Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Logghändelser för kontextkänslig åtkomst

Verktyg för säkerhetsutredning
Utgåvor som stöds för den här funktionen: Enterprise Plus, Education Plus

Som organisationens administratör kan du använda verktyget för säkerhetsutredningar för att köra sökningar som är relaterade till logghändelser för kontextkänslig åtkomst och vidta åtgärder baserat på resultaten.Från utredningsverktyget kan du visa en lista över åtgärder som ska felsökas när en användare nekas åtkomst till en app. Inlägg visas vanligen inom en timme efter det att användarens åtkomst nekats.

Mer information finns i Översikt över kontextkänslig åtkomst.

Din åtkomst till verktyget för säkerhetsutredningar

  • De utgåvor som stöds för verktyget för säkerhetsutredningar är Enterprise Plus, Education Standard, Education Plus och Enterprise Essentials Plus.
  • Administratörer med Cloud Identity-premiumversion, Frontline Standard, Enterprise Standard och Education Standard kan också använda utredningsverktyget för en delmängd av datakällorna.
  • Möjligheten att göra en sökning i utredningsverktyget beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Om du inte kan köra en sökning i utredningsverktyget för en viss datakälla kan du i allmänhet använda gransknings- och utredningssidan i stället. Mer information finns i Förbättrad granskning och utredning.
  • Du kan köra en sökning i utredningsverktyget på alla användare, oavsett vilken Google-utgåva de har.

Kör en sökning efter logghändelser för kontextkänslig åtkomst

Om du vill köra en sökning i utredningsverktyget väljer du först datakällan. Välj sedan ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

    Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Klicka på Säkerhetföljt avSäkerhetscenterföljt avUtredningsverktyg till vänster på startsidan för administratörskonsolen.
  3. Klicka på Datakällaföljt avvälj Logghändelser för kontextkänslig åtkomst.
  4. Klicka på Lägg till villkor.
    Obs! Du kan inkludera ett eller flera villkor i din sökning. Du kan även anpassa sökningen med kapslade frågor – sökningar med två eller tre villkorsnivåer (mer information finns i Anpassa sökningen med kapslade frågor).
  5. Klicka på Attributföljt avvälj ett attribut, till exempel Aktör eller Datum. En fullständig lista över attribut som är tillgängliga för kontextkänsliga logghändelser för attribut finns i Attributbeskrivningar nedan.
    Obs! Om du begränsar datumintervallet för sökningen visas resultaten snabbare i utredningsverktyget. Om du till exempel begränsar sökningen till händelser från den senaste veckan visas resultatet snabbare än om du söker utan att begränsa frågan till en kortare tidsperiod.
  6. Välj en operator, till exempel Är, Är inte, Innehåller eller Innehåller inte.
  7. Välj eller ange ett värde för attributet. För vissa attribut kan du välja från en lista och för andra anger du ett värde.
  8. (Valfritt) Upprepa steg 4–7 om du vill inkludera flera sökvillkor.
  9. Klicka på Sök.
    Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan.
  10. (Valfritt) Om du vill spara sökresultaten klickar du på Spara till höger följt av anger en titel och beskrivningföljt av klicka på Spara.

Obs!

  • På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.

Attributbeskrivningar

För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:

Attribut Beskrivning
Aktör E-postadressen för den användare som utförde aktiviteten
Grupp-id

Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp.

Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:

  1. Välj Aktörsgruppens namn.
  2. Klicka på Filtreringsgrupper.
    Sidan Filtreringsgrupper visas.
  3. Klicka på Lägg till grupper.
  4. Sök efter en grupp genom att ange de första tecknen i namnet eller e-postadressen. Markera gruppen som du vill ha.
  5. (Valfritt) Om du vill lägga till en annan grupp söker du efter och väljer gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till.
  7. (Valfritt) Om du vill ta bort en grupp klickar du på Ta bort grupp .
  8. Klicka på Spara.
Organisationsenhet för aktör Organisationsenheten som aktören tillhör.
Program Kan vara något av följande:
  • Appen som användaren nekades åtkomst till
  • (För API-åtkomst) Anropsappen som försökte få åtkomst till ett blockerat API.
Blockerad API-åtkomst API:et för appen som användaren nekades åtkomst till. För API-åtkomst är det API som samtalsappen har blockerats från.
Datum Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon)
Enhets-id Enhetens id, som visas på administratörskonsolens startsidaföljt avEnheter
Enhetsstatus Status på enheten som används för att utföra åtkomsten – till exempel Normal, Slut på synkronisering (inaktuell eller gammal) eller I flera organisationer (enheten inte tillhör organisationen)
Händelse Den loggade händelseåtgärden:
  • Åtkomst nekad – åtkomst nekades för den angivna användaren (aktören) för den angivna appen.
  • Åtkomst nekad (övervakningsläge) – anger när åtkomst skulle nekas om åtkomstnivån var i aktivt läge. Se Implementera kontextkänslig åtkomst.
  • Internt fel: nekat åtkomst: policytillämpningen misslyckades (åtkomst nekades) på grund av ett problem med tillämpningsservern.
IP-adress Aktörens IP-adress

Vidta åtgärder baserat på sökresultat

När du har gjort en sökning i utredningsverktyget kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda utredningsverktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Läs mer om åtgärder i utredningsverktyget i Vidta åtgärder baserat på sökresultat.

Skapa aktivitetsregler och konfigurera varningar

Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i utredningsverktyget och konfigurera varningar genom att skapa aktivitetsregler. Konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information och instruktioner finns i Skapa och hantera aktivitetsregler.

Hantera dina utredningar

Visa listan över utredningar

Visa en lista över utredningar som du äger och som har delats med dig genom att klicka på Visa utredningar . Utredningslistan innehåller utredningarnas namn, beskrivningar och ägare samt det datum då de senast ändrades. 

I den här listan kan du vidta åtgärder för utredningar du äger. Du kan till exempel radera en utredning. Markera kryssrutan för en utredning och klicka sedan på Åtgärder.

Obs! Direkt ovanför listan över utredningar kan du under Snabbåtkomst se de undersökningar som nyligen har sparats.

Gör inställningar för dina undersökningar

Som avancerad administratör klickar du på Inställningar för att göra följande:

  • Ändra tidszon för dina undersökningar. Tidszonen tillämpas på sökvillkoren och resultaten.
  • Aktivera eller inaktivera Kräv granskare. Mer information finns i Kräv granskare för massåtgärder.
  • Aktivera eller inaktivera Visa innehåll. Med den här inställningen kan administratörer med relevant behörighet visa innehåll.
  • Slå på eller av Aktivera åtgärdsanpassning.

Anvisningar och detaljer finns i Konfigurera inställningar för undersökningar.

Hantera kolumner i sökresultaten

Du kan styra vilka datakolumner som visas i sökresultaten. 

  1. Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort objekt .
  3. (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till ny kolumn och väljer datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du kolumnnamnet.
  5. Klicka på Spara.
Exportera data från sökresultat
  1. Klicka på Exportera alla högst upp i sökresultattabellen.
  2. Ange ett namn följt av klicka på Exportera.
    Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat.
  3. Klicka på exportens namn om du vill visa informationen.
    Exporten öppnas i Google Kalkylark.

Följ de här riktlinjerna när du visar exporterade sökresultat:

  • När du har klickat på knappen Exportera alla högst upp i tabellen skapas ett Google-kalkylark med sökresultaten i mappen Min enhet. Beroende på resultatens storlek kan exportprocessen ta lite tid och flera Google-kalkylark kan skapas. Gränsen för exporterade resultat är 30 miljoner rader (förutom när det gäller sökningar i Gmail-meddelanden, som begränsas till 1,25 miljoner rader).
  • Medan exportprocessen pågår skapas Google-kalkylarken med tillfälliga namn, till exempel TMP-1-<titel>. Om flera Google-kalkylark skapas får de ytterligare filerna namn som TMP-2-<titel>, TMP-3-<titel> och så vidare. När exportprocessen är klar ändras filnamnen automatiskt till: <titel> [1 av N], <titel> [2 av N] och så vidare. Om du bara har ett Google-kalkylark med exporterad data får filen namnet <titel>.
  • Delningsbehörigheterna för filer med de exporterade sökresultaten följer konfigurationen på domänen. Om standardinställningen till exempel är att alla filer som skapas delas med alla på företaget får även filerna med exporterad data den här synligheten. 
Dela, radera och duplicera undersökningar

Om du vill spara dina sökkriterier eller dela dem med andra kan du skapa och spara en utredning och sedan dela, duplicera eller radera den.

Mer information finns i Spara, dela, radera och duplicera utredningar.

När och hur länge är data tillgänglig?

Läs mer om datakällor i Datalagring och fördröjningar.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
5295234454204315013
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false