Med rapporteringsregler kan du skapa varningar baserat på logghändelsedata (kallades tidigare granskningsloggar) som visas på gransknings- och utredningssidan.
Konfigurera en regel genom att ställa in villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. En regel är helt enkelt ett sätt att säga, om x inträffar, gör automatiskt y. Du kan till exempel konfigurera en rapporteringsregel som varnar när en användare gör en Drive-fil synlig på webben. Du kan även ställa in regeln för att ta emot e-postaviseringar och/eller varningar i varningscentret när regeln aktiveras.
Obs!
-
Dina möjligheter att skapa och visa rapporteringsregler beror på din Google Workspace-utgåva och dina administrativa behörigheter. Mer information finns i Administratörsåtkomst till rapporteringsregler och aktivitetsregler.
-
I stället för rapporteringsregler kan administratörer med premiumutgåvor av Google Workspace, till exempel Enterprise Plus, skapa de mer avancerade aktivitetsreglerna från verktyget för säkerhetsutredningar. Vissa administratörer med premiumutgåvor kan skapa rapporteringsregler, men endast för specifika datakällor. Mer information finns i Administratörsåtkomst till rapporteringsregler och aktivitetsregler och Skapa aktivitetsregler med utredningsverktyget.
- Om du skapar en ny rapporteringsregel aktiveras varningar i varningscentret för regeln som standard. Om du vill aktivera eller inaktivera en varning för en befintlig rapporteringsregel kan du göra det från varningscentret. Du hittar anvisningar i Använda regler för att aktivera eller inaktivera varninigar.
Skapa en rapporteringsregel
Du kan skapa rapporteringsregler från regelsidan. Där kan du ställa in högst 50 varningar.
Gör så här:
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På startsidan för administratörskonsolen öppnar du Regler och klickar sedan på Skapa regel > Rapportering.
- Ange ett regelnamn – till exempel Extern datadelning.
- Ange en Beskrivning, till exempel Avisera om dokument delas utanför företaget.
- Klicka på Nästa: Visa villkor.
- Välj en datakälla, till exempel Administratörslogghändelser.
- Klicka på Lägg till ett filter.
- Välj ett av attributen för filtret, till exempel Aktör, Enhetstyp eller Händelse.
Obs! En fullständig lista över attribut och attributbeskrivningar för varje datakälla hittar du genom att gå till Datakällor för gransknings- och utredningssidan och välja hjälpartiklar i listan över datakällor. - Välj ett värde för filtret – till exempel typ av händelse som överför dokumentägarskap eller aktörens e-postadress.
- Du kan bara lägga till ett värde för attributet. Aktör kan till exempel bara inkludera en användare. Om du vill inkludera flera värden använder du villkorsverktyget för att lägga till en ELLER-operator. Lägg sedan till samma attribut med ytterligare värde.
- Du kan lägga till flera filter i regeln genom att klicka på Lägg till ett filter igen, välja ett attribut och ange ett värde.
- Klicka på Nästa: Lägg till åtgärder.
- Välj om du vill att den här regeln ska aktivera en varning i varningscentret.
Du kan välja allvarlighetsgraden Hög, Medel eller Låg. Du kan också välja att skicka e-postmeddelanden genom att markera rutan Alla avancerade administratörer och/eller genom att klicka på Lägg till e-postmottagare för att skicka e-postmeddelanden till utvalda administratörer när regeln aktiveras. - Om du vill granska eller redigera regelinformationen klickar du på Nästa: Granska.
- Klicka på Skapa regel.
Obs! Rapporteringsregler stöder inte villkor som är sammanfogade med ELLER-operatorn. När du skapar en rapporteringsregel kan du använda fliken Villkorsverktyg där filter återges som villkor med OCH-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
Regelsida: Visa och redigera rapporteringsreglerna
När du har skapat en rapporteringsregel kan du öppna sidan Regler för att visa regelinformationen.
På regelsidan kan du även se en lista över alla regler som har skapats av administratörer på domänen. Öppna startsidan för Googles administratörskonsol och klicka på Regler.
Du kan använda regelsidan för att göra följande:
- Filtrera listan med regler genom att klicka på Lägg till ett filter.
- Visa och redigera regelinformation genom att klicka på en av reglerna på regelsidan.
- Ta bort regler.
- Skapa nya regler.
Obs! Du måste ha rapporteringsbehörighet för att kunna skapa, visa eller redigera en rapporteringsregel.
E-postaviseringar
Om du ställer in e-postaviseringar för din regel skickas e-post till specifika mottagare när regeln aktiveras. E-postaviseringen innehåller en sammanfattning av regeln som aktiverade varningen, inklusive regelnamnet, tröskeldetaljerna, källdata med mera. Administratörer som får e-postaviseringen kan klicka på Visa varning och förflyttas då till sidan Varningsinformation i varningscentret.