Jako administrator organizacji możesz za pomocą narzędzia do analizy zagrożeń przeprowadzać wyszukiwania związane z dziennikami dostępu zależnego od kontekstu i wykonywać działania na podstawie wyników. W narzędziu do analizy zagrożeń możesz wyświetlić rejestr działań, które pomogą rozwiązać problemy, gdy użytkownikowi odmówiono dostępu do aplikacji. Wpisy pojawiają się zwykle w ciągu godziny od odmowy dostępu.
Więcej informacji znajdziesz w artykule Omówienie dostępu zależnego od kontekstu.
Dostęp do narzędzia do analizy zagrożeń
- Narzędzie do analizy zagrożeń jest dostępne w wersjach: Enterprise Plus, Education Standard, Education Plus i Enterprise Essentials Plus.
- Administratorzy Cloud Identity Premium, Frontline Standard, Enterprise Standard i Education Standard również mogą używać narzędzia do analizy zagrożeń w odniesieniu do niektórych źródeł danych.
- Możliwość wyszukiwania w narzędziu do analizy zagrożeń zależy od wersji usługi Google, uprawnień administratora i źródła danych. Jeśli dla danego źródła danych nie możesz przeprowadzić wyszukiwania w narzędziu do analizy zagrożeń, możesz zamiast tego użyć strony kontroli i analizy zagrożeń. Więcej informacji znajdziesz w artykule Ulepszone funkcje kontroli i analizy.
- W narzędziu do analizy zagrożeń możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji usługi Google.
Przeprowadzanie wyszukiwania zdarzeń z dziennika dostępu zależnego od kontekstu
Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
Zaloguj się w usłudze konsoli administracyjnej Google.Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W lewej części strony głównej konsoli administracyjnej kliknij Bezpieczeństwo Centrum bezpieczeństwa Narzędzie do analizy zagrożeń.
- Kliknij Źródło danych wybierz Zdarzenia z dziennika dostępu zależnego od kontekstu.
- Kliknij Dodaj warunek.
Uwaga: wyszukiwanie może zawierać kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych, czyli wyszukiwań z 2 lub 3 poziomami warunków (szczegóły znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych). - Kliknij Atrybut wybierz atrybut, na przykład Użytkownik, który wykonał czynność lub Data. Pełną listę atrybutów dostępnych w przypadku zdarzeń z dziennika dostępu zależnego od kontekstu znajdziesz poniżej.
Uwaga: jeśli zawęzisz zakres dat wyszukiwania, wyniki w narzędziu do analizy zagrożeń pojawią się szybciej. Na przykład wyszukiwanie zdarzeń z ostatniego tygodnia potrwa krócej niż wyświetlenie wyników wyszukiwania bez ograniczania okresu. - Wybierz operator, na przykład Równe, Różne od, Zawiera lub Nie zawiera.
- Wybierz lub wpisz wartość atrybutu. W przypadku niektórych atrybutów należy wpisać dane, a w przypadku innych wybrać wartość z listy.
- (Opcjonalnie) Aby uwzględnić więcej warunków wyszukiwania, powtórz kroki 4–7.
- Kliknij Szukaj.
W narzędziu do analizy zagrożeń wyniki wyszukiwania są wyświetlane w tabeli u dołu strony. - (Opcjonalnie) Aby zapisać wyniki wyszukiwania, po prawej kliknij Zapisz wpisz tytuł i opis , a następnie ponownie kliknij Zapisz.
Uwaga:
- Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami I oraz LUB. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
- Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą stara_nazwa@example.com.
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
Atrybut | Opis |
---|---|
Użytkownik, który wykonał czynność | Adres e-mail użytkownika, który wykonał aktywność. |
Nazwa grupy |
Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania:
|
Jednostka organizacyjna użytkownika, który wykonał czynność | Jednostka organizacyjna użytkownika, który wykonał czynność |
Zgłoszenie do programu | Może to być:
|
Zablokowany dostęp do interfejsu API | Interfejs API aplikacji, do której użytkownikowi odmówiono dostępu; W przypadku dostępu do interfejsu API – interfejs API, do którego aplikacji wywołującej zablokowano dostęp. |
Data | Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce). |
Identyfikator urządzenia | Identyfikator urządzenia widoczny na stronie głównej w konsoli administracyjnej Urządzenia |
Stan urządzenia | Stan urządzenia użytego do uzyskania dostępu – na przykład Normalny, Brak synchronizacji (nieaktualne lub stare) lub W wielu organizacjach (urządzenie nie należy do Twojej organizacji) |
Zdarzenie | Działanie zarejestrowanego zdarzenia:
|
Adres IP | Adres IP użytkownika, który wykonał czynność. |
Podejmowanie działań na podstawie wyników wyszukiwania
Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia do analizy zagrożeń można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji o działaniach dostępnych w narzędziu do analizy zagrożeń znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.
Tworzenie reguł związanych z aktywnością i konfigurowanie alertów
Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Szczegółowe informacje i instrukcje znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.
Zarządzanie analizami zagrożeń
Wyświetlanie listy szablonów analizy zagrożeńAby wyświetlić listę szablonów analizy zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl szablony analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele szablonów analizy zagrożeń oraz daty ostatniej modyfikacji.
Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok danego szablonu analizy zagrożeń i kliknij Czynności.
Uwaga: bezpośrednio nad listą szablonów analizy zagrożeń w sekcji Szybki dostęp możesz wyświetlić ostatnio zapisane szablony analizy zagrożeń.
Jako superadministrator kliknij Ustawienia , aby :
- zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
- Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
- Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
- Włącz lub wyłącz opcję Włącz uzasadnianie działań.
Odpowiednie informacje i instrukcje znajdziesz w artykule na temat konfigurowania ustawień analizy zagrożeń.
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
- (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń element .
- (Opcjonalnie) Aby dodać kolumny, obok opcji Dodaj nową kolumnę kliknij strzałkę w dół i wybierz kolumnę danych.
Powtórz w razie potrzeby. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij ich nazwę.
- Kliknij Zapisz.
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.
Podczas wyświetlania wyeksportowanych wyników wyszukiwania weź pod uwagę te informacje:
- Kliknięcie przycisku Eksportuj wszystko u góry tabeli powoduje utworzenie pliku Arkuszy Google w folderze Mój dysk. Ten arkusz zawiera wyniki wyszukiwania. W zależności od liczby wyników proces eksportowania może trochę potrwać. Może też zostać utworzonych wiele plików Arkuszy Google. Limit liczby eksportowanych wyników wynosi 30 milionów wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 1,25 miliona wierszy.
- Podczas eksportowania tworzone są tymczasowe pliki Arkuszy Google, np. TMP-1-<tytuł>. Jeśli powstaje wiele takich plików, są one nazywane kolejno TMP-2-<tytuł>, TMP-3-<tytuł> itd. Po zakończeniu eksportowania nazwy plików są automatycznie zmieniane na <tytuł> [1 z N], <tytuł> [2 z N] itd. Jeśli wyeksportowane dane znajdują się w tylko jednym pliku Arkuszy Google, plik ten ma nazwę <tytuł>.
- Uprawnienia udostępniania plików z wyeksportowanymi wynikami wyszukiwania są ustawiane zgodnie z konfiguracją domeny. Jeśli na przykład utworzone pliki domyślnie są udostępniane wszystkim osobom w firmie, to wyeksportowane dane też będą miały takie ustawienie widoczności.
Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.
Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.
Więcej informacji o źródłach danych znajdziesz w artykule Czas przechowywania danych i opóźnienia.
Powiązane artykuły
- Rozpoczynanie analizy zagrożeń na podstawie wykresu w panelu
- Tworzenie niestandardowego wykresu na podstawie analizy zagrożeń
- Rozpoczynanie analizy zagrożeń w Centrum alertów
- Sprawdzanie zgłoszeń dotyczących złośliwych e-maili
- Analizowanie udostępniania plików
- Analizowanie informacji o użytkowniku na podstawie różnych źródeł danych