Уведомление

Duet AI is now Gemini for Google Workspace. Learn more

Наразі ця сторінка недоступна вашою мовою. Ви можете вибрати іншу мову внизу екрана або миттєво перекласти будь-яку веб-сторінку потрібною мовою за допомогою вбудованої функції перекладу Google Chrome.

События журнала контекстно-зависимого доступа

Инструмент "Анализ безопасности"
Эта функция доступна в следующих версиях: Enterprise Plus, Education Plus.

С помощью инструмента "Анализ безопасности" администратор организации может искать события журнала контекстно-зависимого доступа, выполнять действия с результатами поиска, а также просматривать записи о действиях, чтобы устранять проблемы с доступом пользователей к приложениям. Обычно запись в журнале появляется в течение часа после того, как пользователю было отказано в доступе.

Подробнее о функции контекстно-зависимого доступа

Доступ к инструменту "Анализ безопасности"

  • Инструмент "Анализ безопасности" доступен в версиях Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus.
  • Администраторы Cloud Identity Premium, Frontline Standard, Enterprise Standard и Education Standard также могут использовать инструмент "Анализ безопасности", но список источников данных для них ограничен.
  • Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, можно найти информацию на странице аудита и анализа. Подробнее о расширенных возможностях аудита и анализа
  • В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.

Как найти события из журнала контекстно-зависимого доступа

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска. Присвойте каждому условию атрибут, оператор и значение.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

    Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В левой части главной страницы консоли администратора выберите Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. Нажмите Источник данныха затемвыберите События журнала контекстно-зависимого доступа.
  4. Нажмите Добавить условие.
    Примечание. Можно указать одно или несколько условий. Вы также можете воспользоваться вложенными запросами с двумя или тремя уровнями условий. Подробнее о том, как использовать вложенные запросы при поиске
  5. Нажмите Атрибута затемвыберите атрибут, например Исполнитель или Дата. Полный список атрибутов, которые можно использовать для событий журнала контекстно-зависимого доступа, приведен в разделе "Описания атрибутов" ниже.
    Примечание. Чем точнее задан временной промежуток для поиска, тем быстрее появляются результаты. Например, если указать, что вам нужны данные только за последнюю неделю, поиск будет выполнен быстрее, чем без этого условия.
  6. Выберите оператор, например Равно, Не равно, Содержит или Не содержит.
  7. Выберите значение атрибута из раскрывающегося списка или введите его значение.
  8. Чтобы указать несколько условий поиска, повторите шаги 4–7.
  9. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
  10. Чтобы сохранить поиск, нажмите на значок Сохранить а затемвведите название и описаниеа затемнажмите кнопку Сохранить.

Примечания

  • Фильтры на вкладке Конструктор условий представлены в виде условий с операторами "И/ИЛИ". На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
  • Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если OldName@example.com заменили на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Исполнитель Адрес электронной почты пользователя, совершившего действие.
Название группы

Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Организационное подразделение пользователя Организационное подразделение, к которому относится исполнитель.
Приложение Возможен один из следующих вариантов:
  • приложение, к которому пользователю отказано в доступе;
  • (при доступе к API) вызывающее приложение, которое предприняло попытку доступа к заблокированному API.
API, доступ к которому заблокирован API приложения, к которому пользователю отказано в доступе. При доступе к API это API, доступ к которому был заблокирован для вызывающего приложения.
Дата Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Идентификатор устройства Идентификатор устройства, показанный на главной странице консоли администратора в разделеа затемУстройства.
Состояние устройства Состояние устройства, использованного для получения доступа: например, Нормальное, Не синхронизировано (неактивное или устаревшее) или Из другой организации.
Событие Действие в зарегистрированном событии:
  • событие "Доступ запрещен" – указанному пользователю (исполнителю) был запрещен доступ к указанному приложению;
  • событие "Доступ запрещен (режим мониторинга)" – позволяет определить, когда доступ будет запрещен, если уровень доступа будет в активном режиме. Ознакомьтесь со статьей Как развернуть функцию контекстно-зависимого доступа.
  • событие "Внутренняя ошибка: доступ запрещен" – не удалось принудительно применить политику (доступ был запрещен) из-за проблемы с сервером принудительного применения.
IP-адрес IP-адрес пользователя

Какие действия можно выполнить с результатами поиска

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробная информация о возможных действиях в инструменте "Анализ безопасности" приведена в статье Какие действия можно выполнять с результатами поиска.

Как создавать правила активности и настраивать оповещения

Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробные сведения и инструкции приведены в статье Как создавать правила активности с использованием инструмента "Анализ безопасности".

Как управлять процессом анализа

Как посмотреть список анализов

Чтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставили доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.

Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.

Как задать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

  • Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
  • Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
  • Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
  • Включить или отключить параметр Включить обоснование действия.

Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.

Как управлять столбцами в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы результатов поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите на значок "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью "Добавить столбец" нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия для другого запроса.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.
Как экспортировать данные из результатов поиска
  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите названиеа затемнажмите Экспорт.
    Экспортированные данные будут показаны под таблицей результатов поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы посмотреть данные, нажмите на название экспорта.
    Данные откроются в Google Таблицах.

При работе с экспортированными результатами поиска обратите внимание на приведенные ниже примечания.

  • После того как вы нажмете кнопку Экспортировать все в верхней части таблицы, в папке "Мой диск" будет создана таблица Google с результатами поиска. Если их окажется много, экспорт займет больше времени, а вместо одной таблицы может появиться несколько. Всего можно экспортировать не более 30 млн строк (1,25 млн строк для писем Gmail).
  • В процессе экспорта таблице Google присваивается временное название, например TMP-1-<название>. Если файлов окажется больше одного, им будут даны названия TMP-2-<название>, TMP-3-<название> и т. д. После окончания экспорта файлы будут автоматически переименованы в <название> [1 из N], <название> [2 из N] и т. д. Если все результаты поместятся в один файл, он будет переименован в <название>.
  • Права доступа к файлам с экспортированными результатами поиска определяются настройками, заданными в домене. Например, если по умолчанию создаваемые объекты видны всем пользователям в организации, то файлы с результатами действий тоже будут доступны каждому сотруднику.
Как копировать анализы, удалять их и предоставлять к ним доступ

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.

Когда данные становятся доступны и как долго они хранятся?

Чтобы узнать больше об источниках данных, изучите статью Задержка при обновлении отчетов и сроки хранения данных.

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опубликовать на справочном форуме Получите ответы от участников сообщества
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
12065676812777520076
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false