為了更快速有效地預防、偵測及修正安全性問題,您可以在調查工具中建立「活動規則」,藉此設定快訊並讓系統自動採取因應行動。
只要先為規則設定「條件」,然後指定條件達成時要執行的「動作」,即可完成規則設定。簡單來說,規則的意思就是:當「x」發生時,自動執行「y」。
管理員可以建立活動規則,讓系統根據您在調查工具中設定的搜尋條件傳送快訊或採取行動。設定活動規則後,Google 會持續執行您在規則中指定的搜尋。如果搜尋作業傳回的搜尋結果數量超過您所設定的門檻,Google 就會執行您指定的動作。舉例來說,您可以設定規則,讓系統在使用者將雲端硬碟文件與公司外部對象共用時,傳送電子郵件通知給特定管理員。
活動規則的管理員存取權
是否能建立及查看活動規則,取決於您的 Google Workspace 版本、管理員權限和資料來源。詳情請參閱「報告規則和活動規則的管理員存取權」。
建立活動規則的重要須知
- 您只能根據記錄事件資料來源 (例如「Gmail 記錄事件」或「裝置記錄事件」) 建立活動規則。您無法根據即時資料來源 (例如「Chrome 瀏覽器」、「裝置」、「Gmail 郵件」,以及「使用者」),建立活動規則。
- 可用的資料來源依 Google Workspace 版本而異。詳情請參閱「在調查工具中自訂搜尋方式」。
- 您必須在搜尋中加入至少一個事件屬性。
- 「只有」在每個條件路徑都採用事件條件的情況下,您才能在頂層加入 OR 運算子。
- 您只能為屬性新增一個值。舉例來說,執行者只能含有一個使用者。如要包含多個值,請使用條件建構工具新增 OR 運算子,然後新增含有其他值的相同屬性。
- 日期篩選器不適用於活動規則 (因為系統會持續評估這類規則)。
- 您必須在規則中加入至少一個動作或快訊。
- 由於活動規則是以記錄事件為基礎,在事件發生「之後」才會觸發,因此活動規則並不適用於封鎖、共用文件或傳送郵件等事件。
規則門檻的運作方式
為規則設定門檻後,系統會以累計方式將門檻套用至使用者所有動作,而非個別使用者。舉例來說,假設您建立一項規則,若使用者在 1 小時內登入失敗 5 次則將其停權。在 1 小時內,一或多位使用者嘗試登入失敗共計 5 次,即達到門檻。如此一來,系統會將至少登入失敗一次的所有使用者停權。
建立活動規則
您可以透過「安全調查工具」或「規則」頁面建立活動規則。
步驟如下:
-
-
在管理控制台首頁中,依序前往「安全性」>「調查工具」,然後按一下「建立活動規則」。
—或者—
在管理控制台首頁中前往「規則」,接著依序點選「建立規則」>「活動」。
- 輸入規則名稱,例如「共用外部資料」。
- 輸入說明,例如「在文件與公司外部人員共用時傳送通知」。
- 按一下「下一步:查看條件」。
- 選擇規則的「資料來源」,例如「管理員記錄事件」。
注意:資料來源可用與否,取決於您的 Google Workspace 版本和管理員權限。詳情請參閱「報告規則和活動規則的管理員存取權」,以及「調查工具中的資料來源與條件」。
- 先為規則設定一或多項條件,再針對每個條件分別選擇「屬性」、「運算子」和「值」。
舉例來說,如要設定一個指定事件為轉移文件擁有權的條件,請選擇「事件」為屬性,「為」做為運算子,「文件設定 > 轉移文件擁有權」做為值。
注意:「事件」是必要條件。如要進一步瞭解各種資料來源可用與否,請參閱「調查工具中的資料來源與條件」。
- 點選「下一步:新增動作」。
注意:建立活動規則時,您無法為雲端硬碟記錄事件新增動作。 - 定義規則的時間範圍和門檻。比方說,您可以將門檻設定為「每 24 小時內數量超過 100 筆」;也就是說,只要您的搜尋在 24 小時內傳回的搜尋結果數量超過 100 筆,就會觸發規則。
- 選取規則要執行的「動作」,例如將使用者停權或強制變更密碼。
- 選擇您是否要讓這項規則在快訊中心觸發快訊。
- 選擇嚴重性程度 (高、中或低)。
- 如果您選擇觸發快訊中心的快訊,也可以勾選「所有超級管理員」方塊來傳送電子郵件通知,並/或按一下「新增電子郵件收件者」,在觸發規則時將電子郵件傳送給所選管理員。
- 按一下 [下一步:檢閱]。
您可以在這個頁面中檢閱規則的所有詳情,並在建立規則前視需要進行變更。 - 查看「規則狀態」。
建立活動規則時,預設的規則狀態為「有效」,也就是說,系統會開始收集記錄,並強制執行規則。您也可以選擇將規則狀態設為「監控」,如此一來,您就可以在強制執行規則之前先行檢閱記錄。日後您也可以將規則狀態設為「無效」,系統就不會繼續收集記錄及強制執行規則。 - 按一下「建立規則」。
注意:設定活動規則時,您可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組來篩選搜尋結果。
規則頁面:查看及編輯活動規則
建立活動規則後,您可以前往「規則」頁面查看規則的詳細資料、範圍和條件,以及達到門檻後觸發的動作。
在「規則」頁面中,您還可以查看網域中由管理員建立的所有規則清單。前往 Google 管理控制台首頁,然後按一下「規則」。
您網域的管理員可在「規則」頁面中查看其他管理員所建立的規則 (視規則資料來源和管理員本身的權限而定)。舉例來說,如果某位管理員擁有雲端硬碟記錄事件的檢視權限,但沒有 Gmail 記錄事件的檢視權限,就不會看到任何根據 Gmail 記錄事件建立的規則。
您可以使用「規則」頁面執行下列動作:
- 點選「新增篩選器」來篩選規則清單。
- 按一下「規則」頁面列出的任一規則,即可查看及編輯規則詳細資料。
- 刪除規則。
- 建立新規則。
- 按一下「調查」即可開啟調查工具,用來查看規則記錄事件的資料。
電子郵件快訊
如果您為規則設定了電子郵件通知,活動規則只會在規則首次觸發時,依據每個門檻視窗寄送一封通知電子郵件。如果並非首次觸發規則,則不會傳送通知。電子郵件通知會提供觸發快訊的規則摘要,包括規則名稱、門檻詳情、來源資料等等。收到電子郵件通知的管理員只要按一下「查看快訊」,即可前往快訊中心的「快訊詳細資料」頁面。
注意:如有多項事件在快訊門檻時限內觸發相同規則,系統會將這些事件匯總為一封電子郵件。