建立含有搜尋結果的 Google 試算表。視搜尋結果的資料量而定,匯出程序可能需要一些時間,也可能建立多個 Google 試算表。匯出結果上限為 3,000 萬列 (如果是 Gmail 郵件搜尋結果,則為 125 萬列)。
- 資料匯出的過程中,系統會以暫時的名稱建立 Google 試算表,例如:TMP-1<名稱>。如果建立多個 Google 試算表,系統則會將其他檔案命名為 TMP-2<名稱>、TMP-3<名稱>,以此類推。匯出完畢後,檔案名稱會自動改為 <名稱> [N 之 1]、<名稱> [N 之 2],以此類推。如果只有一個 Google 試算表含有匯出的資料,該檔案的名稱會改為 <名稱>。
- 針對含有匯出搜尋結果的檔案,其共用權限取決於您所屬網域的設定。舉例來說,假如根據預設,建立的檔案會與公司內部的所有人共用,則匯出的資料也會採用這項瀏覽權限設定。
如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。
如需詳細資訊,請參閱「儲存、共用、刪除及複製調查項目」。
如要進一步瞭解資料來源,請參閱「資料保留和延遲時間」。
瞭解「資料存取透明化控管機制」記錄資料
記錄欄位說明
記錄欄位名稱 | 系統欄位名稱 | 說明 |
---|---|---|
日期 | items:id:time | 寫入記錄的時間 |
Google Workspace 產品 | items:events:parameters:GSUITE_PRODUCT_NAME | 存取的客戶產品。產品名必須為大寫。產品可能包括:
|
擁有者電子郵件 | items:events:parameters:OWNER_EMAIL | 擁有資源的客戶電子郵件 ID 或團隊 ID |
操作者主要辦公地點 | items:events:parameters:ACTOR_HOME_OFFICE |
存取者常駐辦公地點所在國家/地區的 ISO 3166-1 alpha-2 代碼:
|
理由 |
items:events:parameters:JUSTIFICATIONS |
存取資料的理由,例如「客戶發起的客服要求 - 客服案件編號:12345678」 |
支援單 | tickets | 與理由相關聯的支援單 (如果有的話) |
記錄 ID | items:events:parameters:LOG_ID | 不重複的記錄 ID |
資源名稱 | items:events:parameters:RESOURCE_NAME | Google 員工存取的資源名稱。您可以在安全調查工具中透過資源名稱進一步找出網域中的安全性和隱私權問題,然後加以分類並採取適當行動。 |
代表 | items:events:parameters:ON_BEHALF_OF | 存取動作的目標對象。支援的目標對象可能是文件共用者,而非擁有者。「代表」提供額外資訊,以便您瞭解存取情境。 |
存取管理政策 | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
存取前驗證的存取管理政策。僅適用於已設定存取管理的客戶。 |
理由說明
原因 | 說明 |
---|---|
客戶發起客服要求 | 客戶發起的客服要求,例如客服案件編號 |
外部發起濫用行為審查
|
如果有人向 Google 提出檢舉,要求審查特定內容,便會叫用由外部發起的濫用行為審查。
如需詳細資訊和操作說明,請參閱「在調查工具中自訂搜尋方式」。 進一步瞭解如何檢舉濫用行為。 |
Google 回應服務中斷警示 | 在疑似發生服務中斷的情況下,Google 為了維持系統穩定而發起的存取行動,包括:
|
Google 發起審查 | Google 基於安全、詐欺、濫用或法規遵循等方面的考量而發起的存取行動,包括:
|
Google 發起服務 |
Google 為了持續維護並提供 Google Cloud 服務而發起的存取行動,例如:
|
第三方資料要求 | 為了回應法律案件申請或法律函狀,Google 會存取客戶資料。這也包括回應客戶法律函狀的情況 (客戶可能提出法律函狀,要求 Google 存取客戶自己的資料)。 在這種情況下,如果 Google 依法不能通知您這類法律案件申請或法律函狀,可能就無法提供「資料存取透明化控管機制」記錄。 |
設定「資料存取透明化控管機制」快訊
您可以為一或多個記錄篩選器 (例如「擁有者電子郵件」和「操作者主要辦公地點」) 設定電子郵件快訊,也可以針對支援「資料存取透明化控管機制」的所有產品,一律啟用記錄的快訊功能。
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「安全中心」「調查工具」。
- 在「資料來源」下拉式清單中,選擇「資料存取透明化控管機制記錄事件」。
- 按一下「+ 新增篩選器」。
- 選取一或多個篩選器,然後按一下「套用」。
- (選用) 如要為所有支援產品的記錄一律啟用快訊,請按一下「事件名稱」「存取」,即可建立名為事件名稱:存取的篩選器。
- 按一下「建立報告規則」圖示 ,輸入規則名稱,然後輸入其他快訊收件者的電子郵件地址。
- 按一下「建立」。
將「資料存取透明化控管機制」記錄資料與第三方工具進行整合
您可以使用 Reports API,將「資料存取透明化控管機制」記錄與現有的安全性資訊和事件管理 (SIEM) 工具進行整合。詳情請參閱「資料存取透明化控管機制」活動事件。
資料要處理多久?保留時間有多長?
請參閱資料保留和延遲時間。