In qualità di amministratore della tua organizzazione, puoi utilizzare la pagina Controllo e indagine per eseguire ricerche relative agli eventi del log delle regole. Qui potrai visualizzare un record delle azioni per esaminare i tentativi dell'utente di condividere dati sensibili. Ad esempio, puoi esaminare gli eventi attivati da violazioni delle regole di Prevenzione della perdita di dati (DLP). In genere le voci vengono inserite nel log entro l'ora successiva all'azione dell'utente.
Gli eventi del log delle regole elencano anche i tipi di dati per BeyondCorp Threat e Data Protection.
Per un elenco completo dei servizi e delle attività che puoi esaminare, ad esempio Google Drive o l'attività utente, leggi le Informazioni sullo strumento di controllo e indagine.
Aprire la pagina Controllo e indagine
Accedere ai dati sugli eventi del log delle regole
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu ReportControllo e indagineEventi del log delle regole.
Filtrare i dati
- Apri gli eventi del log come descritto sopra nella sezione Accedere ai dati sugli eventi del log delle regole.
- Fai clic su Aggiungi un filtro, quindi seleziona un attributo.
- Nella finestra popup, seleziona un operatoreseleziona un valorefai clic su Applica.
-
(Facoltativo) Per creare più filtri per la ricerca:
- Fai clic su Aggiungi un filtro e ripeti il passaggio 3.
- (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
- Fai clic su Cerca.
Nota:utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori AND/OR.
Descrizioni degli attributi
Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:
Attributo | Descrizione | ||||||||
---|---|---|---|---|---|---|---|---|---|
Livello di accesso | I livelli di accesso selezionati come condizioni di accesso sensibile al contesto di questa regola. I livelli di accesso sono applicabili solo ai dati di Chrome. Per maggiori dettagli, vedi Creare livelli di accesso sensibile al contesto. | ||||||||
Attore | Indirizzo email dell'utente che ha eseguito l'azione. Il valore può essere Utente anonimo se gli eventi sono il risultato di una nuova scansione. | ||||||||
Nome del gruppo dell'attore |
Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro:
|
||||||||
Unità organizzativa che ha eseguito l'azione | Unità organizzativa dell'attore | ||||||||
Destinatari bloccati | I destinatari bloccati dalla regola attivata | ||||||||
Azione condizionale | Un elenco di azioni che possono essere attivate al momento dell'accesso dell'utente, a seconda delle condizioni di contesto configurate per la regola. | ||||||||
ID conferenza | ID conferenza della riunione per cui è stato compiuto un intervento azionato dall'attivatore della regola | ||||||||
ID contenitore | ID del contenitore principale a cui appartiene la risorsa | ||||||||
Tipo di contenitore | Il tipo di contenitore principale a cui appartiene la risorsa, ad esempio Spazio di Chat o Chat di gruppo, per i messaggi di chat o gli allegati della chat | ||||||||
Origine dati | L'applicazione in cui la risorsa è stata creata. | ||||||||
Data | La data e l'ora in cui si è verificato l'evento. | ||||||||
ID rilevatore | Identificatore di un rilevatore corrispondente. | ||||||||
Nome rilevatore | Nome di un rilevatore corrispondente definito dagli amministratori. | ||||||||
ID dispositivo | L'ID del dispositivo su cui è stata attivata l'azione. Questo tipo di dati si applica a Chrome Enterprise Premium threat and data protection, | ||||||||
Tipo di dispositivo | Tipo di dispositivo a cui si fa riferimento con l'ID dispositivo. Questo tipo di dati si applica a Chrome Enterprise Premium threat and data protection. | ||||||||
Evento | L'azione registrata associata all'evento.
* La parte "Azione completata" di questi nomi di eventi verrà ritirata. |
||||||||
Include contenuti sensibili | Per le regole DLP attivate con contenuti sensibili rilevati e registrati, il valore è Vero. | ||||||||
Destinatario* | Le persone che hanno ricevuto la risorsa condivisa. | ||||||||
Conteggio destinatari omessi* | Numero di destinatari della risorsa omessi a causa del superamento del limite | ||||||||
ID risorsa | L'oggetto modificato. Per le regole DLP:
|
||||||||
Proprietario risorsa | L'utente titolare della proprietà della risorsa che è stata scansionata e a cui è stata applicata un'azione. | ||||||||
Titolo della risorsa | Il titolo della risorsa che è stata modificata. Per la DLP, il titolo di un documento. | ||||||||
Tipo di risorsa | Per le regole DLP, la risorsa è Documento. Per le regole DLP di Chat, la risorsa è Messaggio di Chat o Allegato di Chat. | ||||||||
ID regola | ID della regola che ha attivato l'azione | ||||||||
Nome regola | Il nome indicato dall'amministratore al momento della creazione della regola. | ||||||||
Tipo di regola | Per le regole DLP, il valore è DLP. | ||||||||
Tipo di analisi |
I valori sono:
|
||||||||
Gravità | La gravità assegnata alla regola quando è stata attivata. | ||||||||
Azione soppressa* | Le azioni configurate per la regola ma soppresse. Un'azione viene soppressa se un'azione con priorità più elevata si verifica contemporaneamente e viene attivata. | ||||||||
Attivazione | Attività che ha portato all'attivazione di una regola. | ||||||||
Azione attivata | Indica l'azione intrapresa. Questo campo è vuoto se è stata attivata una regola di solo controllo. | ||||||||
IP client dell'attivatore | Indirizzo IP dell'attore che ha attivato l'azione | ||||||||
Email dell'utente che ha attivato l'azione* | Indirizzo email dell'attore che ha attivato l'azione. | ||||||||
Azione dell'utente | L'azione che l'utente stava tentando di compiere e che è stata bloccata da una regola. |
Gestire i dati sugli eventi del log
Gestire i dati delle colonne dei risultati di ricerca
Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.
- Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
- (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
- (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
Ripeti queste operazioni in base alle necessità. - (Facoltativo) Trascina i nomi delle colonne per modificarne l'ordine.
- Fai clic su Salva.
Esportare i dati dei risultati di ricerca
- Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
- Inserisci un nome fai clic su Esporta.
L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta. - Per visualizzare i dati, fai clic sul nome dell'esportazione.
L'esportazione si apre in Fogli Google.
Creare regole di reporting
Vai a Creare e gestire le regole di reporting.