Les règles de reporting sont des règles personnalisées. Elles vous permettent de configurer des alertes basées sur les données des événements de journaux (anciennement appelées journaux d'audit) affichées sur la page "Audit et enquête".
Pour configurer une règle, vous devez définir ses conditions et spécifier les actions à effectuer lorsque les conditions sont remplies. Une règle est simplement un moyen d'indiquer que si l'action X se produit, l'action Y doit automatiquement être effectuée. Vous pouvez par exemple configurer une règle de reporting pour vous avertir lorsqu'un utilisateur rend un fichier Drive visible sur le Web. Vous pouvez également la configurer pour recevoir des notifications par e-mail ou des alertes dans le Centre d'alerte lorsque la règle est déclenchée.
Remarque :
-
La possibilité de créer et d'afficher des règles de reporting dépend de votre édition Google Workspace et de vos droits d'administrateur. Pour en savoir plus, consultez Accès des administrateurs aux règles de reporting et aux activités.
-
Plutôt que de définir des règles de reporting, les administrateurs disposant d'éditions premium de Google Workspace telles qu'Enterprise Plus peuvent créer des règles d'activité plus avancées à partir de l'outil d'investigation de sécurité. Certains administrateurs disposant d'éditions premium peuvent créer des règles de reporting, mais seulement pour des sources de données spécifiques. Pour en savoir plus, consultez Accès des administrateurs aux règles de reporting et aux activités et Créer des règles d'activité à l'aide de l'outil d'investigation.
- Pour toute nouvelle règle de reporting, les alertes envoyées par le centre d'alerte sont activées par défaut. Vous pouvez activer ou désactiver une alerte pour une règle de reporting existante depuis le centre d'alerte. Pour obtenir des instructions, consultez Activer ou désactiver des alertes à l'aide de règles.
Créer une règle de reporting
Vous pouvez créer des règles reporting à partir de la page "Règles", sur laquelle vous pouvez configurer jusqu'à 50 alertes.
Procédez comme suit :
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Sur la page d'accueil de la console d'administration, accédez à Règles, puis cliquez sur Créer une règle > Rapports.
- Saisissez un nom de règle, par exemple, Partage de données externe.
- Saisissez une description, par exemple Signale si les documents sont partagés en dehors de l'entreprise.
- Cliquez sur Suivant : Afficher les conditions.
- Choisissez une source de données, par exemple Événements de journaux d'administration.
- Cliquez sur Ajouter un filtre.
- Sélectionnez l'un des attributs du filtre, par exemple Acteur, Type d'appareil ou Événement.
Remarque : Pour obtenir la liste complète des attributs et des descriptions d'attributs pour chaque source de données, consultez Sources de données pour la page "Audit et enquête", puis choisissez des articles d'aide dans la liste des sources de données. - Choisissez une valeur de filtre, par exemple le type d'événement tel que Transfert de propriété du document, ou l'adresse e-mail de l'acteur.
- Vous ne pouvez ajouter qu'une seule valeur pour l'attribut. Par exemple, "Acteur" ne peut inclure qu'un seul utilisateur. Pour inclure plusieurs valeurs, utilisez le générateur de conditions pour ajouter un opérateur OU, puis ajoutez le même attribut avec une valeur supplémentaire.
- Vous pouvez ajouter plusieurs filtres à la règle en cliquant à nouveau sur Ajouter un filtre, en sélectionnant un attribut et en saisissant une valeur.
- Cliquez sur Suivant : Ajouter des actions.
- Indiquez si vous souhaitez ou non que cette règle déclenche une alerte dans le centre d'alerte.
Vous pouvez définir la sévérité sur "Élevée", "Moyenne" ou "Faible". Vous pouvez également choisir d'envoyer des notifications par e-mail en cochant l'option Tous les super-administrateurs, ou en cliquant sur Ajouter des destinataires afin d'envoyer des e-mails à certains administrateurs lorsque la règle est déclenchée. - Pour vérifier ou modifier les détails de la règle, cliquez sur Suivant : Relire.
- Cliquez sur Créer une règle.
Remarque : Les règles de reporting n'acceptent pas les conditions jointes avec l'opérateur OU. Lorsque vous configurez une règle de reporting, vous pouvez utiliser l'onglet Générateur de conditions, où les filtres sont représentés par des conditions avec des opérateurs ET. Vous pouvez également utiliser l'onglet Filtre pour inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
Page "Règles" : afficher et modifier vos règles de reporting
Une fois la règle créée, vous pouvez accéder à la page Règles pour afficher les détails de la règle.
Vous pouvez également y consulter la liste de toutes les règles créées par les administrateurs de votre domaine. Accédez à la page d'accueil de la console d'administration Google, puis cliquez sur Règles.
La page "Règles" permet d'effectuer les actions suivantes :
- Filtrer la liste des règles en cliquant sur Ajouter un filtre
- Afficher et modifier les détails d'une règle en cliquant sur l'une des règles répertoriées sur la page "Règles"
- Supprimer des règles
- Créer des règles
Remarque : Pour créer, afficher ou modifier une règle de reporting, vous devez disposer du droit "Rapports".
Alertes par e-mail
Si vous configurez des notifications par e-mail pour votre règle, des e-mails sont envoyés aux destinataires spécifiés lorsque la règle est déclenchée. Les notifications par e-mail contiennent un résumé de la règle ayant déclenché l'alerte, comprenant entre autres le nom de la règle, les informations relatives au seuil et la source de données. Les administrateurs recevant la notification par e-mail peuvent cliquer sur Afficher les alertes pour accéder à la page "Détails de l'alerte" dans le centre d'alerte.