Afhankelijk van uw Google Workspace-versie heeft u misschien toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies bevat. Hoofdbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, analyseren en er acties op ondernemen. Meer informatie
Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren die zijn gerelateerd aan regel-logboekgebeurtenissen en op basis hiervan actie ondernemen. U kunt bijvoorbeeld een overzicht bekijken van acties om de pogingen van uw gebruiker om gevoelige gegevens te delen te beoordelen. U kunt bijvoorbeeld gebeurtenissen beoordelen die zijn getriggerd doordat regels voor gegevensverlies voorkomen (Data Loss Prevention, DLP) zijn geschonden. Invoeren verschijnen meestal binnen een uur nadat de gebruikersactie is uitgevoerd.
In de gebeurtenissen in het logboek Regels staan ook gegevenstypen voor Chrome Enterprise Premium threat and data protection.
Logboekgebeurtenisgegevens doorsturen naar Google Cloud
U kunt ervoor kiezen informatie over logboekgebeurtenissen te delen met Google Cloud. Als u delen aanzet, worden gegevens doorgestuurd naar Cloud Logging. Hier kunt u logboeken bekijken en erin zoeken. Ook kunt u bepalen hoe logboeken worden gerouteerd en opgeslagen.
Zoeken naar logboekgebeurtenissen
Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-versie.
Als u wilt zoeken naar logboekgebeurtenissen, kiest u eerst een gegevensbron. Kies daarna een of meer filters voor de zoekopdracht.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Rapporten
Controle en onderzoek
- Klik op Een filter toevoegen en selecteer een kenmerk.
- Selecteer in het pop-upvenster een operator
- (Optioneel) Herhaal deze stap om meerdere filters voor de zoekopdracht te maken.
- (Optioneel) Als u een zoekoperator wilt toevoegen, selecteert u boven Een filter toevoegen de optie AND of OR.
- (Optioneel) Herhaal deze stap om meerdere filters voor de zoekopdracht te maken.
- (Optioneel) Als u een zoekoperator wilt toevoegen, selecteert u boven Een filter toevoegen de optie AND of OR.
- Klik op Zoeken.
-
Opmerking: Op het tabblad Filter kunt u eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaardenbuilder gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operators.
Als u een zoekopdracht wilt uitvoeren in de tool voor beveiligingsonderzoek, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Beveiliging
- Klik op Gegevensbron en selecteer Gebeurtenissen in het logboek Regels.
- Klik op Voorwaarde toevoegen.
Tip: U kunt een of meer voorwaarden toevoegen aan de zoekopdracht of de zoekopdracht aanpassen met geneste zoekopdrachten. Zie Een zoekopdracht aanpassen met geneste zoekopdrachten voor meer informatie. - Klik op Kenmerk
Ga naar het gedeelte Kenmerkbeschrijvingen hieronder voor de volledige lijst met kenmerken. - Selecteer een operator
- Vul een waarde in of selecteer een waarde in het dropdownmenu.
- (Optioneel) Herhaal stap 4-7 om meer zoekvoorwaarden toe te voegen.
- Klik op Zoeken.
In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina. - (Optioneel) Als u het onderzoek wilt opslaan, klikt u op Opslaan
Opmerking:
- Op het tabblad Voorwaardenbuilder worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.
- Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld OudeNaam@example.com de naam NieuweNaam@example.com geeft, ziet u geen gebeurtenissen gerelateerd aan OudeNaam@example.com.
Kenmerkbeschrijvingen
Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u in gebeurtenisgegevens in logboeken zoekt:
| Kenmerk | Beschrijving |
|---|---|
| Toegangsniveau | De toegangsniveaus die zijn geselecteerd als de voorwaarden voor contextbewuste toegang van deze regel. Toegangsniveaus gelden alleen voor Chrome-gegevens. Ga naar Niveaus voor contextbewuste toegang maken voor meer informatie. |
| Handelende gebruiker | Het e-mailadres van de gebruiker die de activiteit heeft uitgevoerd. De waarde kan Anoniem zijn als de gebeurtenissen het resultaat zijn van het opnieuw scannen van een bestand. |
| Naam van handelende groep |
Groepsnaam van de handelende gebruiker. Ga naar Resultaten filteren op Google-groep voor meer informatie. Zo voegt u een groep toe op de toelatingslijst voor filtergroepen:
|
| Handelende organisatie-eenheid | De organisatie-eenheid van de handelende gebruiker. |
| Geblokkeerde ontvangers | De ontvangers die worden geblokkeerd door de getriggerde regel |
| Voorwaardelijke actie | Een lijst met acties die kunnen worden getriggerd op het moment dat de gebruiker toegang krijgt, afhankelijk van de contextvoorwaarden die zijn ingesteld voor de regel. |
| Conferentie-ID | Conferentie-ID van de vergadering waarvoor actie is ondernomen als onderdeel van deze regeltrigger |
| Container-ID | ID van de bovenliggende container waartoe de bron behoort |
| Containertype | Het type bovenliggende container waartoe de bron behoort, bijvoorbeeld Chatruimte of Groepschat voor chatberichten of chatbijlagen |
| Gegevensbron | De app waarin de bron oorspronkelijk stond. |
| Datum | De datum en tijd waarop de gebeurtenis heeft plaatsgevonden |
| Detector-ID | ID van een overeenkomende detector |
| Naam detector | De naam van een overeenkomende detector die door beheerders is gedefinieerd. |
| Apparaat-ID | De ID van het apparaat waarop de actie is getriggerd. Dit gegevenstype is van toepassing op Chrome Enterprise Premium threat and data protection. |
| Apparaattype | Het type apparaat waarnaar de apparaat-ID verwijst. Dit gegevenstype is van toepassing op Chrome Enterprise Premium threat and data protection. |
| Gebeurtenis |
De geregistreerde gebeurtenisactie. DriveDeze DLP-regelgebeurtenissen worden geregistreerd voor Drive:
Opmerkingen over Drive:
GmailDeze DLP-regelgebeurtenissen worden geregistreerd voor Gmail:
* Het gedeelte Actie voltooid van deze gebeurtenisnamen wordt beëindigd. |
| Bevat gevoelige content | Voor getriggerde DLP-regels waarin gevoelige content is gedetecteerd en vastgelegd, is de waarde True. |
| Ontvanger* | De gebruikers die de gedeelde bron hebben ontvangen. |
| Aantal weggelaten ontvangers* | Aantal ontvangers van faciliteit weggelaten vanwege overschrijding van de limiet |
| Resource-ID | Het aangepaste object. Voor DLP-regels:
|
| Broneigenaar | De gebruiker die de eigenaar is van de bron die is gescand en waarop een actie is toegepast. |
| Brontitel | De titel van de bron die is gewijzigd. Voor DLP is dit een documenttitel. |
| Brontype | Voor DLP is de bron Document. Voor DLP voor Chat is de bron Chatbericht of Chatbijlage. |
| Regel-ID | ID van de regel die de actie heeft getriggerd |
| Naam regel | De regelnaam die is gegeven door de beheerder toen de regel werd gemaakt. |
| Regeltype | Voor DLP-regels is de waarde DLP. |
| Scantype |
Waarden:
|
| Ernst | De ernst die is toegewezen aan de regel toen deze werd getriggerd. |
| Onderdrukte actie* | Acties die voor de regel zijn geconfigureerd, maar zijn onderdrukt. Een actie wordt onderdrukt als er tegelijkertijd een actie met een hogere prioriteit wordt getriggerd en uitgevoerd. |
| Trigger | Activiteit die ertoe heeft geleid dat een regel is getriggerd |
| Getriggerde actie | De uitgevoerde actie. Dit veld is leeg als er een alleen-controleregel is getriggerd. |
| Client-IP triggeren | IP-adres van de handelende gebruiker die de actie heeft getriggerd |
| E-mailadres betreffende gebruiker* | E-mailadres van de handelende gebruiker die de actie heeft getriggerd. |
| Actie gebruiker | De actie die de gebruiker probeerde uit te voeren en die is geblokkeerd door een regel |
Opmerking: Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld OudeNaam@example.com de naam NieuweNaam@example.com geeft, ziet u geen gebeurtenissen gerelateerd aan OudeNaam@example.com.
Logboekgebeurtenisgegevens beheren
Kolomgegevens in de zoekresultaten beheren
Je kunt instellen welke gegevenskolommen worden getoond in de zoekresultaten.
- Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren
.
- (Optioneel) Als je huidige kolommen wilt verwijderen, klik je op Verwijderen
.
- (Optioneel) Als je kolommen wilt toevoegen, klik je naast Nieuwe kolom toevoegen op de pijl-omlaag
en selecteer je de juiste gegevenskolom.
Herhaal de stappen indien nodig. - (Optioneel) Als je de volgorde van kolommen wilt wijzigen, versleep je de kolomnaam.
- Klik op Opslaan.
Zoekresultaten exporteren
U kunt zoekresultaten exporteren naar Google Spreadsheets of naar een csv-bestand.
- Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
- Voer een naam in
De export wordt onder de tabel met zoekresultaten weergegeven, onder Actieresultaten exporteren. - Klik op de naam van de export om de gegevens te bekijken.
De export wordt geopend in Google Spreadsheets.
De exportlimieten zijn verschillend:
- Er kunnen in totaal niet meer dan 100.000 rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 10.000 rijen).
- Deze functie wordt ondersteund in de volgende versies: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Versies vergelijken
Als u de tool voor beveiligingsonderzoek gebruikt, kunnen er in totaal niet meer dan 30 miljoen rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 10.000 rijen).
Zie Zoekresultaten exporteren voor meer informatie.
Wanneer en hoelang zijn gegevens beschikbaar?
Acties uitvoeren op basis van zoekresultaten
- U kunt met rapportregels meldingen instellen op basis van logboekgebeurtenisgegevens. Ga naar Rapportregels maken en beheren voor instructies.
- Deze functie wordt ondersteund in de volgende versies: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Versies vergelijken
U kunt acties in de tool voor beveiligingsonderzoek automatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Ga naar Activiteitsregels maken en beheren voor meer informatie en instructies.
Deze functie wordt ondersteund in de volgende versies: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Versies vergelijken
Nadat u een zoekopdracht heeft uitgevoerd in de tool voor beveiligingsonderzoek, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de tool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga naar Acties uitvoeren op basis van zoekresultaten voor meer informatie.
Uw onderzoeken beheren
Deze functie wordt ondersteund in de volgende versies: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Versies vergelijken
De lijst met onderzoeken bekijkenKlik op Onderzoeken bekijken om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.
In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.
Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.
Klik als hoofdbeheerder op Instellingen om het volgende te doen:
- De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
- Beoordeling vereisen aan- of uitzetten. Ga naar Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
- Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
- De instelling Reden voor actie aanzetten aan- of uitzetten.
Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.
Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.
Ga naar Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.
Gebeurtenissen in het logboek Regels gebruiken om chatberichten te onderzoeken
Als beheerder kunt u een regel voor gegevensbescherming voor Chat maken om het lekken van gevoelige content te voorkomen. Vervolgens kunt u in de tool voor beveiligingsonderzoek Chat-activiteit in uw organisatie controleren, zoals berichten en bestanden die buiten uw domein worden gestuurd. Zie Chatberichten onderzoeken om de gegevens van uw organisatie te beschermen voor meer informatie.
Gebeurtenissen in het logboek Regels gebruiken om schendingen van DLP-regels te onderzoeken
Als beheerder kunt u DLP-fragmenten (gegevensverlies voorkomen) gebruiken om te onderzoeken of schending van een DLP-regel een incident echt is of vals positief. Ga naar Content weergeven waardoor DLP-regels worden getriggerd voor meer informatie.