Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Événements du journal des règles

Page d'audit et d'enquête: Vérifier les tentatives de partage de données sensibles par les utilisateurs
La page du journal d'audit a été remplacée par une nouvelle page d'audit et d'enquête. Pour en savoir plus sur ce changement, consultez Amélioration de l'expérience d'audit et d'enquête: nouveautés de Google Workspace.

En tant qu'administrateur de votre organisation, vous pouvez utiliser la page d'audit et d'enquête pour effectuer des recherches en rapport avec les événements de journaux de règles. Vous pouvez y consulter un récapitulatif des actions permettant d'examiner les tentatives de partage de données sensibles par l'utilisateur. Par exemple, vous pouvez examiner les événements déclenchés suite au non-respect de règles de protection contre la perte de données. Les entrées y apparaissent généralement dans l'heure suivant l'action réalisée par l'utilisateur.

Les événements du journal des règles répertorient également les types de données pour la prévention des menaces et la protection des données de BeyondCorp.

Pour obtenir la liste complète des services et des activités que vous pouvez examiner, tels que Google Drive ou l'activité des utilisateurs, consultez À propos de l'outil d'audit et d'investigation.

Ouvrir la page d'audit et d'enquête

Accéder aux données d'événements des journaux de règles

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis Création de rapports puis Audit et enquête puisÉvénements du journal des règles.

Filtrer les données

  1. Ouvrez les événements de journaux comme indiqué ci-dessus dans Accéder aux données d'événement des journaux de règles.
  2. Cliquez sur Ajouter un filtre, puis sélectionnez un attribut.
  3. Dans la fenêtre pop-up, sélectionnez un opérateurpuissélectionnez une valeurpuiscliquez sur Appliquer.
  4. (Facultatif) Pour créer plusieurs filtres pour votre recherche :
    1. Cliquez sur Ajouter un filtre, puis répétez l'étape 3.
    2. (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de Ajouter un filtre.
  5. Cliquez sur Rechercher.

Remarque: L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :

Attribut Description
Niveau d'accès Niveaux d'accès sélectionnés comme conditions d'accès contextuel pour cette règle. Les niveaux d'accès ne s'appliquent qu'aux données Chrome. Pour en savoir plus, consultez Créer des niveaux d'accès contextuel.
Acteur Adresse e-mail de l'utilisateur ayant réalisé l'activité. La valeur peut indiquer Utilisateur anonyme si les événements se sont produits suite à une nouvelle analyse.
Nom de groupe de l'acteur

Nom de groupe de l'utilisateur Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom du groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez le groupe.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Unité organisationnelle de l'acteur Unité organisationnelle à laquelle appartient l'acteur
Destinataires bloqués Destinataires bloqués par la règle déclenchée
Action conditionnelle Liste des actions susceptibles d'être déclenchées au moment de l'accès de l'utilisateur, en fonction des conditions de contexte configurées pour la règle.
ID de la conférence ID de conférence de la réunion pour laquelle une action a été effectuée dans le cadre de ce déclencheur de règle
Identifiant du conteneur ID du conteneur parent auquel appartient la ressource
Type de conteneur Type de conteneur parent auquel la ressource appartient, par exemple espace Chat ou chat de groupe, pour les messages ou les pièces jointes dans Chat
Source de données Application à l'origine de la ressource
Date Date et heure auxquelles l'événement s'est produit
ID du détecteur Identifiant d'un détecteur correspondant
Nom du détecteur Nom d'un détecteur correspondant défini par les administrateurs
ID de l'appareil ID de l'appareil sur lequel l'action a été déclenchée Ce type de données s'applique à Chrome Enterprise Premium threat and data protection.
Type d'appareil Type d'appareil désigné par l'ID de l'appareil. Ce type de données s'applique à Chrome Enterprise Premium threat and data protection.
Événement Action d'événement consigné. 
  • Pour les règles de protection contre la perte de données, les événements suivants sont consignés: 
    Événement Explication
    Action terminée, contenu avec correspondance* Le contenu d'un document Drive est signalé par une règle de protection contre la perte de données.
    Action terminée, contenu sans correspondance* Le document Drive n'est pas signalé, car le contenu à l'origine du déclenchement d'une règle de protection contre la perte de données n'est plus présent.
    Accès bloqué Le téléchargement ou la copie d'un fichier Drive a été bloqué par une règle de protection contre la perte de données.
     
  • Lorsqu'un libellé Drive change, la valeur est Libellé appliqué, Valeur du champ modifiée ou Libellé supprimé.
  • Lorsque les règles de confiance bloquent le partage de fichiers Drive, la valeur indique Partage bloqué.
  • Lorsque les règles de confiance bloquent l'accès aux fichiers Drive (affichage, téléchargement ou copie), la valeur est Accès bloqué.

* La partie "Action terminée" de ces noms d'événements sera abandonnée.
Comporte du contenu sensible Pour les règles de protection contre la perte de données déclenchées pour lesquelles du contenu sensible a été détecté et consigné, la valeur est True.
Destinataire* Personnes ayant reçu la ressource partagée
Nombre de destinataires omis* Nombre de destinataires de ressources omis en raison du dépassement de la limite
ID de ressource Objet modifié. Pour les règles de protection contre la perte de données :
  • Pour les entrées concernant Google Drive, cliquez sur l'ID de ressource pour afficher le document Drive qui a été modifié.
  • Pour les entrées concernant Google Chat, cliquez sur l'ID de ressource pour afficher les détails d'une conversation Chat. Notez que certaines données Chat peuvent expirer. Par conséquent, toutes les informations ne seront pas toujours disponibles.
Propriétaire de la ressource Utilisateur propriétaire de la ressource qui a été analysée et pour laquelle une action a été appliquée
Titre de la ressource Titre de la ressource qui a été modifiée. Dans le cadre de la protection contre la perte de données, cela concerne le titre d'un document.
Type de ressource Dans le cadre de la protection contre la perte de données, la ressource est Document. Pour la protection contre la perte de données Chat, la ressource est Message Chat ou Pièce jointe de chat.
ID de la règle ID de la règle ayant déclenché l'événement
Nom de la règle Nom attribué à la règle par l'administrateur lors de sa création
Type de règle La valeur DLP correspond aux règles de protection contre la perte de données.
Type d'analyse

Les valeurs sont les suivantes :

  • Analyser en continu (lorsqu'une règle change)
  • Analyse en ligne (survenant lorsqu'un document est modifié)
  • Analyse des contenus Chat avant l'envoi (survenant lorsqu'un message Chat est envoyé)
Gravité Niveau de gravité attribué à la règle lors de son déclenchement
Action écartée* Actions configurées dans la règle, mais supprimées. Une action est supprimée lorsqu'une action de priorité supérieure se produit en même temps et se déclenche.
Déclencheur Activité ayant entraîné le déclenchement d'une règle
Action déclenchée Répertorie les actions effectuées. Ce champ est vide si une règle consignant uniquement les incidents dans un journal d'audit a été déclenchée.
Adresse IP du client du déclencheur Adresse IP de l'acteur ayant déclenché l'action
Adresse e-mail de l'utilisateur à l'origine du déclenchement de la règle* Adresse e-mail de l'acteur ayant déclenché l'action
Action utilisateur Action que l'utilisateur tentait et qui a été bloquée par une règle
* Vous ne pouvez pas créer de règles de reporting avec ces filtres. En savoir plus sur les différences entre les règles de reporting et les règles d'activité

Gérer les données d'événement des journaux

Gérer les données des colonnes de résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
  3. (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter les données des résultats de recherche

  1. En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
  2. Saisissez un nom puis cliquez sur Exporter.
    L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action.
  3. Pour afficher les données, cliquez sur le nom de votre exportation.
    L'exportation s'ouvre dans Google Sheets.

Créer des règles de reporting

Accédez à Créer et gérer des règles de reporting.

Quand et pendant combien de temps les données sont-elles disponibles ?

Accédez à Conservation des données et temps de latence.

Examiner les cas de non-respect des règles de protection contre la perte de données à l'aide des événements du journal des règles

En tant qu'administrateur, vous pouvez utiliser les extraits de protection contre la perte de données pour déterminer si le non-respect d'une règle de protection contre la perte de données est un incident réel ou un faux positif. Pour en savoir plus, consultez Afficher les contenus qui déclenchent les règles de protection contre la perte de données (bêta).

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
12146604520218381782
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false