בדף הביקורת והחקירה תוכלו להריץ חיפושים הקשורים לאירועי יומן של Chrome. בדף הזה תוכלו לראות תיעוד של פעולות שיעזרו לכם לעקוב אחרי אירועים שקשורים לדפדפני Chrome ולמכשירי ChromeOS מנוהלים. לדוגמה, תוכלו לראות מתי היה ביקור באתר לא בטוח.
For a full list of services and activities that you can investigate, such as Google Drive or user activity, see Run a search in the audit and investigation page.
Before you begin
To see all Chrome events:
- The browser must be managed by Chrome Browser Cloud Management, a ChromeOS device that’s enrolled with your organization, or a user profile managed in Chrome browser.
- You must set up reporting for Chrome security events. For details, go to Manage Chrome Enterprise reporting connectors.
- To review Chrome data-protection events, you must set up Chrome Enterprise Premium . For details, go to Protect Chrome users with Chrome Enterprise Premium threat and data protection.
לדף הביקורת והחקירה
גישה לנתוני האירועים ביומן של Chrome
-
- במסוף Admin, נכנסים לתפריט דיווחביקורת וחקירהאירועים ביומן Chrome.
סינון הנתונים
- פותחים את האירועים ביומן כמו שמתואר למעלה בקטע גישה לנתוני האירועים ביומן של Chrome.
- לוחצים על הוספת מסנן ובוחרים מאפיין.
- בחלון הקופץ, בוחרים אופרטורבוחרים ערךלוחצים על אישור.
-
(אופציונלי) כדי ליצור כמה מסננים לחיפוש:
- לוחצים על הוספת מסנן וחוזרים על שלב 3.
- (אופציונלי) כדי להוסיף אופרטור חיפוש, מעל הוספת מסנן,בוחרים באפשרות וגם או או.
- לוחצים על חיפוש.
הערה: בכרטיסייה מסנן אפשר לכלול צמדים פשוטים של פרמטרים וערכים כדי לסנן את תוצאות החיפוש. תוכלו גם להשתמש בכרטיסייה הגדרת תנאים, שבה המסננים מיוצגים כתנאים באמצעות אופרטורים מסוג AND/OR.
תיאורי מאפיינים
כשמחפשים נתוני אירועים ביומן, אפשר להשתמש במאפיינים הבאים במקור הנתונים הזה:
Attribute | Description |
---|---|
Actor group name |
שם הקבוצה של השחקן. מידע נוסף זמין במאמר סינון תוצאות לפי קבוצת Google. כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:
|
Actor organizational unit | Organizational unit of the actor. |
Application name | Name of the extension from the Chrome Web Store. |
Browser version | Number assigned to the version of Chrome browser, such as 123.0.6312.59 |
Client type |
Managed Chrome surface where the event happened.
|
Content hash | The SHA256 hash of the content. |
Content name | The name of the content downloaded, such as a filename. |
Content size* | The size of the downloaded content, in bytes. |
Content type | The media (MIME) type of content downloaded, such as text/html. |
Date | Date and time of the event, displayed in your browser's default time zone. |
Device name | The name of the device. |
Device platform | The OS that the browser is running. |
Device user | The user's name as reported by the OS. |
Directory API ID | Device ID returned by the directory API. |
Domain* | The domain where the action occurred. |
Extension action type | The type of chrome extension action that triggers the event. Can be Install, Uninstall, or Update. |
Extension source | The source from where the chrome extension was installed. Can be Chrome Web Store, External, or Unspecified. |
Extension version | The version of the extension. |
Event | The logged event action, such as Content unscanned, Unsafe site visit, or Password reuse. |
Event reason* | Details about the action, such as File is password protected. |
Event result | The result of the event based on the policies and rules set. Can be Bypassed, Blocked, Warned, Allowed, or Detected. |
Profile user | The Chrome browser profile username. |
Scan ID | Scan ID of the content analysis scan that triggered the event. |
Tab URL |
The URL that the tab redirects to when downloading a file. Note: Tab URL and URL are identical, except for downloads. |
Trigger type | The user action that triggered the event, such as Unknown, Page printed, File upload, File download, or Web content upload. |
Trigger user | The username relating to the event:
|
URL | The URL that generated the event. |
URL category | The content category of the URL that generated the event. |
User agent | The user agent string of the browser used to access the content. For example, Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36. |
Virtual device ID* | The ID of the device. The value is platform-specific. |
סינון הנתונים לפי אירועים של איומים או של הגנה על נתונים
- פותחים את האירועים ביומן כמו שמתואר למעלה בקטע גישה לנתוני האירועים ביומן של Chrome.
- לוחצים על הוספת מסנןאירוע.
- בוחרים אופרטור.
- בוחרים אפשרות מהרשימה הנפתחת.
- לוחצים על החלה.
תיאור אירועים של איומים ב-Chrome
ערך האירוע | תיאור | תמיכה במחבר הדיווח |
---|---|---|
אירועי קריסה | זוהתה קריסה של כרטיסייה או של הדפדפן. | נתמך בדפדפן Chrome בגרסה 112 ואילך |
התקנה של תוסף | משתמש או אדמין התקינו תוסף לדפדפן. | נתמך בדפדפן Chrome בגרסה 110 ואילך |
העברה של תוכנה זדונית | משתמש העלה או הוריד תוכן שנחשב לתוכנה זדונית או לתוכן מסוכן או לא רצוי. | נתמך בדפדפן Chrome בגרסה 104 ואילך |
אירועי התחברות |
הערה: כדי לדווח על האירוע הזה חייבים להפעיל את מנהל הסיסמאות. משתמש נכנס לדומיין עם כתובת ה-URL שצוינה בהגדרות של מחבר הדיווח. אפשר לראות את האירוע ב-מרכז האבטחה של Google. נסיונות כניסה שנכשלו לא מדווחים. |
נתמך בדפדפן Chrome בגרסה 105 ואילך |
הפרה שקשורה לסיסמה |
הערה: כדי לדווח על האירוע הזה חייבים להפעיל את מנהל הסיסמאות. דפדפן Chrome מזהיר משתמשים במקרה ששם המשתמש והסיסמה שהם הזינו באתר כלשהו נחשפו, בגלל פרצה באבטחת המידע באתר או באפליקציה. במאמר שינוי סיסמאות לא בטוחות בחשבון Google אפשר לקרוא פרטים נוספים. דפדפן Chrome גם יציע למשתמש לשנות את שם המשתמש והסיסמה בכל המקומות שהשתמש בהם. לכתובות ה-URL שצוינו במסוף Admin הפריצה תוצג גם במרכז האבטחה של Google, בתנאי שהסיסמה נשמרה במנהל הסיסמאות. כל כתובת URL מוצגת כרשומה נפרדת. |
נתמך בדפדפן Chrome בגרסה 105 ואילך |
הסיסמה שונתה |
המשתמש איפס את הסיסמה שניתנה לו בשביל הכניסה הראשונה לחשבון שלו. |
נתמך בדפדפן Chrome בגרסה 104 ואילך |
שימוש חוזר בסיסמה | המשתמש הזין את הסיסמה בכתובת URL שלא מופיעה ברשימה של כתובות ה-URL המאושרות לכניסה של הארגון. | נתמך בדפדפן Chrome בגרסה 104 ואילך |
ביקור באתרים לא בטוחים | המשתמש ביקר בכתובת URL שנחשבת למטעה או שנחשבת לתוכנה זדונית | נתמך בדפדפן Chrome בגרסה 104 ואילך |
תיאור אירועים של הגנה על נתונים ב-Chrome
אירועים של הגנה על נתונים ב-Chrome זמינים רק למשתמשים שרכשו את BeyondCorp Enterprise.
למידע נוסף על BeyondCorp Enterprise ואיך להגדיר אותו, אפשר לקרוא את המאמר הגנה על משתמשי Chrome בעזרת הגנה על נתונים מפני איומים של BeyondCorp.
ערך האירוע | תיאור | תמיכה במחבר הדיווח |
---|---|---|
העברת תוכן | תוכן הועלה, הורד או הודפס מ-Chrome ונשלח לסריקת תוכנות זדוניות או לסריקה של מידע אישי רגיש |
נתמך בדפדפן Chrome בגרסה 104 ואילך נדרש BeyondCorp Enterprise |
תוכן שלא נסרק | יכולות להיות כמה סיבות לכך שקובץ לא נסרק, ביניהן:
|
נתמך בדפדפן Chrome בגרסה 104 ואילך נדרש BeyondCorp Enterprise |
העברה של מידע אישי רגיש | כללי ההגנה על נתונים זיהו שהמשתמש העלה, הוריד, הדפיס או הדביק תוכן שנחשב לתוכן שכולל מידע אישי רגיש. |
נתמך בדפדפן Chrome בגרסה 104 ואילך נדרש BeyondCorp Enterprise |
סינון כתובות URL | המשתמש ניסה להיכנס לכתובת URL שתואמת לכלל ההגנה על הנתונים שהאדמין הגדיר |
נתמך בדפדפן Chrome בגרסה 113 ואילך נדרש BeyondCorp Enterprise |
תיאור אירועים שמשפיעים על אבטחת החשבון ב-Chrome
- כתובות האימייל של אורחים מנוהלים, משתמשי קיוסק או משתמשים לא משויכים לא נאספו. אפשר לקרוא פרטים נוספים במאמר הסבר על שיוך משתמשים.
- כדי לאסוף נתונים לאירועים האלה, צריך להפעיל את כל אפשרויות הדיווח, או אפשרויות מסוימות, כמו שמוסבר בהמשך. מידע נוסף זמין בהגדרת כללי מדיניות למכשירי ChromoOS > דיווח על נתוני הטלמטריה של המכשירים, בהגדרת כללי מדיניות למכשירי ChromeOS > דיווח מידע על מערכת ההפעלה של המכשירים ובהגדרת המדיניות של Chrome למשתמשים או בדפדפנים > דיווח על אמצעי הבקרה על נתונים.
ערך האירוע | תיאור | תמיכה במחבר הדיווח | מדיניות נדרשת |
---|---|---|---|
ההתחברות ל-ChromeOS נכשלה | המשתמש לא הצליח להיכנס למכשיר ChromeOS. | נתמך | דיווח על נתוני הטלמטריה של המכשיריםסטטוס התחברות/התנתקות |
בוצעה התחברות ל-Chrome OS | המשתמש הצליח להיכנס למכשיר ChromeOS. | נתמך | |
יציאה מ-Chrome OS | המשתמש הצליח לצאת ממכשיר ChromeOS. | נתמך | |
נוסף משתמש ל-ChromeOS | נוסף חשבון משתמש למכשיר ChromeOS. | נתמך | |
הוסר משתמש מ-ChromeOS | הוסר חשבון משתמש ממכשיר ChromeOS. | נתמך | |
ChromeOS ננעלה | הופעלה נעילת המסך של מכשיר ChromeOS. | מה לא נתמך? | |
הנעילה של ChromeOS בוטלה | בוטלה נעילת המסך של מכשיר ChromeOS. | מה לא נתמך? | |
ביטול הנעילה של ChromeOS נכשל | ניסיון לבטל את נעילת המסך במכשיר ChromeOS נכשל. | מה לא נתמך? | |
שינוי מצב הפעלה של מכשיר ChromeOS |
מצב ההפעלה של מכשיר ChromeOS השתנה למצב פיתוח או למצב הפעלה מאומתת.
|
מה לא נתמך? | דיווח מידע על מערכת ההפעלה של המכשיריםמצב ההפעלה של מערכת ההפעלה |
נוסף התקן USB ב-ChromeOS |
נוסף התקן USB במכשיר ChromeOS. האירוע הזה מדווח רק למשתמשים משויכים. |
נתמך | דיווח מידע על מערכת ההפעלה של המכשיריםהמצב של הציוד ההיקפי שמחובר ליציאת USB |
הוסר התקן USB ב-ChromeOS | הוסר התקן USB ממכשיר ChromeOS. האירוע הזה מדווח רק למשתמשים משויכים. | נתמך | |
מצב ה-USB במכשיר ChromeOS השתנה | כשמשתמש משויך נכנס למכשיר, כל חיבורי ה-USB הקיימים מדווחים | נתמך | |
הופעל מארח CRD ב-ChromeOS | משתמש משויך הפעיל סשן של מארח ל-Chrome Report Desktop (CRD) במכשיר מנוהל | נתמך | דיווח מידע על מערכת ההפעלה של המכשיריםסשנים של CRD |
לקוח CRD ב-ChromeOS מחובר |
משתמש התחבר לסשן של Chrome Report Desktop (CRD). |
נתמך | |
לקוח CRD ב-ChromeOS התנתק | משתמש התנתק מסשן של Chrome Report Desktop (CRD). | נתמך | |
הופסק מארח CRD ב-ChromeOS | משתמש משויך הפסיק סשן של מארח ל-Chrome Report Desktop (CRD) במכשיר מנוהל | נתמך | |
ChromeOS הוחזר למצב הקודם | בוצעה החזרה של מערכת ההפעלה למצב הקודם במכשיר ChromeOS. | מה לא נתמך? | דיווח מידע על מערכת ההפעלה של המכשיריםדיווח על הסטטוס של עדכון מערכת ההפעלה |
בוצע עדכון של גרסת ChromeOS | משתמש השלים עדכון של מכשיר ChromeOS לגרסת היעד של ChromeOS. | מה לא נתמך? | |
העדכון של גרסת ChromeOS נכשל | העדכון של מכשיר ChromeOS לגרסת היעד של ChromeOS נכשל. | מה לא נתמך? | |
הופעל Powerwash במכשיר ChromeOS | הופעל תהליך Powerwash במכשיר ChromeOS. | מה לא נתמך? | |
בקרת גישה לנתונים | משתמש הפעיל כללים של אמצעי בקרה ב-ChromeOS שהאדמין החיל. | נתמך | דיווח על אמצעי הבקרה על נתונים |
ניהול נתוני האירועים ביומן
ניהול הנתונים בעמודות של תוצאות החיפוש
ניתן לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.
- בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על 'ניהול עמודות' .
- (אופציונלי) כדי להסיר את העמודות הקיימות, לוחצים על סמל ההסרה .
- (אופציונלי) כדי להוסיף עמודות, ליד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
חוזרים על הפעולה לפי הצורך. - (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
- לוחצים על שמירה.
ייצוא נתונים של תוצאות חיפוש
- בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא הכול.
- מזינים שם לוחצים על ייצוא.
הייצוא יוצג מתחת לטבלת תוצאות החיפוש, בקטע ייצוא תוצאות של פעולות. - כדי להציג את הנתונים, לוחצים על שם הייצוא.
הייצוא ייפתח ב-Google Sheets.
יצירת כללי דיווח
מתי ולכמה זמן הנתונים יהיו זמינים?
עוברים אל שמירת נתונים וזמני השהיה.