Aktivitätsregeln mit dem Prüftool erstellen

Diese Funktion ist in G Suite Enterprise, G Suite Enterprise for Education, G Suite Enterprise Essentials und der Cloud Identity Premiumversion verfügbar.

Mithilfe von Aktivitätsregeln im Prüftool lassen sich Aktivitäten automatisieren, Sicherheitsprobleme schneller und effizienter ermitteln und beheben und langfristig vermeiden.

Als Administrator können Sie für jede im Prüftool konfigurierte Suche eine Aktivitätsregel erstellen, in der automatische Benachrichtigungen oder Aktionen festgelegt sind. Anschließend führt Google die Suche kontinuierlich aus. Übersteigt die Zahl der Suchergebnisse den von Ihnen bestimmten Schwellenwert, erfolgen die festgelegten Aktionen. So können Sie z. B. angeben, dass bestimmte Administratoren benachrichtigt werden, wenn Drive-Dateien außerhalb der Organisation freigegeben werden.

Sie können eine Aktivitätsregel auch auf der Seite "Sicherheitsregeln" erstellen. Weitere Informationen und eine Anleitung finden Sie unter Sicherheitsregeln erstellen, bearbeiten und ansehen.

Wichtig:

Beachten Sie die folgenden Richtlinien, wenn Sie Aktivitätsregeln erstellen:

  • Sie können Aktivitätsregeln nur auf Grundlage von Protokolldatenquellen erstellen.
  • Sie müssen der Abfrage mindestens ein Ereignisattribut hinzufügen.
  • Sie können eine OR-Bedingung nur auf oberster Ebene einschließen, wenn Sie in jedem Pfad der Bedingung eine Ereignisbedingung angeben.
  • Bei Aktivitätsregeln sind keine Datumsfilter zulässig, da die Regeln kontinuierlich ausgewertet werden.
  • Sie müssen der Regel mindestens eine Aktion oder Benachrichtigung hinzufügen.
  • Da Aktivitätsregeln auf Protokollereignissen basieren, werden sie ausgelöst, nachdem das Ereignis eingetreten ist. Aus diesem Grund sind Aktivitätsregeln nicht dafür geeignet, Dokumente zu sperren oder freizugeben oder E-Mails zu senden.

Berechtigungen zum Erstellen von Regeln im Prüftool

  • Wenn Sie Regeln für eine bestimmte Datenquelle erstellen oder bearbeiten möchten, z. B. für Gmail oder Drive, benötigen Sie jeweils die Berechtigungen zum Verwalten und Aktualisieren und Löschen von Regeln.
  • Wenn Sie sich die Regeln für eine bestimmte Datenquelle ansehen möchten, z. B. für Gmail oder Drive, benötigen Sie jeweils die Berechtigungen zum Ansehen der Regeln und zum Abrufen der Metadaten und Attribute .

Im Prüftool aus einer Suche eine Regel erstellen

  1. Melden Sie sich unter admin.google.com in der Google Admin-Konsole an.
    Achten Sie darauf, nicht Ihr privates Gmail-Konto, sondern das Administratorkonto zu verwenden.
  2. Klicken Sie oben auf das Dreistrich-Menü "" und wählen Sie Sicherheit > Prüftool aus. 
  3. Wählen Sie eine Datenquelle für die Suche aus, z. B. "Geräteprotokollereignisse", "Drive-Protokollereignisse" oder "Gmail-Protokollereignisse".

    Hinweis: Welche Datenquellen verfügbar sind, hängt von Ihrer verwendeten G Suite-Version ab.

  4. Klicken Sie auf BEDINGUNG HINZUFÜGEN.
    Sie können eine oder mehrere Bedingungen in der Suche verwenden. Weitere Informationen zu den verfügbaren Bedingungen für die einzelnen Datenquellen finden Sie im Hilfeartikel Suchanfragen im Prüftool anpassen
  5. Klicken Sie rechts oben im Dreipunkt-Menü "" auf Regel erstellen.
  6. Geben Sie einen Regelnamen, z. B. Externe Datenfreigabe, und eine Regelbeschreibung ein, z. B. Benachrichtigen, wenn Dokumente außerhalb der Organisation freigegeben werden.
  7. Klicken Sie auf WEITER: BEDINGUNGEN ANZEIGEN.
    Sie können sich die zuvor konfigurierte Suche ansehen oder weitere Änderungen vornehmen. Sie können auch auf SUCHEN klicken, um eine Vorschau der Suchergebnisse zu erhalten, bevor Sie mit dem Erstellen der Regel fortfahren. 
  8. Klicken Sie auf WEITER: AKTIONEN HINZUFÜGEN.
  9. Legen Sie einen Zeitraum und einen Schwellenwert für die Regel fest. Ein Beispiel wäre eine Benachrichtigung Alle 24 Stunden, wenn der Schwellenwert 100 erreicht wird. Das bedeutet, dass die Regel alle 24 Stunden ausgelöst wird, wenn die Suche mehr als 100 Ergebnisse liefert. 
  10. Legen Sie fest, ob in der Benachrichtigungszentrale eine Benachrichtigung angezeigt werden soll.
    Wenn Sie für diese Regel die Benachrichtigung aktivieren, können Sie einen Schweregrad auswählen: "Hoch", "Mittel" oder "Niedrig". Zusätzlich lassen sich E-Mail-Benachrichtigungen festlegen. Dafür können Sie das Kästchen Alle Super Admins anklicken und/oder auf EMPFÄNGER HINZUFÜGEN klicken, damit bestimmte Administratoren beim Auslösen der Regel benachrichtigt werden.
  11. Klicken Sie auf WEITER: ÜBERPRÜFEN.
    Auf dieser Seite können Sie alle Details der Regel prüfen und gegebenenfalls Änderungen vornehmen.
  12. Prüfen Sie den Regelstatus
    Beim Erstellen einer Aktivitätsregel lautet der Regelstatus standardmäßig Aktiv. Das bedeutet, dass Protokolle gesammelt werden und die Regel erzwungen wird. Sie haben außerdem die Möglichkeit, den Regelstatus auf Monitor zu setzen. In diesem Fall können Sie die Protokolle prüfen, bevor die Regel erzwungen wird. Später können Sie die Regel bei Bedarf auf Inaktiv setzen. Das bedeutet, dass keine Protokolle mehr gesammelt werden und die Regel nicht erzwungen wird. 
  13. Klicken Sie auf REGEL ERSTELLEN.

Liste der Regeln und Regeldetails

Nachdem Sie mit dem Prüftool eine Regel erstellt haben, werden Sie auf die Seite "Regeldetails" weitergeleitet. Dort sehen Sie die Details, den Geltungsbereich und die Bedingungen der Regel sowie die Aktionen, die bei erreichten Schwellenwerten ausgelöst werden. 

Auf der Seite "Regeldetails" finden Sie außerdem in der linken oberen Ecke folgenden Navigationspfad:
Sicherheit > Regeln > Regeldetails

Klicken Sie auf Regeln, um eine Liste der Regeln aufzurufen, die von den Administratoren in Ihrer Domain erstellt wurden. 

Auf der Seite "Regeln" erhalten die Administratoren in Ihrer Domain auch einen Überblick über die Regeln, die von anderen Administratoren erstellt wurden. Was sie dabei im Einzelnen sehen, hängt von ihren Berechtigungen und der jeweiligen Regel an. Ist ein Administrator beispielsweise berechtigt, sich Protokollereignisse für Drive anzusehen, aber nicht für Gmail, werden diese Regeln ausgeblendet.

Auf der Seite "Regeln" sind folgende Aktionen möglich:

  • Regeln löschen
  • Regelliste durch Klick auf Filter hinzufügen filtern 
  • Neue Regeln durch Klick auf NEUE REGEL HINZUFÜGEN erstellen. Sie werden durch die oben beschriebenen Schritte geführt, mit denen Sie eine Regel basierend auf einer Suche im Prüftool erstellen können.

E-Mail-Benachrichtigungen

Sie können E-Mail-Benachrichtigungen für Ihre Regel einrichten. Dadurch werden E-Mails an die angegebenen Empfänger gesendet, wenn diese Regel ausgelöst wurde. Die E-Mail-Benachrichtigung liefert ihnen eine Zusammenfassung der Regel, die die Benachrichtigung ausgelöst hat. Sie enthält unter anderem den Regelnamen, Details zum Schwellenwert und Angaben zu den Quelldaten. Administratoren können darin auf BENACHRICHTIGUNG ANZEIGEN klicken und so die Detailseite in der Benachrichtigungszentrale aufrufen.

War das hilfreich?
Wie können wir die Seite verbessern?