A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più
In qualità di amministratore dell'organizzazione, puoi eseguire ricerche e intervenire sui problemi di sicurezza relativi agli eventi dei log di Chrome. Ad esempio, puoi visualizzare un registro delle azioni eseguite per tenere traccia degli eventi relativi ai browser Chrome gestiti e ai dispositivi ChromeOS. Puoi anche vedere quando si è verificata una visita a un sito non sicuro.
Prima di iniziare
Per visualizzare tutti gli eventi di Chrome:
- Il browser deve essere gestito da Chrome Browser Cloud Management, un dispositivo ChromeOS registrato con la tua organizzazione o un profilo utente gestito nel browser Chrome.
- Devi configurare i report per gli eventi di sicurezza di Chrome. Per maggiori dettagli, vai a Gestire i connettori di reporting di Chrome Enterprise.
- Per esaminare gli eventi di protezione dei dati di Chrome, devi configurare BeyondCorp Enterprise. Per maggiori dettagli, vedi Proteggere gli utenti di Chrome con BeyondCorp Threat and Data Protection.
Inoltrare i dati sugli eventi dei log a Google Cloud
Puoi attivare la condivisione dei dati sugli eventi dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.
Eseguire una ricerca di eventi dei log di Chrome
La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.
Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu
Report
Controllo e indagine
- Fai clic su Aggiungi un filtro, quindi seleziona un attributo.
- Nella finestra popup, seleziona un operatore
- (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
- (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
- (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
- (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
- Fai clic su Cerca.
-
Nota:utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori AND/OR.
Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu
Sicurezza
- Fai clic su Origine dati e seleziona Eventi dei log di Chrome.
- Fai clic su Aggiungi condizione.
Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate. - Fai clic su Attributo
Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito. - Seleziona un operatore
- Inserisci un valore o selezionane uno dall'elenco a discesa.
- (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
- Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina. - (Facoltativo) Per salvare la tua indagine, fai clic su Salva
Nota:
- Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
- Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
Descrizioni degli attributi
Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:
| Attributo | Descrizione |
|---|---|
| Nome del gruppo dell'attore |
Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro:
|
| Unità organizzativa che ha eseguito l'azione | L'unità organizzativa dell'attore. |
| Nome applicazione | Nome dell'estensione dal Chrome Web Store |
| Versione del browser | Il numero assegnato alla versione del browser Chrome, ad esempio 123.0.6312.59. |
| Tipo di client |
Piattaforma di Chrome gestita in cui si è verificato l'evento.
|
| Hash dei contenuti | L'hash SHA256 dei contenuti. |
| Nome contenuti | Il nome dei contenuti scaricati, ad esempio un nome file. |
| Dimensione dei contenuti* | Le dimensioni dei contenuti scaricati, in byte. |
| Tipo di contenuti | Il tipo multimediale (MIME) dei contenuti scaricati, ad esempio text/html. |
| Data | La data e l'ora dell'evento (nel fuso orario predefinito del browser). |
| Destinazione | Il file system di destinazione per gli eventi di trasferimento file. Per gli eventi di controllo dei dati, il file system di destinazione o l'URL di destinazione per i caricamenti di file o le azioni di copia e incolla. |
| Nome dispositivo | Il nome del dispositivo. |
| Piattaforma dispositivo | Il sistema operativo su cui è in esecuzione di browser. |
| Utente dispositivo | Il nome dell'utente riportato dal sistema operativo. |
| ID API Directory | ID dispositivo restituito dall'API Directory. |
| Dominio* | Il dominio in cui si è verificata l'azione. |
| Tipo di azione estensione | Il tipo di azione dell'estensione di Chrome che attiva l'evento. Può essere Installa, Disinstalla o Aggiorna. |
| Origine estensione | L'origine da cui è stata installata l'estensione di Chrome. Può essere Chrome web Store, Esterno o Non specificato. |
| Versione estensione | La versione dell'estensione. |
| Evento | L'azione dell'evento registrato, ad esempio Contenuti non scansionati, Visita a siti non sicuri, Riutilizzo della password, Trasferimento di dati sensibili, Trasferimento di malware o Trasferimento di contenuti. |
| Motivo evento* | I dettagli sull'azione, ad esempio Il file è protetto da password. |
| Risultato evento | Il risultato dell'evento in base alle regole e ai criteri impostati. Può essere Ignorato, Bloccato, Avvisato, Consentito o Rilevato. |
| Utente del profilo | Il nome utente del profilo del browser Chrome. |
| ID scansione | L'ID della scansione di analisi dei contenuti che ha attivato l'evento. |
| Origine | Il file system di origine per gli eventi di trasferimento file. Per gli eventi di controllo dei dati, l'URL di origine per i caricamenti di file o le azioni di copia e incolla. |
| URL scheda |
L'URL a cui reindirizza la scheda durante il download di un file. Questo URL può attivare la regola di prevenzione della perdita di dati File scaricati. Ad esempio, quando un utente scarica un file da Google Drive, la regola può essere attivata dall'URL della scheda (drive.google.com) o dall'URL di download (googleusercontent.com). Nota: URL scheda e URL sono identici, ad eccezione dei download. |
| Tipo di attivatore | L'azione utente che ha attivato l'evento, ad esempio Sconosciuto, Pagina stampata, Caricamento di file, Download di file, Caricamento di contenuti web o Trasferimento file. |
| Utente attivatore | Il nome utente correlato all'evento:
|
| URL | L'URL che ha generato l'evento. |
| Categoria URL | La categoria del contenuto dell'URL che ha generato l'evento. |
| User agent | La stringa user agent del browser utilizzata per accedere ai contenuti, Ad esempio Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/84.0.4140.0 Safari/537.36. |
| ID dispositivo virtuale* | L'ID del dispositivo. Il valore è specifico della piattaforma. |
Filtrare i dati in base a eventi di protezione dei dati o minacce
- Apri gli eventi del log come descritto in Accedere ai dati sugli eventi del log di Chrome sopra.
- Fai clic su Aggiungi un filtro
- Seleziona l'operatore.
- Nell'elenco a discesa, seleziona un'opzione:
- Fai clic su Applica.
Descrizioni degli eventi di minacce relative a Chrome
| Valore evento | Descrizione | Supporto del connettore di reporting |
|---|---|---|
| Eventi di arresto anomalo | È stato rilevato un arresto anomalo di una scheda o del browser. | Supportato sul browser Chrome 112 e versioni successive |
| Installazione estensione | È stata installata un'estensione del browser tramite azione dell'utente o dall'amministratore. | Supportato sul browser Chrome 110 e versioni successive |
| Trasferimento di malware | I contenuti caricati o scaricati dall'utente sono considerati dannosi, pericolosi o indesiderati. | Supportato sul browser Chrome 104 e versioni successive |
| Eventi di accesso |
Nota: affinché questo evento venga segnalato, è necessario che Gestore delle password sia attivato. Un accesso utente riuscito a un dominio con l'URL specificato nelle impostazioni del connettore di reporting. L'evento è visibile nel Centro sicurezza Google. Gli accessi non riusciti non vengono segnalati. |
Supportato sul browser Chrome 105 e versioni successive |
| Violazione password |
Nota: affinché questo evento venga segnalato, è necessario che Gestore delle password sia attivato. Quando un utente digita il proprio nome utente e la propria password in un sito web, Chrome avvisa se sono stati compromessi a causa di una violazione dei dati su alcuni siti o app. Per maggiori dettagli, vedi Cambiare le password non sicure nell'Account Google. Chrome suggerisce inoltre che l'utente le modifichi ovunque siano state utilizzate. Per gli URL specificati nella Console di amministrazione, la violazione viene visualizzata anche nella finestra del Centro sicurezza Google se la password è stata salvata in Gestore delle password. Ogni URL viene visualizzato come record separato. |
Supportato sul browser Chrome 105 e versioni successive |
| Password modificata |
L'utente reimposta la password per l'account utente al primo accesso. |
Supportato sul browser Chrome 104 e versioni successive |
| Riutilizzo della password | L'utente ha inserito una password in un URL esterno all'elenco degli URL di accesso aziendali consentiti. | Supportato sul browser Chrome 104 e versioni successive |
| Visita a siti non sicuri | L'URL visitato dall'utente è considerato ingannevole o dannoso. | Supportato sul browser Chrome 104 e versioni successive |
Descrizioni degli eventi Chrome Data Protection
Gli eventi Chrome Data Protection sono disponibili solo per i clienti che hanno acquistato Chrome Enterprise Premium .
Per maggiori informazioni su Chrome Enterprise Premium e su come configurarlo, vedi Proteggere gli utenti di Chrome con Chrome Enterprise Premium threat and data protection.
| Valore dell'evento | Descrizione | Supporto del connettore di reporting |
|---|---|---|
| Trasferimento contenuti | I contenuti sono stati caricati, scaricati o stampati da Chrome e inviati per la scansione di malware o dati sensibili |
Supportato sul browser Chrome 104 e versioni successive Versione richiesta: Chrome Enterprise Premium |
| Contenuti non scansionati | Ci sono vari motivi per cui un file non viene scansionato, ad esempio
|
Supportato sul browser Chrome 104 e versioni successive Versione richiesta: Chrome Enterprise Premium |
| Trasferimento dati sensibili | I contenuti caricati, scaricati, stampati o incollati dall'utente sono considerati contenenti dati sensibili, se rilevati dalle regole per la protezione dei dati. |
Supportato sul browser Chrome 104 e versioni successive Versione richiesta: Chrome Enterprise Premium |
| Filtro degli URL | L'utente ha tentato di accedere a un URL corrispondente a una regola di protezione dei dati impostata dall'amministratore |
Supportato sul browser Chrome 113 e versioni successive Versione richiesta: Chrome Enterprise Premium |
Descrizioni degli eventi di sicurezza di ChromeOS
- Per le sessioni Ospite gestite, kiosk o utente non affiliato, gli indirizzi email degli utenti non vengono raccolti. Per saperne di più sull'affiliazione di un utente, consulta Informazioni sull'affiliazione degli utenti.
- Per raccogliere i dati per questi eventi, devi abilitare tutti i report o le opzioni specifiche indicate di seguito. Per maggiori dettagli, vedi Impostare i criteri relativi ai dispositivi ChromeOS > Segnalare telemetria del dispositivo, Impostare i criteri relativi ai dispositivi ChromeOS > Segnalare informazioni sul sistema operativo del dispositivo e Impostare i criteri di Chrome per utenti o browser > Report sul controllo dei dati.
| Valore evento | Descrizione | Supporto del connettore di reporting | Criterio obbligatorio |
|---|---|---|---|
| Errore di accesso a ChromeOS | L'utente non è riuscito ad accedere al suo dispositivo ChromeOS. | Supportato | Includi la telemetria del dispositivo nei report |
| Accesso a ChromeOS riuscito | L'utente ha eseguito l'accesso al proprio dispositivo ChromeOS. | Supportato | |
| Disconnessione da ChromeOS | L'utente si è disconnesso dal proprio dispositivo ChromeOS. | Supportato | |
| Utente di ChromeOS aggiunto | È stato aggiunto un account utente a un dispositivo ChromeOS. | Supportato | |
| Utente di ChromeOS rimosso | È stato rimosso un account utente da un dispositivo ChromeOS. | Supportato | |
| Blocco di ChromeOS riuscito | Lo schermo di un dispositivo ChromeOS è stato bloccato. | Non supportato | |
| Sblocco di ChromeOS riuscito | Lo schermo di un dispositivo ChromeOS è stato sbloccato. | Non supportato | |
| Sblocco di ChromeOS non riuscito | Si è verificato un errore nel tentativo di sbloccare un dispositivo ChromeOS. | Non supportato | |
| Modifica dello stato di avvio del dispositivo ChromeOS |
Lo stato di avvio di un dispositivo ChromeOS è passato alla modalità sviluppatore o verificata.
|
Non supportato | Includi le informazioni sul sistema operativo del dispositivo nei report |
| Dispositivo USB ChromeOS aggiunto |
È stato aggiunto un dispositivo USB a un dispositivo ChromeOS. Questo evento viene incluso nei report solo per gli utenti affiliati. |
Supportato | Includi le informazioni sul sistema operativo del dispositivo nei report |
| Dispositivo USB ChromeOS rimosso | È stato rimosso un dispositivo USB a un dispositivo ChromeOS. Questo evento viene incluso nei report solo per gli utenti affiliati. | Supportato | |
| Modifica dello stato dell'USB ChromeOS | Un utente affiliato accede al dispositivo e verranno incluse nei report tutte le connessioni USB esistenti. | Supportato | |
| Host CRD di ChromeOS avviato | Un utente affiliato ha avviato una sessione host di Chrome Report Desktop (CRD) su un dispositivo gestito. | Supportato | Includi le informazioni sul sistema operativo del dispositivo nei report |
| Client CRD di ChromeOS connesso |
Un utente connesso alla sessione di Chrome Report Desktop (CRD). |
Supportato | |
| Client CRD di ChromeOS disconnesso | Un utente si è disconnesso dalla sessione di Chrome Report Desktop (CRD). | Supportato | |
| Host CRD di ChromeOS arrestato | Un utente affiliato ha interrotto una sessione host di Chrome Report Desktop (CRD) su un dispositivo gestito. | Supportato | |
| Rollback di ChromeOS riuscito | Un dispositivo ChromeOS ha completato un rollback del sistema operativo. | Non supportato | Includi le informazioni sul sistema operativo del dispositivo nei report |
| Aggiornamento della versione di ChromeOS riuscito | Un utente ha aggiornato con successo un dispositivo ChromeOS alla versione di destinazione di ChromeOS. | Non supportato | |
| Aggiornamento della versione di ChromeOS non riuscito | Non è stato possibile aggiornare un dispositivo ChromeOS alla versione di destinazione di ChromeOS. | Non supportato | |
| Powerwash del dispositivo ChromeOS avviato | Un dispositivo ChromeOS ha avviato un Powerwash. | Non supportato | |
| Controllo dell'accesso ai dati | Un utente ha attivato regole di controllo dei dati in ChromeOS applicate dall'amministratore. | Supportato | Creazione di report sui controlli dei dati |
Gestire i dati sugli eventi dei log
Gestire i dati delle colonne dei risultati di ricerca
Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.
- Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne
.
- (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi
.
- (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù
in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
Ripeti questa operazione in base alle necessità. - (Facoltativo) Trascina i nomi delle colonne per modificarne l'ordine.
- Fai clic su Salva.
Esportare i dati dei risultati di ricerca
Puoi esportare i risultati di ricerca in Fogli Google o in un file CSV.
- Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
- Inserisci un nome
L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta. - Per visualizzare i dati, fai clic sul nome dell'esportazione.
L'esportazione si apre in Fogli Google.
I limiti di esportazione possono variare:
- I risultati totali dell'esportazione sono limitati a 100.000 righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).
- Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione
Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).
Per saperne di più, consulta Esportare i risultati di ricerca.
Quando sono disponibili i dati? Per quanto tempo?
Adottare azioni basate sui risultati di ricerca
- Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vedi Creare e gestire le regole di reporting.
- Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione
Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire le regole di attività.
Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione
Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vai a Adottare azioni basate sui risultati di ricerca.
Gestire le indagini
Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione
Visualizzare il proprio elenco di indaginiPer visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.
Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.
Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.
Come super amministratore, puoi fare clic su Impostazioni per:
- Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
- Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
- Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
- Attivare o disattivare l'opzione Abilita motivazione azione.
Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.
Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.
Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.