W zależności od używanej wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji
Wraz z wyodrębnionym źródłem danych utworzone zostaje odpowiednie zdarzenie eksportu źródła danych.
Aby dowiedzieć się więcej o innych usługach i czynnościach, takich jak Dysk Google czy aktywność użytkowników, zapoznaj się z listą zdarzeń z dziennika.
Uwaga: źródło danych zdarzeń z dziennika Looker Studio zawiera dane z ostatnich 6 miesięcy. Jeśli chcesz zachować je na dłużej, możesz je wyeksportować.
Przekazywanie danych zdarzenia z dziennika do Google Cloud
Możesz wyrazić zgodę na udostępnianie danych zdarzeń z dziennika usłudze Google Cloud. Jeśli włączysz udostępnianie, dane będą przekazywane usłudze Cloud Logging, w której możesz przeglądać logi i tworzyć dotyczące ich zapytania oraz decydować, jak chcesz kierować ruchem logów i jak je przechowywać.
Przeprowadzanie wyszukiwania zdarzeń z dziennika
Możliwość przeprowadzania wyszukiwania zależy od wersji Google, Twoich uprawnień administracyjnych i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.
Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej kliknij Menu Raportowanie Kontrola i analiza zagrożeń Zdarzenia z dziennika Looker Studio.
- Kliknij Dodaj filtr, a następnie wybierz atrybut.
- W wyskakującym okienku wybierz operator wybierz wartość kliknij Zastosuj.
- (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- Kliknij Szukaj.
-
Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.
Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz menu Zabezpieczenia Centrum bezpieczeństwa Narzędzie do analizy zagrożeń.
- Kliknij Źródło danych i wybierz Zdarzenia z dziennika narzędzia Looker Studio.
- Kliknij Dodaj warunek.
Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych. - Kliknij Atrybut wybierz opcję.
Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów poniżej. - Wybierz operator.
- Wpisz wartość lub wybierz ją z listy.
- (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz kroki 4–7.
- Kliknij Szukaj.
W narzędziu do analizy zagrożeń wyniki wyszukiwania są wyświetlane w tabeli u dołu strony. - (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz wpisz tytuł i opis kliknij Zapisz.
Uwaga:
- Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
- Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą stara_nazwa@example.com.
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
Atrybut | Opis |
---|---|
Użytkownik, który wykonał czynność | Adres e-mail użytkownika, który wykonał aktywność. |
Nazwa grupy |
Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania:
|
Jednostka organizacyjna użytkownika, który wykonał czynność | Jednostka organizacyjna użytkownika, który wykonał czynność |
Identyfikator zasobu | Identyfikator zasobu, w którego przypadku wystąpiła zarejestrowana czynność |
Nazwa zasobu | Nazwa zasobu, który został wyświetlony lub zmieniony |
Typ zasobu | Typ zasobu, w którego przypadku wystąpiła zarejestrowana czynność |
Typ oprogramowania sprzęgającego | Typ oprogramowania sprzęgającego używanego do pobierania danych w przypadku zasobu źródła danych |
Bieżąca wartość |
Jeśli ustawienia ulegną zmianie, w tym polu pojawi się obecna wartość ustawień, np. Może edytować, Może wyświetlać, Prywatny, Publiczny w internecie lub Obecny identyfikator obszaru roboczego zespołu. Uwaga: ten atrybut zastąpi nową wartość. |
Typ eksportu danych | Typ lub format eksportu danych w Looker Studio. Wpisz jedną z tych wartości:
|
Data | Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce). |
Identyfikator treści dystrybucyjnej | Identyfikator harmonogramu lub alertu |
Nazwa treści dystrybucyjnej | Nazwa harmonogramu lub alertu |
Adres e-mail właściciela treści dystrybucyjnej | Adres e-mail właściciela harmonogramu lub alertu. Właściciel harmonogramu to osoba, która jako ostatnio wprowadziła w nim zmiany. Właścicielem alertu jest jego twórca. |
Typ treści dystrybucyjnej | Typ rozpowszechnianych treści, np. harmonogram lub alert. |
Identyfikator raportu, w którym umieszczono źródło danych | Identyfikator raportu, w którym umieszczono źródło danych |
Zdarzenie | Zarejestrowane zdarzenie, np. Tworzenie, Eksportowanie danych lub Przywrócenie |
Adres IP | Adres IP powiązany z zarejestrowaną czynnością. Adres IP może odzwierciedlać fizyczną lokalizację użytkownika lub wskazywać inne miejsce, na przykład serwer proxy lub adres sieci VPN. |
Nowa wartość | Jeśli ustawienia ulegną zmianie, w tym polu pojawi się nowa wartość ustawień, np. Może edytować, Może wyświetlać, Prywatny lub Publiczny w internecie |
Stara wartość | Jeśli ustawienia ulegną zmianie, w tym polu pojawi się stara wartość, np. Może edytować, Może wyświetlać, Prywatny lub Publiczny w internecie |
właściciel, | Właściciel zasobu |
Identyfikator nadrzędnego obszaru roboczego | Obszar roboczy zespołu zasobu. |
Poprzednia wartość |
Jeśli ustawienia ulegną zmianie, w tym polu pojawi się poprzednia wartość ustawień, np. Może edytować, Może wyświetlać, Prywatny, Publiczny w internecie lub Obecny identyfikator obszaru roboczego zespołu. Uwaga: ten atrybut zastąpi starą wartość. |
Wcześniejsza widoczność | Widoczność zasobu Looker Studio przed aktywnością |
Identyfikator projektu | Identyfikator projektu Google Cloud powiązany z włączeniem Gemini w narzędziu Looker. |
Nazwa ustawienia | Nazwa ustawienia Gemini w narzędziu Looker. Wybierz jedną z tych wartości:
|
Użytkownik docelowy | Podczas zmiany dostępu użytkownika to pole zawiera docelowych użytkowników lub docelowe grupy, do których odnosi się dana zmiana |
Domena docelowa | Jeśli widoczność linków ulegnie zmianie, to pole będzie zawierać domeny, które mają dostęp do linku. Wpisz na przykład domenę swojej organizacji, jeśli link jest udostępniony w Twojej domenie, lub wpisz wszystkie, jeśli link jest publiczny |
Widoczność | Widoczność zasobu Looker Studio powiązanego z aktywnością |
Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
Eksportowanie danych zdarzenia z dziennika Looker Studio do BigQuery
Jeśli to dozwolone, możesz wyeksportować dane zdarzenia z dziennika Looker Studio do Google BigQuery. W tym celu:
Dowiedz się więcej o dziennikach raportów i BigQuery.
Konfigurowanie alertów e-mail
Możesz skonfigurować alerty e-mail, aby z łatwością śledzić określone działania Looker Studio, na przykład poprzez otrzymywanie alertów za każdym razem, gdy ktoś utworzy lub usunie raport.
- Otwórz zdarzenia z dziennika w sposób opisany powyżej w sekcji Uzyskiwanie dostępu do danych zdarzenia z dziennika Looker Studio.
- Kliknij Dodaj filtr.
- Wpisz lub wybierz kryteria filtrowania i kliknij Utwórz alert.
- Wpisz nazwę alertu.
- (Opcjonalnie) Aby wysyłać alerty do wszystkich superadministratorów, w sekcji Adresaci kliknij Włącz.
- Wpisz adresy e-mail odbiorców alertu.
- Kliknij Utwórz.
Aby edytować alerty niestandardowe, przeczytaj artykuł o alertach e-mail dla administratorów.
Zarządzanie danymi zdarzenia z dziennika
Zarządzanie danymi w kolumnie wyników wyszukiwania
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
- (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
- (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół i wybierz kolumnę danych.
W razie potrzeby powtórz tę czynność. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
- Kliknij Zapisz.
Eksportowanie danych wyników wyszukiwania
Wyniki wyszukiwania możesz wyeksportować do Arkuszy Google lub do pliku CSV.
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.
Limity eksportu różnią się od siebie:
- Limit liczby eksportowanych wyników wynosi 100 tys. wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 10 tys. wierszy.
- Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji
Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 10 tys. wierszy.
Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.
Kiedy i jak długo dane są dostępne?
Podejmowanie działań na podstawie wyników wyszukiwania
- Korzystając z reguł raportowania, możesz skonfigurować alerty na podstawie danych zdarzenia z dziennika. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
- Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji
Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Szczegółowe informacje i instrukcje znajdziesz w artykule o tworzeniu reguł związanych z aktywnością i zarządzaniu nimi.
Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji
Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.
Zarządzanie analizami zagrożeń
Ta funkcja jest dostępna w tych wersjach: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Porównanie wersji
Wyświetlanie listy szablonów analizy zagrożeńAby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele szablonów analizy zagrożeń oraz daty ostatniej modyfikacji.
Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok danego szablonu analizy zagrożeń i kliknij Czynności.
Uwaga: bezpośrednio nad listą szablonów analizy zagrożeń w sekcji Szybki dostęp możesz wyświetlić ostatnio zapisane szablony analizy zagrożeń.
Jako superadministrator kliknij Ustawienia , aby:
- zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
- Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
- Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
- Włącz lub wyłącz opcję Włącz uzasadnianie działań.
Odpowiednie informacje i instrukcje znajdziesz w artykule na temat konfigurowania ustawień analizy zagrożeń.
Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.
Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.
Powiązane artykuły
Powiązane artykuły w Centrum bezpieczeństwa
- Rozpoczynanie analizy zagrożeń na podstawie wykresu w panelu
- Tworzenie niestandardowego wykresu na podstawie analizy zagrożeń
- Rozpoczynanie analizy zagrożeń w Centrum alertów
- Sprawdzanie zgłoszeń dotyczących złośliwych e-maili
- Analizowanie udostępniania plików
- Analizowanie informacji o użytkowniku na podstawie różnych źródeł danych