La page d'audit et d'enquête vous permet d'effectuer des recherches concernant les événements de journaux Chrome. Vous y trouverez un enregistrement des actions permettant de suivre les événements liés aux navigateurs Chrome et aux appareils ChromeOS gérés. Vous pouvez, par exemple, afficher la date et l'heure de la visite d'un site non sécurisé.
Pour obtenir la liste complète des services et des activités que vous pouvez examiner, tels que Google Drive ou l'activité des utilisateurs, consultez À propos de l'outil d'audit et d'investigation.
Avant de commencer
Pour afficher tous les événements Chrome :
- Le navigateur doit être géré par la gestion cloud du navigateur Chrome, un appareil ChromeOS enregistré auprès de votre organisation, ou un profil utilisateur géré dans le navigateur Chrome.
- Vous devez configurer le reporting pour les événements liés à la sécurité de Chrome. Pour en savoir plus, consultez Gérer les connecteurs de reporting Chrome Enterprise.
- Pour examiner les événements liés à la protection des données Chrome, vous devez configurer BeyondCorp Enterprise. Pour en savoir plus, consultez Protéger les utilisateurs de Chrome grâce à la prévention des menaces et la protection des données de BeyondCorp.
Ouvrir la page d'audit et d'enquête
Accéder aux données d'événement de journaux Chrome
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
- Dans la console d'administration, accédez à Menu Création de rapportsAudit et enquêteÉvénements de journaux Chrome.
Filtrer les données
- Ouvrez les événements de journaux comme indiqué dans la section Accéder aux données d'événement de journaux Chrome ci-dessus.
- Cliquez sur Ajouter un filtre, puis sélectionnez un attribut.
- Dans la fenêtre pop-up, sélectionnez un opérateursélectionnez une valeurcliquez sur Appliquer.
-
(Facultatif) Pour créer plusieurs filtres pour votre recherche :
- Cliquez sur Ajouter un filtre, puis répétez l'étape 3.
- (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de Ajouter un filtre.
- Cliquez sur Rechercher.
Remarque: L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
Attribut | Description |
---|---|
Nom de groupe de l'acteur |
Nom de groupe de l'utilisateur Pour en savoir plus, consultez Filtrer les résultats par groupe Google. Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :
|
Unité organisationnelle de l'acteur | Unité organisationnelle de l'utilisateur |
Nom de l'application | Nom de l'extension provenant du Chrome Web Store. |
Version du navigateur | Le numéro attribué à la version du navigateur Chrome, par exemple, 123.0.6312.59 |
Type de client |
Surface Chrome gérée où l'événement s'est produit.
|
Hachage de contenu | Le hachage SHA-256 du contenu |
Nom du contenu | Le nom du contenu téléchargé, par exemple, un nom de fichier |
Taille du contenu* | La taille du contenu téléchargé, en octets |
Type de contenu | Le type (MIME) du contenu téléchargé, par exemple, text/html |
Date | La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur) |
Nom de l'appareil | Le nom de l'appareil |
Plate-forme de l'appareil | L'OS sous lequel s'exécute le navigateur |
Utilisateur de l'appareil | Nom de l'utilisateur indiqué par le système d'exploitation. |
ID d'API Directory | L'ID de l'appareil affiché par l'API Directory |
Domaine* | Le domaine où l'action s'est produite |
Type d'action de l'extension | Type d'action de l'extension Chrome qui déclenche l'événement. Il peut s'agir de Installer, Désinstaller ou Mettre à jour. |
Source de l'extension | Source depuis laquelle l'extension Chrome a été installée. Il peut s'agir de Chrome Web Store, Externe ou Non spécifié. |
Version de l'extension | Version de l'extension. |
Événement | L'action d'événement consignée, telle que Contenu non analysé, Visite de site non sécurisé ou Réutilisation des mots de passe. |
Motif de l'événement* | Des informations sur l'action, par exemple, Le fichier est protégé par un mot de passe |
Résultat de l'événement | Le résultat de l'événement en fonction des règles définies Peut être Ignoré, Bloqué, Averti, Autorisé ou Détecté. |
Utilisateur du profil | Le nom d'utilisateur du profil du navigateur Chrome |
ID de l'analyse | L'ID de l'analyse de contenu qui a déclenché l'événement |
URL de l'onglet |
URL vers laquelle l'onglet redirige lors du téléchargement d'un fichier. Remarque: les URL de l'onglet et URL sont identiques, sauf pour les téléchargements. |
Type de déclencheur | L'action utilisateur qui a déclenché l'événement, par exemple Inconnu, Page imprimée, Importation de fichier, Téléchargement de fichier ou Importation de contenu Web. |
Utilisateur déclencheur | Le nom d'utilisateur associé à l'événement :
|
URL | L'URL générée par l'événement. |
Catégorie d'URL | Catégorie de contenu de l'URL ayant généré l'événement. |
User-agent | La chaîne user-agent du navigateur qui permet d'accéder au contenu, par exemple, Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36. |
ID de l'appareil virtuel* | L'ID de l'appareil (valeur spécifique à la plate-forme) |
Filtrer les données selon les événements concernant la prévention des menaces ou la protection des données
- Ouvrez les événements de journaux comme indiqué dans la section Accéder aux données d'événement de journaux Chrome ci-dessus.
- Cliquez sur Ajouter un filtreÉvénement.
- Sélectionnez l'opérateur.
- Dans la liste déroulante, sélectionnez l'une des options suivantes.
- Cliquez sur Appliquer.
Descriptions des événements concernant les menaces Chrome
Valeur de l'événement | Description | Compatibilité des connecteurs de reporting |
---|---|---|
Plantages | Un plantage est détecté pour un onglet ou le navigateur. | Compatible avec le navigateur Chrome 112 ou version ultérieure |
Installation d'extension | Une extension de navigateur a été installée, soit par une action de l'utilisateur, soit par l'administrateur. | Compatible avec le navigateur Chrome 110 ou version ultérieure |
Malware transfer | Le contenu importé ou téléchargé par l'utilisateur est considéré comme malveillant, dangereux ou indésirable. | Compatible avec le navigateur Chrome 104 ou version ultérieure |
Événements de connexion |
Remarque : Pour que cet événement soit signalé, le Gestionnaire de mots de passe doit être activé. Un utilisateur a réussi à se connecter à un domaine avec l'URL spécifiée dans les paramètres du connecteur de création de rapports. Vous pouvez voir l'événement dans le Centre de sécurité Google. Les connexions infructueuses ne sont pas consignées. |
Compatible avec le navigateur Chrome 105 ou version ultérieure |
Violation du mot de passe |
Remarque : Pour que cet événement soit signalé, le Gestionnaire de mots de passe doit être activé. Lorsqu'un utilisateur saisit son nom d'utilisateur et son mot de passe sur un site Web, Chrome l'avertit s'ils ont été compromis lors d'une violation des données sur un autre site ou une application. Pour en savoir plus, consultez Modifier les mots de passe non sécurisés dans votre compte Google. Chrome suggère également que l'utilisateur les modifie partout où ils ont été utilisés. Pour les URL spécifiées dans la console d'administration, la violation apparaît également dans la fenêtre Centre de sécurité Google si le mot de passe a été enregistré dans le Gestionnaire de mots de passe. Chaque URL s'affiche sous la forme d'un enregistrement distinct. |
Compatible avec le navigateur Chrome 105 ou version ultérieure |
Mot de passe modifié |
L'utilisateur réinitialise son mot de passe pour sa première connexion à son compte. |
Compatible avec le navigateur Chrome 104 ou version ultérieure |
Password reuse | L'utilisateur a saisi un mot de passe dans une URL qui ne figure pas dans la liste des URL de connexion autorisées par l'entreprise. | Compatible avec le navigateur Chrome 104 ou version ultérieure |
Unsafe site visit | L'URL à laquelle a accédé l'utilisateur est considérée comme trompeuse ou malveillante. | Compatible avec le navigateur Chrome 104 ou version ultérieure |
Descriptions des événements liés à la protection des données Chrome
Les événements de protection des données Chrome ne sont disponibles que pour les utilisateurs qui ont acheté BeyondCorp Enterprise.
Pour en savoir plus sur BeyondCorp Enterprise et sa configuration, consultez Protéger les utilisateurs de Chrome grâce à la prévention des menaces et la protection des données de BeyondCorp.
Valeur de l'événement | Description | Compatibilité des connecteurs de reporting |
---|---|---|
Transfert de contenu | Contenu importé, téléchargé ou imprimé depuis Chrome, puis envoyé pour recherche de logiciels malveillants ou de données sensibles |
Compatible avec le navigateur Chrome 104 ou version ultérieure Nécessite BeyondCorp Enterprise |
Contenu non analysé | Plusieurs raisons peuvent expliquer pourquoi un fichier n'a pas été analysé, par exemple :
|
Compatible avec le navigateur Chrome 104 ou version ultérieure Nécessite BeyondCorp Enterprise |
Sensitive data transfer | Le contenu importé, téléchargé, imprimé ou collé par l'utilisateur est considéré comme contenant des données sensibles, selon les règles de protection des données. |
Compatible avec le navigateur Chrome 104 ou version ultérieure Nécessite BeyondCorp Enterprise |
Filtrage des URL | L'utilisateur a tenté d'accéder à une URL correspondant à une règle de protection des données définie par l'administrateur |
Compatible avec le navigateur Chrome 113 ou version ultérieure Nécessite BeyondCorp Enterprise |
Descriptions des événements liés à la sécurité de ChromeOS
- Les adresses e-mail des utilisateurs pour les sessions Invité gérées, kiosque ou utilisateur non affilié ne sont pas collectées. Pour en savoir plus sur l'affiliation des utilisateurs, consultez Comprendre l'affiliation des utilisateurs.
- Pour collecter des données pour ces événements, vous devez activer tous les rapports ou les options spécifiques comme indiqué ci-dessous. Pour en savoir plus, consultez Définir des règles relatives aux appareils ChromeOS > Signaler les données télémétriques de l'appareil, Définir des règles relatives aux appareils ChromeOS > Envoyer des informations sur l'OS de l'appareil et Définir des règles Chrome pour les utilisateurs ou les navigateurs > Rapports sur le contrôle des données.
Valeur de l'événement | Description | Compatibilité des connecteurs de reporting | Règle obligatoire |
---|---|---|---|
Échec de la connexion à Chrome OS | L'utilisateur n'a pas réussi à se connecter à son appareil ChromeOS | Compatible | Envoyer les données télémétriques de l'appareilÉtat de connexion/déconnexion |
Connexion à Chrome OS réussie | L'utilisateur s'est bien connecté à son appareil ChromeOS | Compatible | |
Déconnexion de Chrome OS | L'utilisateur s'est bien déconnecté de son appareil ChromeOS | Compatible | |
Utilisateur Chrome OS ajouté | Un compte utilisateur a été ajouté à un appareil ChromeOS | Compatible | |
Utilisateur Chrome OS supprimé | Un compte utilisateur a été supprimé d'un appareil ChromeOS | Compatible | |
Verrouillage de ChromeOS réussi | L'écran d'un appareil ChromeOS a été verrouillé. | Non compatible | |
Déverrouillage de ChromeOS réussi | L'écran d'un appareil ChromeOS a été déverrouillé. | Non compatible | |
Échec du déverrouillage de ChromeOS | Échec du déverrouillage d'un appareil ChromeOS. | Non compatible | |
Changement de l'état de démarrage de l'appareil Chrome OS |
L'état de démarrage d'un appareil ChromeOS est passé en mode développeur ou en mode validé
|
Non compatible | Envoyer des informations sur l'OS de l'appareilMode de démarrage de l'OS |
Périphérique USB Chrome OS ajouté |
Un périphérique USB a été ajouté à un appareil ChromeOS. Cet événement n'est consigné que pour les utilisateurs affiliés. |
Compatible | Envoyer des informations sur l'OS de l'appareilÉtat du périphérique USB |
Périphérique USB Chrome OS retiré | Un périphérique USB a été supprimé d'un appareil ChromeOS. Cet événement n'est consigné que pour les utilisateurs affiliés. | Compatible | |
Modification de l'état USB ChromeOS | Un utilisateur affilié se connecte à l'appareil. Toutes les connexions USB existantes seront signalées. | Compatible | |
Hôte du bureau à distance Chrome OS démarré | Un utilisateur affilié a lancé une session hôte Chrome Report Desktop (CRD) sur un appareil géré. | Compatible | Envoyer des informations sur l'OS de l'appareilSessions CRD |
Client du bureau à distance Chrome OS connecté |
Un utilisateur s'est connecté à la session Chrome Report Desktop (CRD). |
Compatible | |
Client du bureau à distance Chrome OS déconnecté | Un utilisateur s'est déconnecté de la session Chrome Report Desktop (CRD). | Compatible | |
Hôte du bureau à distance Chrome OS arrêté | Un utilisateur affilié a initié une session hôte Chrome Report Desktop (CRD) sur un appareil géré. | Compatible | |
Le rollback de ChromeOS a réussi | Un rollback d'OS a été effectué sur un appareil ChromeOS. | Non compatible | Envoyer des informations sur l'OS de l'appareilIndiquer l'état de la mise à jour du système |
Mise à jour de la version de ChromeOS réussie | Un utilisateur a mis à jour un appareil ChromeOS vers la version ChromeOS cible. | Non compatible | |
Échec de la mise à jour de la version de ChromeOS | Échec de la mise à jour d'un appareil ChromeOS vers la version ChromeOS cible. | Non compatible | |
Powerwash de l'appareil ChromeOS lancé | Un appareil ChromeOS a lancé un Powerwash. | Non compatible | |
Contrôle des accès aux données | Un utilisateur a déclenché les règles de contrôle des données ChromeOS appliquées par l'administrateur. | Compatible | Rapports sur le contrôle des données |
Gérer les données d'événement des journaux
Gérer les données des colonnes de résultats de recherche
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
- (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
Exporter les données des résultats de recherche
- En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
- Saisissez un nom cliquez sur Exporter.
L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action. - Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Google Sheets.
Créer des règles de reporting
Accédez à Créer et gérer des règles de reporting.
Quand et pendant combien de temps les données sont-elles disponibles ?
Accédez à Conservation des données et temps de latence.