Tworzenie reguł związanych z aktywnością w narzędziu do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Enterprise; Education Plus.  Porównanie wersji

Aby szybciej i skuteczniej zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń przez utworzenie reguł związanych z aktywnością.

Jako administrator możesz utworzyć regułę związaną z aktywnością, która spowoduje wysłanie alertu lub wykonanie działania na podstawie dowolnego wyszukiwania skonfigurowanego w narzędziu do analizy zagrożeń. Po skonfigurowaniu reguły związanej z aktywnością Google będzie regularnie przeprowadzać wyszukiwanie, którego dotyczy ta reguła. Jeśli liczba wyników zwróconych przez wyszukiwanie przekroczy ustawiony przez Ciebie próg, Google wykona określone działania. Możesz na przykład skonfigurować regułę, by wysyłać do wybranych administratorów e-maile z powiadomieniami o udostępnieniu dokumentów z Dysku poza firmę.

Możesz też utworzyć regułę związaną z aktywnością na stronie Reguły zabezpieczeń. Więcej informacji i instrukcje znajdziesz w artykule Wyświetlanie reguł zabezpieczeń i zarządzanie nimi.

Ważne:

Podczas tworzenia reguł związanych z aktywnością postępuj zgodnie z tymi wskazówkami:

  • Reguły związane z aktywnością można tworzyć tylko na podstawie źródeł danych z dziennika (na przykład zdarzeń z dziennika Gmaila i zdarzeń z dziennika urządzenia).
  • Do zapytania musisz dodać co najmniej 1 atrybut zdarzenia.
  • Operator OR możesz uwzględnić na najwyższym poziomie tylko wtedy, gdy zdarzenie jest uwzględnione w każdej ścieżce warunkowej.
  • W przypadku reguł związanych z aktywnością nie można używać filtrów daty, ponieważ reguły są oceniane w sposób ciągły.
  • Do reguły musisz dodać co najmniej jedno działanie lub alert.
  • Ponieważ reguły związane z aktywnością są oparte na zdarzeniach z dziennika, są wywoływane po wystąpieniu zdarzenia. Z tego względu reguły związane z aktywnością nie nadają się do blokowania czy udostępniania dokumentów ani wysyłania e-maili.

Uprawnienia do tworzenia reguł w narzędziu do analizy zagrożeń

  • Aby móc tworzyć i edytować reguły dotyczące określonego źródła danych (na przykład Gmaila lub Dysku), potrzebujesz uprawnień do zarządzania regułami oraz aktualizowania i usuwania w tym źródle danych.
  • Aby móc wyświetlać reguły dotyczące określonego źródła danych (na przykład Gmaila lub Dysku), potrzebujesz uprawnień do wyświetlania reguł oraz wyświetlania metadanych i atrybutów w tym źródle danych.

Tworzenie reguły na podstawie wyszukiwania w narzędziu do analizy zagrożeń

  1. Zaloguj się w konsoli administracyjnej Google na admin.google.com.
    Użyj konta administratora, a nie prywatnego konta Gmail.
  2. U góry kliknij Menu "" i wybierz Zabezpieczenia > Narzędzie do analizy zagrożeń.
  3. Wybierz źródło danych do przeprowadzenia wyszukiwania, na przykład Zdarzenia z dziennika urządzenia, Zdarzenia z dziennika Dysku lub Zdarzenia z dziennika Gmaila.

    Uwaga: dostępne źródła danych różnią się w zależności od wersji Google Workspace.

  4. Kliknij DODAJ WARUNEK.
    Wyszukiwanie może zawierać kilka warunków. Szczegółowe informacje na temat warunków, których można używać z poszczególnymi źródłami danych, zawiera artykuł Modyfikowanie wyszukiwania w narzędziu do analizy zagrożeń
  5. W prawym górnym rogu kliknij Menu "" i wybierz Utwórz regułę związaną z aktywnością.
  6. Wpisz Nazwę reguły, na przykład Udostępnianie danych na zewnątrz, i Opis reguły, na przykład Powiadomienie o udostępnieniu dokumentów poza firmę.
  7. Kliknij DALEJ: WYŚWIETL WARUNKI.
    Możesz przejrzeć skonfigurowane wcześniej wyszukiwanie lub wprowadzić w nim zmiany. Możesz też kliknąć SZUKAJ, aby zobaczyć podgląd wyników wyszukiwania, zanim przejdziesz dalej w procesie tworzenia reguły.
  8. Kliknij DALEJ – DODAJ DZIAŁANIA.
  9. Zdefiniuj przedział czasu i próg reguły. Na przykład co 24 godziny, jeśli liczba jest większa niż 100. To oznacza, że reguła ma być aktywowana, jeśli wyszukiwanie obejmujące okres 24 godzin zwraca ponad 100 wyników.
  10. Określ, czy reguła ma wyzwalać alert w Centrum alertów.
    Jeśli włączysz alerty reguły, możesz wybrać małą, średnią lub dużą wagę alertu. Możesz też wybrać opcję wysyłania e-maili z powiadomieniami: zaznacz pole Wszyscy superadministratorzy lub kliknij DODAJ ODBIORCÓW, aby wysłać e-maile do wybranych administratorów po aktywowaniu reguły.
  11. Kliknij DALEJ – SPRAWDŹ.
    Na tej stronie możesz sprawdzić wszystkie szczegółowe informacje i wprowadzić ewentualne zmiany, zanim utworzysz regułę.
  12. Sprawdź Stan reguły
    Gdy tworzysz regułę związaną z aktywnością, jej domyślny stan to Aktywna. Oznacza to, że system zacznie zbierać dzienniki, a reguła będzie wymuszana. Możesz również ustawić stan reguły na Monitor, co umożliwi sprawdzanie dzienników przed wymuszeniem reguły. Później możesz też ustawić stan Nieaktywna, aby system już nie zbierał dzienników, a reguła nie była wymuszana.
  13. Kliknij UTWÓRZ REGUŁĘ.

Wyświetlanie listy reguł i szczegółów reguły

Gdy utworzysz regułę w narzędziu do analizy zagrożeń, otworzy się strona Szczegóły reguły, na której możesz sprawdzić szczegółowe informacje o regule, jej zakresie, warunkach i działaniach wykonywanych po przekroczeniu progu.

Strona Szczegóły reguły zawiera też menu nawigacyjne w lewym górnym rogu:
Zabezpieczenia > Reguły > Szczegóły reguły

Kliknij Reguły, aby wyświetlić listę wszystkich reguł utworzonych przez administratorów w domenie.

Na stronie Reguły administratorzy w domenie mogą wyświetlać reguły utworzone przez innych administratorów, w zależności od źródła danych poszczególnych reguł i swoich uprawnień. Na przykład administrator, który ma uprawnienia do wyświetlania zdarzeń z dziennika Dysku, ale nie zdarzeń z dziennika Gmaila, nie zobaczy żadnych reguł dotyczących zdarzeń z dziennika Gmaila.

Na stronie Reguły można też:

  • Usuwać reguły.
  • Filtrować reguły przez kliknięcie Dodaj filtr.
  • Tworzyć nowe reguły przez kliknięcie DODAJ NOWĄ REGUŁĘ. Rozpoczyna się wtedy proces opisany powyżej umożliwiający utworzenie reguły na podstawie wyszukiwania w narzędziu do analizy zagrożeń.

Alerty e-mail

Jeśli skonfigurujesz regułę z powiadomieniami e-mail, aktywowanie reguły spowoduje wysłanie e-maili do wskazanych odbiorców. E-mail z powiadomieniem zawiera podsumowanie informacji o regule, której dotyczy alert, w tym jej nazwę, próg, dane źródłowe i inne informacje. Administratorzy, którzy otrzymali takiego e-maila, mogą kliknąć WYŚWIETL ALERT, aby otworzyć stronę Szczegóły alertu w Centrum alertów.

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem