調査ツールを使用してアクティビティ ルールを作成する

この機能は、G Suite Enterprise、G Suite Enterprise for Education、Drive Enterprise、Cloud Identity Premium でご利用いただけます。

アクティビティ ルールを作成すると、調査ツールのアクションを自動化してセキュリティの問題をより迅速かつ効率的に防止、検出、修正することができます。

管理者は、調査ツールで設定した検索に基づいて警告を表示するアクティビティ ルールや、操作を自動的に開始させるアクティビティ ルールを作成することができます。ルールの設定後は指定した検索が継続的に行われ、検索結果の数が設定したしきい値を超えると、指定したアクションが自動で実行されます。たとえば、ドライブ内のドキュメントが社外の相手と共有された場合に、特定の管理者にメール通知するようルールを設定できます。

重要:

アクティビティ ルールの作成には次の制限事項があります。

  • ログ関連のデータソースに対してのみルールを作成できます。
  • クエリにはイベント属性を追加する必要があります。
  • クエリは OR 条件ではなく AND 条件に基づいて、最上位で作成する必要があります。
  • 日付フィルタはアクティビティ ルールに使用できません。ルールは連続的に評価されるためです。
  • ルールには少なくとも 1 つのアクションまたはアラートを追加する必要があります。

アクティビティ ルールはログイベントに基づいているため、イベントの発生後にトリガーされます。そのため、ドキュメントのブロックや共有、メール送信などのアクションには適していません。

調査ツールでのルール作成に必要な権限

  • 特定のデータソース(Gmail、ドライブなど)のルールを作成、編集するには、そのデータソースに対するルールの管理権限、および更新と削除の権限が必要です。
  • 特定のデータソース(Gmail、ドライブなど)のルールを表示するには、そのデータソースに対するルールの閲覧権限、およびメタデータと属性の表示権限が必要です。

調査ツールの検索からルールを作成する

  1. admin.google.com から Google 管理コンソールにログインします。
    個人用の Gmail アカウントではなく管理者アカウントでログインしてください。
  2. 上にあるメニュー アイコン メニュー をクリックし、[セキュリティ] > [調査ツール] を選択します。
  3. 検索に使用するデータソース([デバイスのログのイベント]、[デバイス]、[ドライブのログのイベント]、[Gmail のログのイベント] など)を選択します。

    注: どのエディションの G Suite を使用しているかによって、利用できるデータソースが異なります。

  4. [条件を追加] をクリックします。
    1 つ以上の条件を指定して検索できます。各データソースで使用できる条件の詳細については、調査ツール内で検索をカスタマイズするをご覧ください。
  5. 右上にあるその他アイコン その他 をクリックし、[ルールを作成] を選択します。
  6. [ルール名] を入力(「外部データ共有」など)し、[ルールの説明] を入力(「ドキュメントが社外で共有された場合に通知」など)します。
  7. [次へ: 条件を表示] クリックします。
    以前に設定した検索を表示することも、続けて検索を変更することもできます。また、ルールの作成途中で [検索] をクリックして検索結果のプレビューを表示することも可能です。
  8. [次へ: 操作を追加] をクリックします。
  9. ルールの期間としきい値を定義します。たとえば、「24 時間ごとの数が 100 を超えた場合」というしきい値を設定することができます。これは、任意の 24 時間で検索結果の数が 100 を超えた場合に、このルールがトリガーされることを意味します。
  10. このルールをアラート センターのアラートのトリガーにするかどうかを選択します。
    このルールに対してアラートを有効にする場合は、重大度として [高]、[中]、[低] のいずれかを選択できます。また、ルールがトリガーされたときのメールの送信先として [すべての特権管理者] チェックボックスをオンにしたり、[宛先を追加] をクリックして管理者を選択したりすることもできます。
  11. [次へ: 確認] をクリックします。
    このページでは、ルールのすべての詳細を確認し、ルールを作成する前に必要に応じて変更を加えます。
  12. [ルールを作成] をクリックします。

ルールの詳細を表示する

調査ツールでルールを作成し終えたら、[ルールの詳細] ページが表示されます。ここでは、ルールの詳細と対象、ルールの条件、しきい値を超えたときに実行するアクションを確認できます。

[ルールの詳細] ページの左上にも、次のパンくずリストが表示されています。
セキュリティ > アクティビティ ルール > ルールの詳細

[アクティビティ ルール] をクリックすると、ドメイン内の管理者が作成したルールが一覧表示されます。

[アクティビティ ルール] ページでは、ドメイン内の管理者は、ルールのデータソースと各自の権限に応じて他の管理者によって作成されたルールを表示できます。たとえば、ドライブ ログイベントの表示権限があり、Gmail ログイベントの表示権限がない管理者の場合、Gmail ログイベントに基づくルールは表示されません。

[アクティビティ ルール] ページでは次の操作を行うことができます。

  • ルールを削除する。
  • [フィルタを追加] をクリックしてルールの一覧をフィルタする。
  • [新しいルールを追加] をクリックしてルールを新規作成する。これにより上記と同じ方法で、調査ツールでの検索に基づいてルールを作成できます。

メールアラート

ルールにメール通知を設定した場合は、ルールがトリガーされるとメールが指定の宛先に送信されます。メール通知には、ルール名、しきい値の詳細、ソースデータなど、アラートをトリガーしたルールの概要が記載されます。メール通知を受け取った管理者が [アラートを表示] をクリックすると、アラート センターの [アラートの詳細] ページが表示されます。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。