Як створювати правила для дій і керувати ними

Інструмент аналізу безпеки: як налаштувати сповіщення й вживати потрібних заходів

Щоб швидше й ефективніше виявляти та усувати проблеми з безпекою, а також запобігати їм, ви можете налаштувати сповіщення й автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій

Щоб налаштувати правило, потрібно задати для нього умови й указати, які дії слід виконувати за дотримання цих умов. Простіше кажучи, правило – це інструкція: якщо сталася подія А, потрібно виконати дію Б.

Адміністратор може створити правило, яке надсилатиме сповіщення або виконуватиме певні дії за результатами пошуку, налаштованого в інструменті "Аналіз безпеки". Коли ви створите правило для дії, Google постійно здійснюватиме налаштований у ньому пошук. Якщо кількість результатів пошуку перевищуватиме задане порогове значення, Google виконає дії, які ви вказали. Наприклад, можна налаштувати правило, згідно з яким певним адміністраторам надсилаються сповіщення електронною поштою, якщо доступ до документів на Диску надано особам за межами компанії.

Доступ із правами адміністратора до правил для дій

Можливість створювати й переглядати правила для дій залежить від вашої версії Google Workspace, прав адміністратора й джерела даних. Щоб дізнатися більше, перегляньте статтю Доступ із правами адміністратора до правил звітування й правил для дій.

Важливі вказівки щодо створення правил для дій

  • Правила для дій можна створювати лише на основі джерел даних із подіями в журналах, наприклад подій у журналі Gmail або подій у журналі пристрою. Такі правила не можна створювати на основі джерел даних із мінливим станом, наприклад вебпереглядачів Chrome, пристроїв, повідомлень Gmail і користувачів.
  • Доступні джерела даних залежать від версії Google Workspace. Щоб дізнатися більше, перегляньте статтю Як налаштувати пошук за допомогою інструмента "Аналіз безпеки".
  • У пошук потрібно додати принаймні один атрибут події.
  • Ви можете застосувати оператор АБО на верхньому рівні, лише якщо в кожній послідовності умов є "Подія".
  • Для кожного атрибута можна вказати лише одне значення. Наприклад, атрибут "Виконавець" може позначати лише одного користувача. Щоб указати кілька значень, додайте оператор АБО за допомогою конструктора умов, а потім укажіть той самий атрибут із додатковим значенням.
  • До правил для дій не можна застосовувати фільтри за датою, оскільки постійно виконується перевірка на виконання умов.
  • У правило потрібно додати принаймні одну дію або сповіщення.
  • Оскільки правила для дій ґрунтуються на подіях у журналі, вони активуються після того, як подія відбулась. Тому ці правила не підходять для таких дій, як блокування, надання доступу до документа або надсилання електронних листів.

Як працюють порогові значення для правил

Коли ви задаєте порогове значення для правила, воно застосовується сукупно до всіх дій користувача, а не для кожного користувача окремо. Припустімо, ви створили правило, згідно з яким облікові записи блокуються після п’яти невдалих спроб входу протягом години. Порогове значення досягається, коли протягом години один або кілька користувачів здійснили сукупно п’ять невдалих спроб входу. Після цього буде заблоковано всіх користувачів, які здійснили принаймні одну невдалу спробу входу.

Як створити правило для дії

Правило для дії можна створити в інструменті аналізу безпеки або на сторінці "Правила". 

Для цього:

  1. Відкрийте Консоль адміністратора Google.

    Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).

  2. На головній сторінці Консолі адміністратора виберіть Безпека > Інструмент "Аналіз безпеки" й натисніть Створити правило для дії.

    —АБО—

    На головній сторінці Консолі адміністратора перейдіть у розділ Правила, а потім натисніть Створити правило > Дія.
     
  3. Введіть назву правила, наприклад Надання доступу до даних за межами компанії.
  4. Додайте опис, наприклад Сповіщати, коли доступ до документів надано особам за межами компанії.
  5. Натисніть Далі: переглянути умови.
  6. Виберіть для правила Джерело даних, наприклад Події в журналі адміністратора.

    Примітка. Доступні джерела даних залежать від вашої версії Google Workspace і прав адміністратора. Щоб дізнатися більше, перегляньте статті Доступ із правами адміністратора до правил звітування й правил для дій та Джерела даних і умови в інструменті "Аналіз безпеки"
     
  7. Налаштуйте принаймні одну умову для правила. Для кожної умови виберіть атрибут, оператор і значення

    Наприклад, щоб налаштувати умову, за якою подія – це передача права власності на документ, для атрибута виберіть Подія, для оператора – Є, а для значення вкажіть Налаштування документа > Передача права власності на документи

    Примітка. Подія – це обов’язкова умова. Докладну інформацію про умови, доступні для кожного джерела даних в інструменті "Аналіз безпеки", наведено в цій статті.
     
  8. Натисніть Далі: додавання дій.
    Примітка. Створюючи правило, ви не можете додавати дії для подій у журналі Диска.
  9. Задайте для правила період часу й порогове значення. Наприклад, для порогового значення можна вказати Кожні 24 години, коли кількість перевищує 100. Тоді, якщо протягом будь-якого періоду тривалістю 24 години буде виявлено понад 100 результатів пошуку, застосовуватиметься це правило. 
  10. Виберіть для правила дію, наприклад блокувати користувачів або ініціювати примусову зміну пароля.
  11. Укажіть, чи має це правило активувати сповіщення в Центрі сповіщень.
    • Виберіть рівень важливості: високий, середній або низький.
    • Якщо ви вирішите активувати сповіщення в Центрі сповіщень, то також можете налаштувати надсилання сповіщень електронною поштою. Для цього поставте прапорець Усі суперадміністратори та/або натисніть Додати одержувачів електронних листів, щоб під час активації правила надсилати листи певним адміністраторам.
  12. Натисніть Далі: перегляд.
    На цій сторінці можна переглянути всі відомості про правило й за потреби внести зміни, перш ніж його створювати.
  13. Перевірте статус правила
    Коли ви створите правило для дії, для його статусу за умовчанням установлюється значення Активовано. Це означає, що система збирає дані журналів і це правило примусово застосовується. За потреби для правила можна встановити статус У режимі монітора. Це дасть змогу перевіряти журнали перед застосуванням правила. Пізніше ви також можете задати для правила статус Неактивовано, який означає, що система більше не збирає дані для журналів і правило не застосовується. 
  14. Натисніть Створити правило.

Примітка. Під час налаштування правила для дії ви можете скористатися вкладкою Конструктор умов, де фільтри представлено у вигляді умов з операторами ТА/АБО. Також на вкладці Фільтр можна включити прості пари параметрів і значень, щоб відфільтрувати результати пошуку.

Переглядайте правила для дій на сторінці "Правила"

Створивши правило для дії, ви можете перейти на сторінку Правила, щоб переглянути відомості про нього, зокрема його область дії, умови, а також дії, які активуються в разі досягнення порогових значень. 

На сторінці "Правила" також можна переглянути список усіх правил, створених адміністраторами у вашому домені. Перейдіть на головну сторінку Консолі адміністратора Google і натисніть Правила.

На сторінці "Правила" адміністратори домену можуть переглядати правила, створені іншими адміністраторами, залежно від джерела даних і своїх прав. Наприклад, адміністратор має права перегляду для подій у журналі Диска, але не для подій у журналі Gmail. Тому він не зможе бачити правила на основі подій у журналі Gmail.

На сторінці "Правила" можна виконувати наведені нижче дії.

  • Фільтрувати список правил, натиснувши Додати фільтр
  • Переглядати й редагувати відомості про правила, натиснувши одне з них на сторінці "Правила".
  • Видаляти правила.
  • Створювати нові правила.
  • Використовувати інструмент "Аналіз безпеки", натиснувши Проаналізувати, щоб переглянути дані подій у журналі правил.

Сповіщення електронною поштою

Якщо налаштувати для правила для дії сповіщення електронною поштою, то протягом періоду з пороговим значенням сповіщення надсилатиметься лише в разі першої активації правила. Воно міститиме зведену інформацію про правило, яке ініціювало його надсилання, зокрема назву, порогові значення, дані джерела тощо. Адміністратори, які отримали сповіщення електронною поштою, можуть натиснути Переглянути сповіщення, щоб перейти на потрібну сторінку в Центрі сповіщень.

Примітка. Якщо в період дії сповіщення відбувається кілька подій, які активують те саме правило, то відомості про них додаються в один електронний лист.

Статті за темою

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
12377622918822479184
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false