Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Creare e gestire le regole di attività

Strumento di indagine sulla sicurezza: configurare gli avvisi e intervenire

Per contribuire a prevenire, rilevare e risolvere i problemi di sicurezza in modo più rapido ed efficiente, puoi creare regole di attività nello strumento di indagine per configurare gli avvisi e automatizzare le azioni. 

Per configurare una regola, devi impostarne le condizioni e specificare quali azioni eseguire quando queste condizioni sono soddisfatte. Una regola è semplicemente un modo per specificare che, se si verifica l'evento x, deve essere automaticamente eseguita l'azione y.

In qualità di amministratore, puoi creare una regola di attività che ti avvisi o esegua un'azione in base alle ricerche che configuri nello strumento di indagine. Una volta configurata la regola, Google eseguirà continuativamente la ricerca che hai definito al suo interno. Se il numero di risultati restituiti dalla ricerca supera la soglia impostata, Google eseguirà le azioni specificate. Ad esempio, puoi impostare una regola per inviare notifiche via email a determinati amministratori se i documenti di Drive vengono condivisi all'esterno dell'azienda.

Accesso amministrativo alle regole di attività

La possibilità di creare e visualizzare le regole di attività dipende dalla versione di Google Workspace in uso, dai privilegi amministrativi e dall'origine dati. Per informazioni dettagliate, vai ad Accesso amministrativo alle regole di reporting e di attività.

Indicazioni importanti per la creazione di regole di attività

  • Puoi creare regole di attività solo in base alle origini dati degli eventi dei log, ad esempio eventi del log di Gmail o eventi del log dispositivo. Non puoi creare regole di attività basate su origini dati che riflettono lo stato attuale, come browser Chrome, dispositivi, messaggi Gmail e utenti.
  • Le origini dati disponibili variano a seconda della versione di Google Workspace in uso. Per informazioni dettagliate, vai a Personalizzare le ricerche con lo strumento di indagine.
  • Devi aggiungere almeno un attributo evento alla ricerca.
  • Puoi includere un operatore O al livello più alto solo se specifichi una condizione Evento su ciascun percorso condizionale.
  • Puoi aggiungere un solo valore per l'attributo. Ad esempio, l'attore può includere un solo utente. Per includere più valori, utilizza il Generatore di condizioni per aggiungere un operatore OR, quindi aggiungi lo stesso attributo con un valore aggiuntivo.
  • Non puoi utilizzare filtri di date per le regole di attività (perché le regole vengono valutate continuativamente).
  • Devi aggiungere almeno un'azione o un avviso alla regola.
  • Poiché le regole di attività si basano su eventi dei log, si attivano dopo il verificarsi dell'evento. Pertanto, le regole di attività non sono adatte per eseguire azioni come il blocco o la condivisione di un documento oppure l'invio di email.

Come funzionano le soglie delle regole

Quando imposti una soglia per una regola, questa viene applicata in modo cumulativo a tutte le azioni utente, non in base al singolo utente. Ad esempio, supponiamo che crei una regola per sospendere gli utenti dopo 5 tentativi di accesso non riusciti entro un'ora. La soglia viene raggiunta quando si verificano 5 tentativi di accesso non riusciti per uno o più utenti nell'arco di un'ora. In questo caso, tutti gli utenti che hanno almeno un tentativo di accesso non riuscito vengono sospesi.

Creare una regola di attività

Puoi creare una regola di attività dallo strumento di indagine sulla sicurezza o dalla pagina Regole. 

Segui questi passaggi:

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezza > Strumento di indagine e fai clic su Crea regola attività.

    -OPPURE-

    Nella home page della Console di amministrazione, vai a Regole e fai clic su Crea regola > Attività.
     
  3. Inserisci un valore nel campo Nome regola, ad esempio Condivisione dati esterna.
  4. Inserisci una descrizione, ad esempio Invia una notifica in caso di condivisione di documenti all'esterno dell'azienda.
  5. Fai clic su Successivo: visualizza le condizioni.
  6. Scegli un'origine dati per la regola, ad esempio Eventi del log amministrativo.

    Nota. la disponibilità delle origini dati varia a seconda della versione di Google Workspace e dei privilegi amministrativi di cui disponi. Per informazioni dettagliate, vai ad Accesso amministrativo alle regole di reporting e di attività e Origini dati e condizioni nello strumento di indagine
     
  7. Configura una o più condizioni per la regola. Per ogni condizione, scegli un attributo, un operatore e un valore

    Ad esempio, per configurare una condizione che specifica che l'evento è un trasferimento di proprietà di un documento, scegli Evento come attributo, È come operatore e Impostazioni di Documenti > Trasferimento proprietà documento come valore. 

    Nota: Evento è una condizione obbligatoria. Per informazioni dettagliate sulle condizioni disponibili per ciascuna origine dati, vedi Origini dati e condizioni nello strumento di indagine.
     
  8. Fai clic su Successivo: aggiungi azioni.
    Nota: quando crei una regola di attività, non puoi aggiungere azioni per gli eventi del log di Drive.
  9. Definisci un intervallo di tempo e una soglia per la regola. Ad esempio, puoi configurare una soglia simile alla seguente: Ogni 24 ore quando il conteggio è maggiore di 100. In altre parole, se la ricerca restituisce un numero di risultati maggiore di 100 per un periodo di 24 ore, la regola deve essere attivata. 
  10. Seleziona un'Azione per la regola, ad esempio la sospensione degli utenti o l'applicazione forzata di una modifica della password.
  11. Scegli se la regola deve attivare un avviso nel Centro avvisi.
    • Scegli il livello di gravità: Elevata, Media o Ridotta.
    • Se scegli di attivare un avviso nel Centro avvisi, puoi anche scegliere di inviare notifiche via email selezionando la casella Tutti i super amministratori e/o facendo clic su Aggiungi destinatari email per inviare email a determinati amministratori quando viene attivata la regola.
  12. Fai clic su Successivo: esamina.
    Utilizza questa pagina per esaminare tutti i dettagli della regola e, se necessario, per apportare eventuali modifiche prima di crearla.
  13. Controlla la sezione Stato della regola
    Quando crei una regola per un'attività, lo stato predefinito della regola è Attiva; questo indica che il sistema inizierà a raccogliere i log e la regola verrà applicata. Hai anche la possibilità di impostare lo stato della regola su Monitor, per poter esaminare i log prima di applicarla. In seguito, potrai anche impostare la regola su Non attiva, che indica che il sistema non raccoglie più i log e la regola non viene applicata. 
  14. Fai clic su Crea regola.

Nota: quando imposti una regola di attività, puoi utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con operatori E/O. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.

Pagina Regole: visualizzare e modificare le regole di attività

Dopo aver creato una regola di attività, puoi andare alla pagina Regole per visualizzarne i dettagli, l'ambito e le condizioni, nonché le azioni che la attivano quando vengono raggiunte le soglie. 

Nella pagina Regole puoi anche visualizzare un elenco di tutte le regole che sono state create dagli amministratori nel tuo dominio. Vai alla home page della Console di amministrazione Google e fai clic su Regole.

Nella pagina Regole, gli amministratori del dominio possono visualizzare le regole create da altri amministratori, a seconda dell'origine dati utilizzata per la regola e dei privilegi di ciascun amministratore. Ad esempio, se un amministratore dispone dei privilegi di visualizzazione per gli eventi del log di Drive, ma non per quelli del log di Gmail, non potrà visualizzare le regole basate sugli eventi del log di Gmail.

Puoi utilizzare la pagina Regole per eseguire le seguenti azioni:

  • Filtrare l'elenco delle regole facendo clic su Aggiungi un filtro
  • Visualizzare e modificare i dettagli delle regole selezionandole nell'elenco della pagina Regole.
  • Eliminare regole.
  • Creare nuove regole.
  • Fare clic su Indaga per aprire lo strumento di indagine e visualizzare i dati degli eventi del log delle regole.

Avvisi via email

Se imposti notifiche email per la tua regola, la regola di attività invia una sola email di notifica per finestra di soglia, quando la regola viene attivata per la prima volta, e non invia notifiche per gli altri momenti della sua attivazione. La notifica via email contiene un riepilogo della regola che ha attivato l'avviso, in cui sono indicati il nome della regola, i dettagli della soglia, i dati di origine e altre informazioni. Gli amministratori che ricevono la notifica via email possono fare clic su Visualizza avviso per aprire la pagina dei dettagli nel Centro avvisi.

Nota: più eventi che attivano la stessa regola nell'intervallo di tempo della soglia di avviso vengono aggregati in un'unica email.

Articoli correlati

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
6527445580543170647
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false