Jeśli jesteś administratorem w organizacji, na stronie kontroli i analizy zagrożeń możesz przeprowadzać wyszukiwania związane ze zdarzeniami w dzienniku reguł. Za pomocą tego dziennika możesz wyświetlić rejestr czynności, aby sprawdzić próby udostępnienia poufnych danych przez użytkownika. Możesz na przykład przeglądać zdarzenia wywołane zdarzeniami naruszenia reguł zapobiegania utracie danych (DLP). Wpisy pojawiają się zwykle w ciągu godziny od wykonania czynności przez użytkownika.
Zdarzenia w dzienniku reguł uwzględniają też listę typów danych związanych z ochroną danych przed zagrożeniami BeyondCorp.
Pełną listę usług i działań, które możesz sprawdzić (takich jak Dysk Google czy aktywność użytkowników) znajdziesz w artykule Informacje o narzędziu do kontroli i analizy zagrożeń.
Otwieranie strony kontroli i analizy zagrożeń
Uzyskiwanie dostępu do danych zdarzenia w dzienniku reguł
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu RaportowanieKontrola i analiza zagrożeńZdarzenia w dzienniku reguł.
Filtrowanie danych
- Otwórz zdarzenia z dziennika w sposób opisany powyżej w sekcji Uzyskiwanie dostępu do danych zdarzenia w dzienniku reguł.
- Kliknij Dodaj filtr, a następnie wybierz atrybut.
- W wyskakującym okienku wybierz operator wybierz wartość kliknij Zastosuj.
-
(Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania:
- Kliknij Dodaj filtr i powtórz krok 3.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- Kliknij Szukaj.
Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
Atrybut | Opis | ||||||||
---|---|---|---|---|---|---|---|---|---|
Poziom dostępu | Poziomy dostępu wybrane jako warunki dostępu zależnego od kontekstu tej reguły. Poziomy dostępu mają zastosowanie tylko do danych Chrome. Szczegółowe informacje znajdziesz w artykule Tworzenie poziomów dostępu zależnego od kontekstu. | ||||||||
Użytkownik, który wykonał czynność | Adres e-mail użytkownika, który wykonał czynność. Wartością może być Anonimowy użytkownik, jeśli zdarzenia są wynikiem ponownego skanowania. | ||||||||
Nazwa grupy |
Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania:
|
||||||||
Jednostka organizacyjna użytkownika, który wykonał czynność | Jednostka organizacyjna użytkownika, który wykonał czynność | ||||||||
Zablokowani odbiorcy | Adresaci, którzy zostali zablokowani przez aktywowaną regułę | ||||||||
Działanie warunkowe | Lista działań, które mogą zostać zainicjowane, kiedy użytkownik uzyska dostęp, w zależności od skonfigurowanych dla reguły warunków zależnych od kontekstu. | ||||||||
Identyfikator konferencji | Identyfikator rozmowy wideo, która została poddana działaniu na skutek wyzwolenia zasady | ||||||||
Identyfikator kontenera | Identyfikator kontenera nadrzędnego, do którego należy zasób | ||||||||
Typ kontenera | Typ kontenera nadrzędnego, do którego należy zasób, na przykład Pokój czatu lub Czat grupowy na potrzeby wiadomości bądź załączników na czacie. | ||||||||
Źródło danych | Aplikacja, z której pochodzi zasób. | ||||||||
Data | Data i godzina wystąpienia zdarzenia | ||||||||
Identyfikator wzorca do wykrywania treści | Identyfikator pasującego wzorca do wykrywania treści | ||||||||
Nazwa wzorca do wykrywania treści | Nazwa pasującego wzorca do wykrywania treści zdefiniowanego przez administratorów | ||||||||
Identyfikator urządzenia | Identyfikator urządzenia, na którym uruchomiono działanie. Ten typ danych dotyczy Chrome Enterprise Premium threat and data protection. | ||||||||
Typ urządzenia | Typ urządzenia, do którego odwołuje się identyfikator urządzenia. Ten typ danych dotyczy Chrome Enterprise Premium threat and data protection. | ||||||||
Zdarzenie | Działanie zarejestrowanego zdarzenia.
* Fragment „Działanie ukończone” w tych nazwach zdarzeń zostanie wycofany. |
||||||||
Zawiera treści o charakterze kontrowersyjnym | W przypadku uruchomionych reguł DLP zawierających wykryte i zarejestrowane treści poufne wartość to True (Prawda). | ||||||||
Odbiorca* | Osoby, które otrzymały udostępniony zasób. | ||||||||
Liczba pominiętych odbiorców* | Liczba adresatów zasobu pominięta z powodu przekroczenia limitu | ||||||||
Identyfikator zasobu | Zmodyfikowany obiekt. W zakresie reguł DLP:
|
||||||||
Właściciel zasobu | Użytkownik będący właścicielem zasobu, który został przeskanowany i do którego zastosowano działanie. | ||||||||
Tytuł zasobu | Tytuł zmodyfikowanego zasobu. W przypadku DLP jest to tytuł dokumentu. | ||||||||
Typ zasobu | W przypadku DLP zasobem jest Dokument. W przypadku DLP dla Google Chat zasobem jest wiadomość w Google Chat lub załącznik w Google Chat. | ||||||||
Identyfikator reguły | Identyfikator reguły, która wywołała działanie | ||||||||
Nazwa reguły | Nazw reguły podana przez administratora w chwili jej utworzenia. | ||||||||
Typ reguły | W przypadku reguł DLP wartość to DLP. | ||||||||
Typ skanowania |
Wartości to:
|
||||||||
Waga | Waga przypisana regule, gdy została uruchomiona. | ||||||||
Pominięte działanie* | Działania skonfigurowane w regule, które zostały pominięte. Działanie jest pomijane, gdy w tym samym czasie wywoływane jest działanie o wyższym priorytecie. | ||||||||
Aktywator | Działanie, które doprowadziło do uruchomienia reguły | ||||||||
Wywoływane działanie | Podane są podjęte działania. Nie ma wartości, jeśli uruchomiona została reguła służąca tylko do kontroli. | ||||||||
Adres IP klienta aktywatora | Adres IP użytkownika, który wywołał działanie | ||||||||
Adres e-mail użytkownika, który wywołał regułę* | Adres e-mail użytkownika, który wywołał działanie | ||||||||
Działanie użytkownika | Działanie, które próbował wykonać użytkownik i które zostało zablokowane przez regułę |
Zarządzanie danymi zdarzenia z dziennika
Zarządzanie danymi w kolumnie wyników wyszukiwania
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
- (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
- (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół i wybierz kolumnę danych.
Powtórz w razie potrzeby. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
- Kliknij Zapisz.
Eksportowanie danych wyników wyszukiwania
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.
tworzenie reguł raportowania.
Otwórz artykuł Tworzenie i wyświetlanie reguł raportowania oraz konfigurowanie alertów.
Kiedy i jak długo dane są dostępne?
Przeczytaj artykuł Czas przechowywania danych i opóźnienia.
Używanie zdarzeń z dziennika reguł do analizowania naruszeń reguł DLP.
Jako administrator możesz używać fragmentów zapobiegania utracie danych (DLP), aby sprawdzić, czy naruszenie reguły DLP jest faktycznym incydentem czy nieprawdziwym incydentem. Szczegółowe informacje znajdziesz w artykule poświęconym wyświetlaniu treści, które wyzwalają reguły DLP (wersja beta).