На странице аудита и анализа вы можете выполнять поиск событий в журнале Chrome и просматривать записи о действиях, связанных с управляемыми браузерами Chrome и устройствами ChromeOS. Например, можно посмотреть сведения о посещении небезопасных сайтов.
Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".
Подготовка
Чтобы все события Chrome были доступны администратору, необходимо выполнить некоторые действия.
- Нужно настроить облачное управление браузером Chrome, запустить браузер на устройстве ChromeOS, зарегистрированном в организации, или использовать профиль пользователя, управляемый в браузере Chrome.
- Необходимо настроить отчеты для событий безопасности в Chrome. Узнать, как это сделать, можно в статье Управление коннекторами Chrome Enterprise для создания отчетов.
- Для просмотра событий, связанных с защитой данных Chrome, понадобится лицензия BeyondCorp Enterprise. Подробнее о том, как включить BeyondCorp Threat and Data Protection для пользователей Chrome…
Как открыть страницу аудита и анализа
Как открыть журнал событий Chrome
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню Отчеты Аудит и анализСобытия журнала Chrome.
Как отфильтровать данные
- Откройте журнал событий Chrome, как описано выше.
- Нажмите Добавить фильтр и выберите атрибут.
- Во всплывающем окне выберите операторвыберите значениенажмите Применить.
-
При необходимости вы можете создать несколько фильтров результатов поиска:
- Нажмите Добавить фильтр и повторите шаг 3.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Нажмите Поиск.
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
Атрибут | Описание |
---|---|
Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
Организационное подразделение пользователя | Организационное подразделение, к которому относится исполнитель. |
Название приложения | Название приложения или расширения из интернет-магазина Chrome. |
Версия браузера | Номер, присвоенный версии браузера Chrome, например 123.0.6312.59. |
Тип клиента |
Управляемый профиль или аккаунт Chrome, в котором произошло событие.
|
Хеш контента | Хеш SHA-256 контента. |
Название контента | Название скачанного контента, например название файла. |
Размер контента* | Размер скачанного контента в байтах. |
Тип контента | MIME-тип скачанного контента, например text/html. |
Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
Название устройства | Название устройства. |
Платформа устройства | Операционная система, в которой работает браузер. |
Пользователь устройства | Имя пользователя в ОС. |
Идентификатор Directory API | Идентификатор устройства, полученный от Directory API. |
Домен* | Домен, в котором было выполнено действие. |
Тип действия с расширением | Тип действия с расширением Chrome, которое запускает событие. Возможные значения: Установлено, Удалено или Обновлено. |
Источник расширения | Источник, из которого было установлено расширение Chrome. Возможные значения: Интернет-магазин Chrome, Внешний или Не указано. |
Версия расширения | Версия расширения. |
Событие | Сведения о зарегистрированном действии, например Не выполнено сканирование контента, Посещение небезопасного сайта или Повторное использование пароля. |
Причина события* | Подробная информация о действии, например Файл защищен паролем. |
Результат события | Результат события в соответствии с заданными правилами. Возможные значения: Проигнорировано, Заблокировано, Показано предупреждение, Доступ разрешен или Обнаружено. |
Владелец профиля | Имя пользователя в профиле браузера Chrome. |
Идентификатор сканирования | Идентификатор сканирования при анализе контента, которое привело к событию. |
URL вкладки |
URL перенаправления с вкладки при скачивании файла. Примечание. Значения URL вкладки и URL идентичны для всех процессов, кроме скачивания. |
Тип триггера | Действие пользователя, вызвавшее событие. Примеры: Неизвестно, Печать страницы, Загрузка файла, Скачивание файла или Загрузка веб-контента. |
Пользователь, инициировавший событие | Имя пользователя, связанного с событием:
|
URL | URL, связанный с событием. |
Категория URL | Категория URL, связанного с событием. |
Агент пользователя | Строка User-Agent браузера, который использовался для доступа к контенту, например: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36. |
Идентификатор виртуального устройства* | Идентификатор устройства. Значение зависит от платформы. |
Как отфильтровать данные по событиям, связанным с защитой от угроз и защитой данных
- Откройте журнал событий Chrome, как описано выше.
- Нажмите Добавить фильтрСобытие.
- Выберите оператор.
- В раскрывающемся списке выберите один из вариантов.
- Нажмите Применить.
Описание событий, связанных с защитой от угроз в Chrome
Значение события | Описание | Поддержка коннектора для создания отчетов |
---|---|---|
События сбоя | Обнаружен сбой вкладки или браузера. | Поддерживается в браузере Chrome версии 112 и выше. |
Установка расширения | Пользователь или администратор установил расширение браузера. | Поддерживается в браузере Chrome версии 110 и выше. |
Перенос вредоносного ПО | Загруженный или скачанный пользователем контент идентифицирован как вредоносный, опасный или нежелательный. | Поддерживается в браузере Chrome версии 104 и выше. |
События входа |
Примечание. Эти события вносятся в отчет, только если включен Менеджер паролей. Пользователь вошел в домен по URL, который указан в настройках коннектора для создания отчетов. Событие можно увидеть в Центре безопасности Google. Неудачные попытки входа не вносятся в отчет. |
Поддерживается в браузере Chrome версии 105 и выше. |
Утечка пароля |
Примечание. Эти события вносятся в отчет, только если включен Менеджер паролей. Если вход на какой-либо сайт выполняется с помощью пароля, то в случае утечки данных с этого сайта пользователь получает уведомление от Chrome о том, что возможен взлом аккаунта. Подробнее о том, как сменить ненадежные пароли в аккаунте Google… Кроме того, Chrome предлагает сменить ненадежный пароль везде, где он был использован. Для URL, заданных в консоли администратора, информация об утечке данных также появляется в Центре безопасности Google, если пароль сохранен в Менеджере паролей. Каждый URL представлен отдельной записью. |
Поддерживается в браузере Chrome версии 105 и выше. |
Изменение пароля |
Пользователь выполнил сброс пароля для первого входа в аккаунт. |
Поддерживается в браузере Chrome версии 104 и выше. |
Повторное использование пароля | Пользователь ввел пароль на странице с адресом, не указанным в списке разрешенных URL. | Поддерживается в браузере Chrome версии 104 и выше. |
Посещение небезопасного сайта | Посещенный пользователем URL считается мошенническим или вредоносным. | Поддерживается в браузере Chrome версии 104 и выше. |
Описание событий, связанных с защитой данных в Chrome
Сведения о событиях, связанных с защитой данных Chrome, доступны только пользователям с лицензией BeyondCorp Enterprise.
Подробнее о том, как включить BeyondCorp Threat and Data Protection для пользователей Chrome…
Значение события | Описание | Поддержка коннектора для создания отчетов |
---|---|---|
Перенос контента | Контент был загружен, скачан или напечатан с использованием Chrome и отправлен на проверку на наличие конфиденциальной информации и вредоносного ПО. |
Поддерживается в браузере Chrome версии 104 и выше. Требуется лицензия BeyondCorp Enterprise. |
Не выполнено сканирование контента | Сканирование файла может не выполняться по различным причинам. Например:
|
Поддерживается в браузере Chrome версии 104 и выше. Требуется лицензия BeyondCorp Enterprise. |
Перенос конфиденциальных данных | Скачанный, загруженный, вставленный или напечатанный пользователем контент считается конфиденциальным согласно правилам защиты данных. |
Поддерживается в браузере Chrome версии 104 и выше. Требуется лицензия BeyondCorp Enterprise. |
Фильтрация URL | Пользователь пытается получить доступ к URL, который совпадает с условием правила защиты данных, заданным администратором. |
Поддерживается в браузере Chrome версии 113 и более поздних. Требуется лицензия BeyondCorp Enterprise. |
Описание событий безопасности, связанных с ChromeOS
- В управляемых гостевых сеансах, сеансах в режиме киоска и сеансах пользователей из другой организации данные об адресах электронной почты не собираются. Подробнее об аффилированных пользователях…
- Чтобы собирать данные о таких событиях, необходимо включить все функции для создания отчетов или специальные функции, указанные ниже. Подробную информацию можно найти в разделах Отправка отчетов с данными телеметрии устройств, Отправка отчетов об операционной системе устройств и Создание отчетов об управлении данными.
Значение события | Описание | Поддержка коннектора для создания отчетов | Необходимое правило |
---|---|---|---|
Сбой при входе в аккаунт на устройстве с ChromeOS | Пользователю не удалось войти в аккаунт на устройстве с ChromeOS. | Поддерживается | "Отправка отчетов с данными телеметрии устройствСтатус входа и выхода" |
Вход в аккаунт на устройстве с ChromeOS | Пользователь вошел в аккаунт на устройстве с ChromeOS. | Поддерживается | |
Выход из аккаунта на устройстве с ChromeOS | Пользователь вышел из аккаунта на устройстве с ChromeOS. | Поддерживается | |
Аккаунт пользователя добавлен на устройство с ChromeOS | Аккаунт пользователя добавлен на устройство с ChromeOS. | Поддерживается | |
Аккаунт пользователя удален с устройства с ChromeOS | Аккаунт пользователя удален с устройства с ChromeOS. | Поддерживается | |
Блокировка ChromeOS | Экран устройства с ChromeOS заблокирован. | Не поддерживается | |
Разблокировка ChromeOS | Экран устройства с ChromeOS разблокирован. | Не поддерживается | |
Неудачная разблокировка ChromeOS | Произошла неудачная попытка разблокировать устройство с ChromeOS. | Не поддерживается | |
Изменение режима загрузки для устройства с ChromeOS |
Режим загрузки устройства с ChromeOS был изменен на режим разработчика или проверки.
|
Не поддерживается | "Отправка отчетов об операционной системе устройствРежим загрузки ОС" |
USB-устройство с ChromeOS добавлено |
USB-устройство добавлено на устройство с ChromeOS. Событие указывается в отчете только для аффилированных пользователей. |
Поддерживается | "Отправка отчетов об операционной системе устройствСтатус периферийного USB-устройства" |
USB-устройство с ChromeOS удалено | USB-устройство удалено с устройства с ChromeOS. Событие указывается в отчете только для аффилированных пользователей. | Поддерживается | |
Статус USB-устройства с ChromeOS изменился | При входе аффилированного пользователя в аккаунт на устройстве в отчет добавляются все существующие USB-подключения. | Поддерживается | |
Хост CRD ChromeOS запущен | Аффилированный пользователь запустил хост Chrome Report Desktop (CRD) на управляемом устройстве. | Поддерживается | "Отправка отчетов об операционной системе устройствСеансы CRD" |
Клиент CRD ChromeOS подключен |
Пользователь подключил сеанс Chrome Report Desktop (CRD). |
Поддерживается | |
Клиент CRD ChromeOS отключен | Пользователь отключил сеанс Chrome Report Desktop (CRD). | Поддерживается | |
Хост CRD ChromeOS остановлен | Аффилированный пользователь остановил хост Chrome Report Desktop (CRD) на управляемом устройстве. | Поддерживается | |
Успешный откат ChromeOS | На устройстве с ChromeOS выполнен откат версии операционной системы. | Не поддерживается | Отправка отчетов об операционной системе устройствСообщать о состоянии обновления ОС |
Версия ChromeOS обновлена | Пользователь обновил устройство с ChromeOS до целевой версии. | Не поддерживается | |
Сбой при обновлении версии ChromeOS | Не удалось обновить устройство с ChromeOS до целевой версии. | Не поддерживается | |
Восстановление заводских настроек устройства с ChromeOS запущено | На устройстве с ChromeOS запущен процесс восстановления заводских настроек. | Не поддерживается | |
Контроль доступа к данным | Пользователь активировал правила контроля данных ChromeOS, примененные администратором. | Поддерживается | Создание отчетов об управлении данными |
Как настроить показ данных о событиях
Как управлять столбцами данных в результатах поиска
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
- Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
- Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Как экспортировать результаты поиска
- В верхней части таблицы с результатами поиска нажмите Экспортировать все.
- Введите название нажмите Экспорт.
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы увидеть данные, нажмите название экспорта.
Данные откроются в Google Таблицах.
Как добавить новое правило создания отчетов
Информация приведена в статье Как создавать и настраивать правила оповещения.
Когда данные становятся доступны и как долго они хранятся?
Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.