Criar regras de atividade com a ferramenta de investigação

Esse recurso está disponível nas edições G Suite Enterprise, G Suite Enterprise for Education, G Suite Enterprise Essentials e Cloud Identity Premium.

Para prevenir, detectar e corrigir problemas de segurança com mais rapidez e eficiência, é possível automatizar as ações da ferramenta de investigação criando regras de atividade.

Como administrador, você pode criar uma regra de atividade que envie alertas ou execute ações com base em uma pesquisa configurada na ferramenta de investigação. Depois disso, o Google fará continuamente a pesquisa determinada. Se o número de resultados exibidos por essa pesquisa exceder o limite definido, o Google executará as ações especificadas. Por exemplo, você pode configurar uma regra para enviar notificações por e-mail para administradores específicos se os documentos do Drive forem compartilhados fora da empresa.

Também é possível criar uma regra de atividade na página "Regras de segurança". Veja mais detalhes e instruções em Criar, editar e ver "Regras de segurança".

Importante:

Ao criar regras de atividade, siga estas diretrizes:

  • Só é possível criar regras de atividade com base em origens de dados de registro.
  • É preciso adicionar pelo menos um atributo de evento à consulta.
  • Você poderá incluir uma condição OR no nível superior apenas se incluir uma condição de evento em cada caminho condicional.
  • Não é possível usar filtros de dados para regras de atividade, já que elas estão em constante avaliação.
  • Você precisa adicionar pelo menos uma ação ou alerta à regra.
  • Como as regras de atividade são baseadas em eventos de registro, elas são acionadas após o evento. Por isso, essas regras não são adequadas para bloquear e compartilhar um documento ou enviar e-mails.

Privilégios para criar regras da ferramenta de investigação

  • Para criar e editar regras de uma origem de dados específica (por exemplo, o Gmail ou o Drive), você precisa ter privilégios de gerenciamento de regras e atualização e exclusão dessa origem de dados.
  • Para visualizar regras de uma origem de dados específica (por exemplo, o Gmail ou o Drive), você precisa ter privilégios de visualização de regras e visualização de metadados e atributos dessa origem de dados.

Criar uma regra com base em uma pesquisa na ferramenta de investigação

  1. Faça login no Google Admin Console em admin.google.com.
    Use a conta de administrador, não a conta pessoal do Gmail.
  2. Na parte superior, clique em Menu "" e selecione Segurança > Ferramenta de investigação
  3. Escolha uma origem de dados para sua pesquisa, por exemplo, "Eventos de registro do dispositivo", "Eventos de registro do Drive" ou "Eventos de registro do Gmail".

    Observação: as origens de dados disponíveis variam de acordo com a edição do G Suite.

  4. Clique em ADICIONAR CONDIÇÃO.
    Você pode incluir uma ou mais condições na sua pesquisa. Veja os detalhes das condições disponíveis para cada origem de dados em Personalizar pesquisas com a ferramenta de investigação.
  5. No menu "" no canto superior direito, selecione Criar regra.
  6. Digite um Nome de regra, como Compartilhamento de dados externos, e uma Descrição da regra, como Notificar se os documentos forem compartilhados fora da empresa.
  7. Clique em AVANÇAR: VER CONDIÇÕES.
    Você pode ver a pesquisa que configurou ou continuar fazendo alterações. Também é possível clicar em PESQUISAR para visualizar os resultados da pesquisa antes de prosseguir com a criação da regra.
  8. Clique em AVANÇAR: ADICIONAR AÇÕES.
  9. Defina um período e um limite para a regra. Por exemplo, você pode configurar o limite A cada 24 horas quando a contagem for maior que cem. Isso significa que, para qualquer período de 24 horas, a regra será acionada se a pesquisa mostrar mais de cem resultados.
  10. Escolha se você quer que essa regra acione um alerta na Central de alertas.
    Caso opte pelo acionamento, você pode escolher a gravidade "Alta", "Média" ou "Baixa". Também é possível enviar notificações por e-mail marcando a caixa Todos os superadministradores e/ou clicando em ADICIONAR DESTINATÁRIOS para enviar e-mails para administradores selecionados quando a regra for acionada.
  11. Clique em PRÓXIMO: REVISAR.
    Use esta página para revisar todos os detalhes e fazer as mudanças necessárias antes de criar a regra.
  12. Veja o status da regra
    Quando você cria uma regra de atividade, o status da regra é definido como Ativa por padrão, o sistema começa a coletar registros e a regra é aplicada. Você também pode definir o status da regra como Monitorar para analisar os registros antes de aplicar a regra. Posteriormente, você também poderá definir a regra como Inativa. Se você fizer isso, o sistema não coletará mais dados, e a regra não será aplicada. 
  13. Clique em CRIAR REGRA.

Ver a lista de regras e os detalhes das regras

Quando você cria uma regra usando a ferramenta de investigação, a página "Detalhes da regra" é aberta. Nessa página, você pode revisar os detalhes, o escopo e as condições da regra, além das ações realizadas quando os limites são atingidos. 

A página "Detalhes da regra" também inclui a localização atual no canto superior esquerdo:
Segurança > Regras > Detalhes da regra

Clique em Regras para ver uma lista das regras criadas por todos os administradores no seu domínio. 

Na página "Regras", os administradores do seu domínio podem ver as regras criadas por outros administradores, dependendo da origem de dados e dos privilégios. Por exemplo, um administrador pode ter privilégios de visualização para eventos de registro do Drive, mas não para eventos de registro do Gmail e, portanto, não poderá ver regras baseadas em eventos de registro do Gmail.

Você pode usar a página "Regras" para fazer o seguinte:

  • Excluir regras
  • Filtrar a lista de regras clicando em Adicionar um filtro.
  • Clicar em ADICIONAR NOVA REGRA para criar novas regras. Assim, você seguirá o mesmo processo descrito acima e poderá criar uma regra com base em uma pesquisa na ferramenta de investigação.

Alertas por e-mail

Se você configurar notificações de e-mail para sua regra, os e-mails serão enviados para os destinatários especificados quando a regra for acionada. A notificação por e-mail contém um resumo da regra que acionou o alerta, como o nome da regra, os detalhes do limite, os dados de origem e muito mais. Os administradores que receberem a notificação por e-mail poderão clicar em VER ALERTA para acessar a página "Detalhes do alerta" na Central de alertas.

Isso foi útil?
Como podemos melhorá-lo?