Criar regras com a ferramenta de investigação

Este recurso está disponível nas edições G Suite Enterprise, G Suite Enterprise for Education, Drive Enterprise e Cloud Identity Premium.

Disponível somente para os clientes da versão Beta

Para evitar, detectar e corrigir problemas de segurança com mais rapidez e eficiência, é possível automatizar as ações da ferramenta de investigação criando regras.

Como administrador, você pode criar uma regra que avisa ou faz algo com base em qualquer pesquisa configurada na ferramenta de investigação. Depois que você a configurar, o Google realizará continuamente a pesquisa que você especificou na regra. Se o número de resultados exibidos por essa pesquisa exceder o limite definido, o Google executará as ações especificadas. Por exemplo, você pode configurar uma regra para enviar notificações por e-mail para determinados administradores se os documentos do Drive forem compartilhados fora da empresa.

Observação:

  • Para criar e editar regras de uma origem de dados específica (por exemplo, o Gmail ou o Drive), você precisa ter privilégios de gerenciamento de regras e atualização e exclusão dessa origem de dados.
  • Para visualizar regras de uma origem de dados específica (por exemplo, o Gmail ou o Drive), você precisa ter privilégios de visualização de regras e visualização de metadados e atributos dessa origem de dados.

Criar uma regra a partir de uma pesquisa na ferramenta de investigação

  1. Faça login no Google Admin Console em admin.google.com.
    Use a conta de administrador, não sua conta pessoal do Gmail.
  2. Na parte superior, clique em Menu Menu e selecione Segurança e Ferramenta de investigação
  3. Escolha uma origem de dados para sua pesquisa, por exemplo, "Eventos de registro do dispositivo", "Dispositivos", "Eventos de registro do Drive" ou "Eventos de registro do Gmail".

    Observação: as origens de dados disponíveis variam de acordo com a edição do G Suite.

  4. Clique em ADICIONAR CONDIÇÃO.
    É possível incluir uma ou mais condições na sua pesquisa. Veja os detalhes das condições disponíveis para cada origem de dados em Personalizar pesquisas com a ferramenta de investigação
  5. No menu Mais, no canto superior direito, selecione Criar regra.
  6. Digite um Nome de regra, como Compartilhamento de dados externos, e uma Descrição da regra, como Notificar se os documentos forem compartilhados fora da empresa.
  7. Clique em AVANÇAR: VER CONDIÇÕES.
    É possível visualizar a pesquisa que você já configurou ou continuar fazendo alterações. Também é possível clicar em PESQUISAR para visualizar os resultados da pesquisa antes de continuar com a criação da regra. 
  8. Clique em AVANÇAR: ADICIONAR AÇÕES.
  9. Defina um período e um limite para a regra. Por exemplo, você pode configurar um limite A cada 24 horas quando a contagem for maior que cem. Isso significa que, para qualquer período de 24 horas, se sua pesquisa exibir mais de cem resultados, a regra será acionada. 
  10. Escolha se você quer que essa regra acione um alerta na Central de alertas.
    Se você optar por ativar alertas para essa regra, poderá escolher entre gravidade "Alta", "Média" ou "Baixa". Também é possível optar por enviar notificações por e-mail marcando a caixa Todos os superadministradores e/ou clicando em ADICIONAR DESTINATÁRIOS para enviar e-mails para administradores selecionados quando a regra for acionada.
  11. Clique em PRÓXIMO: REVISAR.
    Use esta página para revisar todos os detalhes e fazer alterações, se necessário, antes de criar a regra.
  12. Clique em CRIAR REGRA.

Ver detalhes da regra

Depois de criar uma regra usando a ferramenta de investigação, você irá para a página "Detalhes da regra", onde poderá revisar os detalhes, o escopo e as condições da regra e as ações que serão acionadas quando os limites forem atingidos. 

A página "Detalhes da regra" também inclui a localização atual no canto superior esquerdo:
Segurança > Regras de atividades > Detalhes da regra

Clique em Regras de atividades para ver uma lista de todas as regras criadas por todos os administradores no seu domínio. 

Na página "Regras de atividades", os administradores do seu domínio podem ver as regras criadas por outros administradores, dependendo da origem de dados e dos privilégios de cada administrador. Por exemplo, um administrador pode ter privilégios de visualização para eventos de registro do Drive, mas não para eventos de registro do Gmail e, portanto, não poderá ver regras baseadas em eventos de registro do Gmail.

Você pode usar a página "Regras de atividades" para fazer o seguinte:

  • Excluir regras.
  • Filtrar a lista de regras clicando em Adicionar um filtro
  • Clicar em ADICIONAR NOVA REGRA para criar novas regras. Assim, você seguirá o mesmo processo descrito acima e poderá criar uma regra com base em uma pesquisa na ferramenta de investigação.

Alertas por e-mail

Se você configurar notificações de e-mail para sua regra, os e-mails serão enviados para os destinatários especificados quando a regra for acionada. A notificação por e-mail contém um resumo da regra que acionou o alerta, como o nome da regra, os detalhes do limite, os dados de origem e muito mais. Os administradores que receberem a notificação por e-mail poderão clicar em VER ALERTA para acessar a página "Detalhes do alerta" na Central de alertas.

Isso foi útil?
Como podemos melhorá-lo?