Tworzenie reguł raportowania i zarządzanie nimi

Reguły raportowania mają charakter niestandardowy i umożliwiają konfigurowanie alertów na podstawie danych zdarzeń z dziennika (wcześniej nazywanych dziennikami kontrolnymi), które są wyświetlane na stronie kontroli i analizy zagrożeń.

Aby skonfigurować regułę, musisz określić jej warunki i wskazać czynności, które mają być wykonywane po ich spełnieniu. Reguła oznacza po prostu, że jeśli wystąpi X, należy automatycznie wykonać Y. Możesz na przykład skonfigurować regułę raportowania, która ostrzega, gdy użytkownik udostępni plik na Dysku w internecie. Możesz też skonfigurować regułę tak, aby otrzymywać e-maile z powiadomieniami lub alerty z Centrum alertów po jej wywołaniu.

Uwaga:

• Możliwość tworzenia i wyświetlania reguł raportowania zależy od wersji Google Workspace i uprawnień administracyjnych. Szczegółowe informacje znajdziesz w artykule Dostęp administratora do reguł raportowania i reguł związanych z aktywnością.

• Zamiast reguł raportowania administratorzy korzystający z wersji premium Google Workspace, takich jak Enterprise Plus, mogą tworzyć bardziej zaawansowane reguły związane z aktywnością w narzędziu do analizy zagrożeń. Niektórzy administratorzy wersji premium mogą tworzyć reguły raportowania, ale tylko w przypadku określonych źródeł danych. Więcej informacji znajdziesz w artykułach Dostęp administratora do reguł raportowania i reguł związanych z aktywnością oraz Tworzenie reguł związanych z aktywnością w narzędziu do analizy zagrożeń.

• Jeśli utworzysz nową regułę raportowania, alerty z Centrum alertów zostaną dla niej domyślnie włączone. Jeśli chcesz włączyć lub wyłączyć alert w przypadku dotychczasowej reguły raportowania, możesz to zrobić w Centrum alertów. Instrukcje znajdziesz w artykule Włączanie i wyłączanie alertów za pomocą reguł.

Tworzenie reguły raportowania

Reguły raportowania możesz tworzyć na stronie Reguły, na której możesz też skonfigurować maksymalnie 50 alertów.

Aby to zrobić:

1. Zaloguj się w usłudze konsoli administracyjnej Google.

   Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

2. Na stronie głównej konsoli administracyjnej kliknij Reguły, a następnie wybierz Utwórz regułę > Raportowanie.
3. Wpisz Nazwę reguły, np. Udostępnianie danych na zewnątrz.
4. Dodaj Opis, np. Powiadomienie o udostępnieniu dokumentów poza firmę.
5. Kliknij Dalej – wyświetl warunki.
6. Wybierz źródło danych, np. Zdarzenia z dziennika administratora.
7. Kliknij Dodaj filtr.
8. Wybierz jeden z atrybutów filtra, np. Użytkownik, który wykonał czynność, Typ urządzenia lub Zdarzenie.
   
   Uwaga: pełną listę atrybutów i ich opisów w przypadku poszczególnych źródeł danych znajdziesz w artykule na temat źródeł danych strony kontroli i analizy zagrożeń oraz w artykułach pomocy z listy źródeł danych.
9. Wybierz wartość filtra, np. typ zdarzenia Przeniesienie własności dokumentu lub adres e-mail użytkownika, który wykonał czynność.
   • Do atrybutu możesz dodać tylko 1 wartość. Na przykład do atrybutu Użytkownik może być przypisana tylko 1 osoba. Użyj narzędzia do definiowania warunków, aby dodać operator OR, a następnie dodaj ten sam atrybut z dodatkową wartością.
   • Do reguły możesz dodać wiele filtrów. W tym celu jeszcze raz kliknij Dodaj filtr, wybierz atrybut i wpisz wartość.
10. Kliknij Dalej – dodaj czynności.
11. Określ, czy reguła ma wyzwalać alert w Centrum alertów.
    Możesz wybrać Małą, Umiarkowaną lub Dużą wagę alertu. Możesz też wybrać opcję wysyłania e-maili z powiadomieniami: zaznacz pole Wszyscy superadministratorzy lub kliknij Dodaj odbiorców e-maila, aby po aktywowaniu reguły wysłać e-maile do wybranych administratorów.
12. Aby sprawdzić lub edytować ustawienia reguły, kliknij Dalej – sprawdź.
13. Kliknij Utwórz regułę.

Uwaga: reguły raportowania nie obsługują warunków połączonych z operatorem OR. Podczas konfigurowania reguły raportowania możesz użyć karty Narzędzie do definiowania warunków, w której filtry są przedstawiane jako warunki z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.

Strona Reguły: wyświetlanie i edytowanie reguł raportowania

Po utworzeniu reguły raportowania możesz wyświetlić jej ustawienia na stronie Reguły.

Na tej stronie zobaczysz też listę wszystkich reguł utworzonych przez administratorów w Twojej domenie. Otwórz stronę główną konsoli administracyjnej Google i kliknij Reguły.

Na stronie Reguły można też:

• filtrować listę reguł, klikając Dodaj filtr;
• wyświetlać i edytować ustawienia reguły po kliknięciu jej na liście;
• usuwać reguły;
• tworzyć nowe reguły.

Uwaga: aby tworzyć, wyświetlać lub edytować reguły raportowania, musisz mieć uprawnienie do raportowania.

Alerty e-mail

Jeśli skonfigurujesz regułę z powiadomieniami e-mail, aktywowanie reguły spowoduje wysłanie e-maili do wskazanych odbiorców. E-mail z powiadomieniem zawiera podsumowanie informacji o regule, której dotyczy alert, w tym jej nazwę, próg, dane źródłowe i inne informacje. Administratorzy, którzy otrzymali takiego e-maila z powiadomieniem, mogą kliknąć Wyświetl alert, aby otworzyć stronę Szczegóły alertu w Centrum alertów.

Powiązane artykuły

• Tworzenie reguł i zarządzanie nimi na stronie Reguły
• Tworzenie reguł związanych z aktywnością w narzędziu do analizy zagrożeń
• Dostęp administratora do reguł raportowania i reguł związanych z aktywnością