На странице "Аудит и анализ" администратор организации может выполнять поиск по событиям в журнале правил, а также проверять записи о действиях, чтобы анализировать попытки пользователей передать конфиденциальную информацию. Например, можно посмотреть события, вызванные нарушением правил защиты от потери данных (DLP). Обычно записи о действиях пользователей появляются в журнале в течение часа.
В журнале правил также доступны различные типы данных, отслеживаемых инструментом BeyondCorp Threat and Data Protection.
Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".
Как открыть страницу аудита и анализа
Как перейти к данным событий в журнале правил
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ОтчетыАудит и анализСобытия журнала правил.
Как отфильтровать данные
- Откройте журнал событий по инструкции выше.
- Нажмите Добавить фильтр и выберите атрибут.
- Во всплывающем окне выберите операторвыберите значениенажмите Применить.
-
При необходимости вы можете создать несколько фильтров результатов поиска:
- Нажмите Добавить фильтр и повторите шаг 3.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Нажмите Поиск.
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
Атрибут | Описание | ||||||||
---|---|---|---|---|---|---|---|---|---|
Уровень доступа | Уровни доступа, выбранные в качестве условий контекстно-зависимого доступа для этого правила. Уровни доступа распространяются только на данные Chrome. Подробнее о создании уровней контекстно-зависимого доступа… | ||||||||
Исполнитель | Адрес электронной почты пользователя, совершившего действие. Если событие произошло в результате повторного сканирования, может быть указано значение Анонимный пользователь. | ||||||||
Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
||||||||
Организационное подразделение пользователя | Организационное подразделение, к которому относится исполнитель. | ||||||||
Заблокированные получатели | Получатели, которые были заблокированы в результате срабатывания правила. | ||||||||
Условное действие | Список действий, которые могут быть выполнены при доступе пользователя в зависимости от настроенных для правила контекстно-зависимых условий. | ||||||||
Идентификатор сеанса | Идентификатор сеанса встречи, которая стала частью активации этого правила. | ||||||||
Идентификатор контейнера | Идентификатор родительского контейнера, к которому принадлежит ресурс. | ||||||||
Тип контейнера | Тип родительского контейнера, к которому принадлежит ресурс, например Чат-группа Google Chat или Групповой чат для сообщений и прикрепленных файлов в чате. | ||||||||
Источник данных | Приложение, в котором был создан ресурс. | ||||||||
Дата | Дата и время, когда произошло событие. | ||||||||
Идентификатор детектора | Идентификатор соответствующего детектора. | ||||||||
Название детектора | Название соответствующего детектора, заданного администраторами. | ||||||||
Идентификатор устройства | Идентификатор устройства, на котором было активировано действие. Этот тип данных применяется к Chrome Enterprise Premium threat and data protection. | ||||||||
Тип устройства | Тип устройства, соответствующий идентификатору устройства, на котором было активировано действие. Этот тип данных применяется к Chrome Enterprise Premium threat and data protection. | ||||||||
Событие | Действие в зарегистрированном событии.
*Фрагмент "Действие выполнено" в названиях этих событий в будущем будет удален. |
||||||||
Содержит конфиденциальные данные | Для активированных правил DLP с обнаруженными и зарегистрированными конфиденциальными данными значение равно Истина. | ||||||||
Получатель* | Пользователи, получившие доступ к ресурсу. | ||||||||
Число пропущенных получателей* | Число получателей, пропущенных из-за превышения ограничения. | ||||||||
Идентификатор ресурса | Объект, который был изменен. Для правил DLP:
|
||||||||
Владелец ресурса | Владелец просканированного ресурса, с которым было выполнено действие. | ||||||||
Название ресурса | Название ресурса, который был изменен. Для правил DLP это название документа. | ||||||||
Тип ресурса | Для правил DLP ресурсом является документ, а для DLP в Chat – сообщение или прикрепленный файл в чате. | ||||||||
Идентификатор правила | Идентификатор активированного правила. | ||||||||
Название правила | Название, которое администратор задал правилу при его создании. | ||||||||
Тип правила | Для правил DLP указывается значение DLP. | ||||||||
Тип сканирования |
Возможны следующие значения:
|
||||||||
Степень серьезности | Степень серьезности нарушенного правила. | ||||||||
Заблокированное действие* | Предусмотренные правилом действия, которые были заблокированы. Действие может быть заблокировано, если в момент его выполнения активируется другое действие с более высоким приоритетом. | ||||||||
Триггер | Действие, которое привело к активации правила. | ||||||||
Действие при активации правила | Список выполненных действий. Значение отсутствует при срабатывании правила, предусматривающего только проверку. | ||||||||
IP-адрес клиента, инициировавшего событие | IP-адрес исполнителя, который активировал событие. | ||||||||
Адрес электронной почты пользователя, инициировавшего событие* | Адрес электронной почты исполнителя, который активировал событие. | ||||||||
Действие пользователя | Действие, которое пытался выполнить пользователь, заблокировано правилом. |
Как настроить показ данных о событиях
Как управлять столбцами данных в результатах поиска
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
- Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
- Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Как экспортировать результаты поиска
- В верхней части таблицы с результатами поиска нажмите Экспортировать все.
- Введите название нажмите Экспорт.
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы увидеть данные, нажмите название экспорта.
Данные откроются в Google Таблицах.
Как добавить новое правило создания отчетов
Информация приведена в статье Как создавать и настраивать правила оповещения.
Когда данные становятся доступны и как долго они хранятся?
Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.
Как использовать журнал аудита правил для выявления нарушений правил DLP
Администраторы могут смотреть в журнале аудита правил фрагменты контента, чтобы определять, действительно ли были нарушены правила DLP или произошло ложное срабатывание. Подробнее о том, как посмотреть контент, который активировал правила DLP (бета)…