Notificação

A Duet AI agora se chama Gemini para Google Workspace. Saiba mais

Criar e gerenciar regras de atividade

Ferramenta de investigação de segurança: configurar alertas e realizar ações

Para prevenir, detectar e corrigir problemas de segurança com mais rapidez e eficiência, você pode configurar alertas e automatizar ações na ferramenta de investigação criando regras de atividade

É só definir condições para a regra e especificar quais ações vão ser realizadas quando as condições forem atendidas. Uma regra é simplesmente uma maneira de dizer que se x acontecer, y vai acontecer automaticamente.

Como administrador, você pode criar uma regra de atividade que envie alertas ou execute ações com base em uma pesquisa configurada na ferramenta de investigação. Depois disso, o Google fará continuamente a pesquisa determinada. Se o número de resultados exibidos por essa pesquisa exceder o limite definido, o Google executará as ações especificadas. Por exemplo, você pode configurar uma regra para enviar notificações por e-mail para administradores específicos se os documentos do Drive forem compartilhados fora da empresa.

Acesso de administrador a regras de atividade

A possibilidade de criar e ver regras de atividade depende da edição do Google Workspace, dos privilégios administrativos e da origem de dados. Veja mais detalhes em Acesso de administrador a regras de relatórios e atividade.

Diretrizes importantes para a criação de regras de atividade

  • Só é possível criar essas regras com base nas origens de dados de registro, como eventos de registro do Gmail ou de dispositivos. Não é possível criar regras de atividade com base em origens de dados ativas, como navegadores Chrome, dispositivos, mensagens do Gmail e usuários.
  • As origens de dados disponíveis variam de acordo com a edição do Google Workspace. Veja mais detalhes em Personalizar pesquisas com a ferramenta de investigação.
  • É preciso adicionar pelo menos um atributo de evento à pesquisa.
  • Você vai poder incluir uma condição OR no nível superior apenas se incluir uma condição de evento em cada caminho condicional.
  • Só é possível adicionar um valor para o atributo. Por exemplo, o ator só pode incluir um usuário. Para incluir diversos valores, use o Criador de condições para adicionar um operador OR e, em seguida, o mesmo atributo com valor adicional.
  • Não é possível usar filtros de dados para regras de atividade, já que elas estão em constante avaliação.
  • Você precisa adicionar pelo menos uma ação ou alerta à regra.
  • Como as regras de atividade são baseadas em eventos de registro, elas são acionadas após o evento. Por isso, essas regras não são adequadas para bloquear e compartilhar um arquivo ou enviar e-mails.

Como funcionam os limites de regras

Quando você define um limite para uma regra, ele é aplicado de forma cumulativa para as ações do usuário, e não por usuário. Por exemplo, você pode criar uma regra para suspender usuários após cinco tentativas de login malsucedidas em uma hora. O limite é atingido após cinco tentativas de login malsucedidas de um ou mais usuários em uma hora. Nesse caso, todos os usuários com pelo menos uma tentativa de login malsucedidas são suspensos.

Criar uma regra de atividade

Você pode criar uma regra de atividade na ferramenta de investigação de segurança ou na página "Regras".

Siga estas etapas:

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurança > Ferramenta de investigação e clique em Criar regra de atividade.

    —OU—

    Na página inicial do Admin Console, acesse Regras e clique em Criar regra > Atividade.
     
  3. Digite um Nome de regra, como Compartilhamento de dados externos.
  4. Digite uma Descrição, por exemplo, Notificar se os documentos forem compartilhados fora da empresa.
  5. Clique em PRÓXIMO: VER CONDIÇÕES.
  6. Escolha uma Origem de dados para a regra, por exemplo, Eventos de registro do administrador.

    Observação: a disponibilidade das origens de dados varia de acordo com a edição do Google Workspace e os privilégios de administrador. Veja mais detalhes em Acesso de administrador a regras de relatórios e regras de atividade e Origens de dados e condições na ferramenta de investigação
     
  7. Configure uma ou mais condições para a regra. Para cada condição, escolha um atributo, um operador e um valor

    Por exemplo, para especificar que o evento é uma transferência de propriedade de um arquivo, escolha Evento como o atributo e selecione É como o operador e Configurações do documento > Transferir propriedade do documento como o valor.

    Observação: Evento é uma condição obrigatória. Veja os detalhes das condições disponíveis para cada origem de dados em origens de dados e condições na ferramenta de investigação.
     
  8. Clique em PRÓXIMO: ADICIONAR AÇÕES.
    Observação: ao criar uma regra de atividade, você não poderá adicionar ações para eventos de registros do Drive.
  9. Defina um período e um limite para a regra. Por exemplo, você pode configurar o limite A cada 24 horas quando a contagem for maior que cem. Isso significa que, para qualquer período de 24 horas, a regra vai ser acionada se a pesquisa mostrar mais de cem resultados.
  10. Selecione uma Ação para a regra, por exemplo, para suspender usuários ou forçar uma mudança de senha.
  11. Escolha se você quer que essa regra acione um alerta na Central de alertas.
    • Escolha a gravidade "Alta", "Média" ou "Baixa".
    • Se você acionar um alerta para a Central de alertas, também poderá enviar notificações por e-mail marcando a caixa Todos os superadministradores e/ou clicando em Adicionar destinatários do e-mail para enviar e-mails para administradores selecionados quando a regra for acionada.
  12. Clique em PRÓXIMO: REVISAR.
    Use esta página para revisar todos os detalhes e fazer as mudanças necessárias antes de criar a regra.
  13. Veja o status da regra
    Quando você cria uma regra de atividade, o status da regra é definido como Ativa por padrão, o sistema começa a coletar registros e a regra é aplicada. Você também pode definir o status da regra como Monitorar para analisar os registros antes de aplicar a regra. Posteriormente, você também vai poder definir a regra como Inativa. Quando essa opção é selecionada, o sistema não coletar mais dados, e a regra não é aplicada. 
  14. Clique em Criar regra.

Observação: ao configurar uma regra de atividade, você pode usar a guia Criador de condições, onde os filtros são representados como condições com operadores AND/OR. Também é possível usar a guia Filtrar para incluir pares simples de parâmetros e valores e filtrar os resultados da pesquisa.

Página "Regras": ver e editar suas regras de atividade

Depois de criar uma regra de atividade, você vai poder acessar a página Regras para ver os detalhes, o escopo e as condições da regra, além das ações realizadas quando os limites são atingidos. 

Na página "Regras", também é possível ver uma lista de todas as regras criadas pelos administradores no seu domínio. Acesse a página inicial do Google Admin Console e clique em Regras.

Na página "Regras", os administradores do seu domínio podem ver as regras criadas por outros administradores, dependendo da origem de dados e dos privilégios. Por exemplo, um administrador pode ter privilégios de visualização para eventos de registro do Drive, mas não para eventos de registro do Gmail e, portanto, não poderá ver regras baseadas em eventos de registro do Gmail.

Você pode usar a página "Regras" para fazer o seguinte:

  • Filtrar a lista de regras clicando em Adicionar um filtro
  • Ver e editar os detalhes da regra clicando em uma das opções listadas na página "Regras"
  • Excluir regras
  • Criar regras
  • Clicar em Investigar para abrir a ferramenta de investigação e ver os dados dos eventos de registro de regras

Alertas por e-mail

Se você configurar notificações por e-mail para sua regra, a regra de atividade só vai enviar um e-mail de notificação por janela de limite quando for acionada pela primeira vez e não vai enviar notificações nas outras vezes em que for acionada. A notificação por e-mail inclui um resumo da regra que acionou o alerta, como o nome da regra, os detalhes do limite, os dados de origem e muito mais. Os administradores que receberem a notificação por e-mail podem clicar em VER ALERTA para acessar a página "Detalhes do alerta" na Central de alertas.

Observação: eventos que acionam a mesma regra no período de limite de alerta são agregados em um único e-mail.

Artigos relacionados

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
7666861413354145815
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false