为了更快速、更高效地预防、检测和解决安全问题,您可以在调查工具中通过创建活动规则来设置提醒和自动执行操作。
配置规则时,您需要为规则设置条件,并指定满足这些条件时要执行哪些操作。规则就是一种条件语句,即如果 x 发生,则自动执行 y。
作为管理员,您可以创建一项活动规则,让系统根据您在调查工具中配置的任何搜索来向您发出提醒或执行相应操作。您配置活动规则后,Google 将持续不断地执行您在规则中指定的搜索。如果该搜索返回的结果数量超过您设置的阈值,则 Google 将执行您指定的操作。例如,您可以设置一项规则,让系统在有用户与公司外部人员共享云端硬盘文档时,向特定管理员发送电子邮件通知。
针对活动规则的管理员访问权限
您能否创建和查看活动规则取决于您的 Google Workspace 版本、管理员权限和数据源。有关详情,请参阅针对报告规则和活动规则的管理员访问权限。
有关创建活动规则的重要准则
- 您只能基于日志事件数据源(例如“Gmail 日志事件”或“设备日志事件”)创建活动规则,而不能基于实时状态数据源(例如“Chrome 浏览器”“设备”“Gmail 邮件”和“用户”)创建活动规则。
- 可用的数据源会因 Google Workspace 的版本而异。有关详情,请参阅使用调查工具自定义搜索。
- 您必须为搜索添加至少一个事件属性。
- 只有在所有条件路径中都添加事件后,您才能在顶级添加“或”运算符。
- 您只能为该属性添加一个值。例如,“执行者”只能包含一个用户。如需包含多个值,请使用条件构建器添加 OR 运算符,然后为同一属性添加额外的值。
- 系统会持续评估规则,因此您不能将日期过滤条件用于活动规则。
- 您必须向规则添加至少一项操作或提醒。
- 由于活动规则基于日志事件,所以这些规则将在事件发生后触发。因此,活动规则不适合用于屏蔽文档、共享文档或发送电子邮件等操作。
规则阈值的工作原理
为规则设置阈值后,该阈值会应用于所有用户操作,而不是应用于单个用户。举例来说,假设您创建了一条规则,让系统暂停在 1 小时内尝试登录失败 5 次的用户。如果一位或多位用户在 1 小时内尝试登录失败 5 次,就会达到该阈值。在这种情况下,至少有一次登录尝试失败的所有用户都将被暂停。
创建活动规则
您可以通过安全调查工具或“规则”页面创建活动规则。
请按照以下步骤操作:
-
-
在管理控制台首页,选择安全性 > 调查工具,然后点击创建活动规则。
- 或 -
在管理控制台首页,选择规则,然后依次点击创建规则 > 活动。
- 输入规则名称,例如“对外共享数据”。
- 输入说明,例如“如果与公司外部人员共享文档,则发出通知”。
- 点击下一步:查看条件。
- 为规则选择数据源,例如管理员日志事件。
注意:有哪些数据源可用取决于您的 Google Workspace 版本和管理员权限。有关详情,请参阅针对报告规则和活动规则的管理员访问权限以及调查工具中的数据源和条件。
- 为规则设置一个或多个条件。为每个条件选择属性、运算符和值。
例如,如要设置一个指定事件为转移文档所有权的条件,请选择事件作为属性,为作为运算符,文档设置 > 转移文档所有权作为值。
注意:事件为必选条件。要详细了解适用于每种数据源的条件,请参阅调查工具中的数据源和条件。
- 点击下一步:添加操作。
注意:创建活动规则时,您无法为云端硬盘日志事件添加操作。 - 为规则指定时间段和阈值。例如,您可以设置这样的阈值:每 24 小时内,当计数大于 100 时触发。这意味着在任意给定的 24 小时内,如果搜索返回的结果数量超过 100,您希望系统触发此规则。
- 为规则选择操作,例如暂停用户或强制更改密码。
- 选择是否希望此规则在提醒中心触发提醒。
- 选择严重程度:“高”“中”或“低”。
- 如果您选择触发提醒中心的提醒,还可以选择发送电子邮件通知,方法是勾选所有超级用户复选框,并且/或者点击添加电子邮件收件人以便在规则被触发时向选定的超级用户发送电子邮件。
- 点击下一步:检查。
在此页面可以检查此规则的所有详细信息,并在需要时做出更改,一切无误后再创建此规则。 - 查看规则状态。
创建活动规则后,规则状态默认为“活跃”。这意味着系统将开始收集日志,并将强制执行此规则。您也可以选择将规则状态设置为“监控”,这样您就可以在强制执行此规则前先查看日志。之后,您还可以将规则设置为“未启用”,这样系统就会停止收集日志,并停止强制执行此规则。 - 点击创建规则。
注意:设置活动规则时,您可以使用条件构建器标签页,在该标签页中过滤条件会以采用“且”/“或”运算符的条件加以表示。您还可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。
“规则”页面:查看和修改活动规则
创建活动规则后,您可以进入规则页面,查看该规则的详细信息、范围和条件,以及在达到阈值时触发的操作。
在“规则”页面中,您还可以查看网域管理员创建的所有规则的列表。为此,请进入 Google 管理控制台首页,然后点击规则。
网域中的管理员可以在“规则”页面中查看其他管理员创建的规则,具体取决于规则的数据源和每个管理员的权限。例如,某位管理员可能对“云端硬盘日志事件”具有查看权限,但对“Gmail 日志事件”则没有查看权限,因此该管理员就无法查看基于“Gmail 日志事件”的任何规则。
您可以通过“规则”页面执行以下操作:
- 点击添加过滤条件可过滤规则列表。
- 点击“规则”页面中列出的某项规则,可查看和修改该规则的详细信息。
- 删除规则。
- 创建新规则。
- 点击调查可打开调查工具,查看“规则日志事件”中的数据。
电子邮件提醒
如果您为规则设置了电子邮件通知,则活动规则仅会在规则首次触发时按阈值时间段发送一封电子邮件通知,而不会针对后续的触发次数发送通知。电子邮件通知中包含触发提醒的规则的摘要,例如规则名称、阈值详细信息、源数据等。收到电子邮件通知的管理员可以点击查看提醒以进入提醒中心的“提醒详情”页面。
注意:在提醒阈值时间范围内触发相同规则的多个事件会汇总到一封电子邮件中。