Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Zdarzenia z dziennika dostępu zależnego od kontekstu

Narzędzie do analizy zagrożeń
Ta funkcja jest dostępna w wersjach Enterprise Plus i Education Plus

Jako administrator organizacji możesz za pomocą narzędzia do analizy zagrożeń przeprowadzać wyszukiwania związane z dziennikami dostępu zależnego od kontekstu i wykonywać działania na podstawie wyników. W narzędziu do analizy zagrożeń możesz wyświetlić rejestr działań, które pomogą rozwiązać problemy, gdy użytkownikowi odmówiono dostępu do aplikacji. Wpisy pojawiają się zwykle w ciągu godziny od odmowy dostępu.

Więcej informacji znajdziesz w artykule Omówienie dostępu zależnego od kontekstu.

Dostęp do narzędzia do analizy zagrożeń

  • Narzędzie do analizy zagrożeń jest dostępne w wersjach: Enterprise Plus, Education Standard, Education Plus i Enterprise Essentials Plus.
  • Administratorzy Cloud Identity Premium, Frontline Standard, Enterprise Standard i Education Standard również mogą używać narzędzia do analizy zagrożeń w odniesieniu do niektórych źródeł danych.
  • Możliwość wyszukiwania w narzędziu do analizy zagrożeń zależy od wersji usługi Google, uprawnień administratora i źródła danych. Jeśli dla danego źródła danych nie możesz przeprowadzić wyszukiwania w narzędziu do analizy zagrożeń, możesz zamiast tego użyć strony kontroli i analizy zagrożeń. Więcej informacji znajdziesz w artykule Ulepszone funkcje kontroli i analizy.
  • W narzędziu do analizy zagrożeń możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji usługi Google.

Przeprowadzanie wyszukiwania zdarzeń z dziennika dostępu zależnego od kontekstu

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych.  Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

    Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W lewej części strony głównej konsoli administracyjnej kliknij Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.
  3. Kliknij Źródło danych a potem wybierz Zdarzenia z dziennika dostępu zależnego od kontekstu.
  4. Kliknij Dodaj warunek.
    Uwaga: wyszukiwanie może zawierać kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych, czyli wyszukiwań z 2 lub 3 poziomami warunków (szczegóły znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych).
  5. Kliknij Atrybut a potem wybierz atrybut, na przykład Użytkownik, który wykonał czynność lub Data. Pełną listę atrybutów dostępnych w przypadku zdarzeń z dziennika dostępu zależnego od kontekstu znajdziesz poniżej.
    Uwaga: jeśli zawęzisz zakres dat wyszukiwania, wyniki w narzędziu do analizy zagrożeń pojawią się szybciej. Na przykład wyszukiwanie zdarzeń z ostatniego tygodnia potrwa krócej niż wyświetlenie wyników wyszukiwania bez ograniczania okresu.
  6. Wybierz operator, na przykład Równe, Różne od, Zawiera lub Nie zawiera.
  7. Wybierz lub wpisz wartość atrybutu. W przypadku niektórych atrybutów należy wpisać dane, a w przypadku innych wybrać wartość z listy.
  8. (Opcjonalnie) Aby uwzględnić więcej warunków wyszukiwania, powtórz kroki 4–7.
  9. Kliknij Szukaj.
    W narzędziu do analizy zagrożeń wyniki wyszukiwania są wyświetlane w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać wyniki wyszukiwania, po prawej kliknij Zapisz a potem wpisz tytuł i opis a potem, a następnie ponownie kliknij Zapisz.

Uwaga:

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami I oraz LUB. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą stara_nazwa@example.com.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Użytkownik, który wykonał czynność Adres e-mail użytkownika, który wykonał aktywność.
Nazwa grupy

Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google.

Aby dodać grupę do listy dozwolonych grup filtrowania:

  1. Kliknij Nazwa grupy.
  2. Kliknij Grupy filtrowania.
    Pojawi się strona Grupy filtrowania.
  3. Kliknij Dodawanie grup.
  4. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją.
  5. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz.
  6. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj.
  7. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę .
  8. Kliknij Zapisz.
Jednostka organizacyjna użytkownika, który wykonał czynność Jednostka organizacyjna użytkownika, który wykonał czynność
Zgłoszenie do programu Może to być:
  • aplikacja, do której użytkownikowi odmówiono dostępu;
  • (w przypadku dostępu do interfejsu API) aplikacja wywołująca, która próbowała uzyskać dostęp do zablokowanego interfejsu API.
Zablokowany dostęp do interfejsu API Interfejs API aplikacji, do której użytkownikowi odmówiono dostępu; W przypadku dostępu do interfejsu API – interfejs API, do którego aplikacji wywołującej zablokowano dostęp.
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Identyfikator urządzenia Identyfikator urządzenia widoczny na stronie głównej w konsoli administracyjnej a potem Urządzenia
Stan urządzenia Stan urządzenia użytego do uzyskania dostępu – na przykład Normalny, Brak synchronizacji (nieaktualne lub stare) lub W wielu organizacjach (urządzenie nie należy do Twojej organizacji)
Zdarzenie Działanie zarejestrowanego zdarzenia:
  • Odmowa dostępu – zablokowano dostęp wymienionemu użytkownikowi (który wykonał czynność) w wymienionej aplikacji.
  • Odmowa dostępu (tryb monitorowania) – wskazuje, kiedy dostęp zostałby zablokowany, gdyby poziom dostępu był w trybie aktywnym. Zobacz artykuł Wdrażanie dostępu zależnego od kontekstu.
  • Błąd wewnętrzny odmowy dostępu – nie udało się wyegzekwować zasady (zablokowano dostęp) z powodu problemu z serwerem wymuszania.
Adres IP Adres IP użytkownika, który wykonał czynność.

Podejmowanie działań na podstawie wyników wyszukiwania

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia do analizy zagrożeń można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji o działaniach dostępnych w narzędziu do analizy zagrożeń znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów

Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Szczegółowe informacje i instrukcje znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Zarządzanie analizami zagrożeń

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę szablonów analizy zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl szablony analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele szablonów analizy zagrożeń oraz daty ostatniej modyfikacji. 

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok danego szablonu analizy zagrożeń i kliknij Czynności.

Uwaga: bezpośrednio nad listą szablonów analizy zagrożeń w sekcji Szybki dostęp możesz wyświetlić ostatnio zapisane szablony analizy zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby :

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Odpowiednie informacje i instrukcje znajdziesz w artykule na temat konfigurowania ustawień analizy zagrożeń.

Zarządzanie kolumnami w wynikach wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania. 

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń element .
  3. (Opcjonalnie) Aby dodać kolumny, obok opcji Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
    Powtórz w razie potrzeby.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij ich nazwę.
  5. Kliknij Zapisz.
Eksportowanie danych z wyników wyszukiwania
  1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
  2. Wpisz nazwę a potem kliknij Eksportuj.
    Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
  3. Aby wyświetlić dane, kliknij nazwę eksportu.
    Eksport otworzy się w Arkuszach Google.

Podczas wyświetlania wyeksportowanych wyników wyszukiwania weź pod uwagę te informacje:

  • Kliknięcie przycisku Eksportuj wszystko u góry tabeli powoduje utworzenie pliku Arkuszy Google w folderze Mój dysk. Ten arkusz zawiera wyniki wyszukiwania. W zależności od liczby wyników proces eksportowania może trochę potrwać. Może też zostać utworzonych wiele plików Arkuszy Google. Limit liczby eksportowanych wyników wynosi 30 milionów wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 1,25 miliona wierszy.
  • Podczas eksportowania tworzone są tymczasowe pliki Arkuszy Google, np. TMP-1-<tytuł>. Jeśli powstaje wiele takich plików, są one nazywane kolejno TMP-2-<tytuł>, TMP-3-<tytuł> itd. Po zakończeniu eksportowania nazwy plików są automatycznie zmieniane na <tytuł> [1 z N], <tytuł> [2 z N] itd. Jeśli wyeksportowane dane znajdują się w tylko jednym pliku Arkuszy Google, plik ten ma nazwę <tytuł>.
  • Uprawnienia udostępniania plików z wyeksportowanymi wynikami wyszukiwania są ustawiane zgodnie z konfiguracją domeny. Jeśli na przykład utworzone pliki domyślnie są udostępniane wszystkim osobom w firmie, to wyeksportowane dane też będą miały takie ustawienie widoczności. 
Udostępnianie, usuwanie i powielanie szablonów analizy zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.

Kiedy i jak długo dane są dostępne?

Więcej informacji o źródłach danych znajdziesz w artykule Czas przechowywania danych i opóźnienia.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
1321684762438403901
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false