A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più
Nota: se non sono disponibili dati sugli eventi dei log utente degli ultimi sei mesi, l'opzione Eventi dei log utente potrebbe non comparire nel menu di navigazione a sinistra.
Inoltrare i dati sugli eventi dei log a Google Cloud
Puoi attivare la condivisione dei dati sugli eventi dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.
Eseguire una ricerca di eventi dei log
La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.
Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu ReportControllo e indagineEventi del log utente.
- Fai clic su Aggiungi un filtro, quindi seleziona un attributo.
- Nella finestra popup, seleziona un operatoreseleziona un valorefai clic su Applica.
- (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
- (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
- (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
- (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
- Fai clic su Cerca.
-
Nota:utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori AND/OR.
Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Fai clic su Origine dati e seleziona Eventi dei log utente.
- Fai clic su Aggiungi condizione.
Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate. - Fai clic su Attributo seleziona un'opzione.
Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito. - Seleziona un operatore
- Inserisci un valore o selezionane uno dall'elenco a discesa.
- (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
- Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina. - (Facoltativo) Per salvare la tua indagine, fai clic su Salva inserisci un titolo e una descrizionefai clic su Salva.
Nota:
- Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
- Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
Descrizioni degli attributi
Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:
Attributo | Descrizione |
---|---|
Nome del gruppo dell'attore |
Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro:
|
Unità organizzativa dell'attore | L'unità organizzativa dell'attore. |
Utente interessato | L'indirizzo email dell'utente interessato. |
Tipo di verifica* |
Il tipo di verifica utilizzata per verificare l'utente, ad esempio Password o Token di sicurezza. Nota: i tipi di verifica appena aggiunti, come Passkey, potrebbero causare incoerenze con il tipo di verifica esistente denominato Altro per i log di controllo creati prima del 30 settembre 2024. |
Data | La data e l'ora dell'evento (nel fuso orario predefinito del browser). |
Dominio* | Il dominio in cui si è verificata l'azione. |
Indirizzo di inoltro email | L'indirizzo email a cui inoltrare i messaggi di Gmail. |
Evento |
L'azione dell'evento registrata, ad esempio Registrazione per la verifica in due passaggi o Accesso sospetto. Nota: per l'evento Disconnessione, anche se l'utente ha eseguito l'accesso con tipi di accesso diversi da Password di Google, ad esempio Exchange, Riautenticazione, SAML o Sconosciuto, il tipo di accesso per gli eventi Disconnessione viene visualizzato come Password di Google. |
Indirizzo IP | L'indirizzo IP utilizzato dall'utente per l'accesso. Di solito, l'indirizzo corrisponde alla posizione fisica dell'utente, ma può anche corrispondere all'indirizzo di un server proxy o di una rete privata virtuale (VPN). |
È il secondo fattore* | Vero se l'utente ha eseguito l'accesso con l'autenticazione a due fattori. Falso se l'utente non ha eseguito l'accesso con l'autenticazione a due fattori. |
È sospetto* | Vero se il tentativo di accesso è sospetto, altrimenti Falso. Applicabile solo all'evento login_success. |
Ora accesso | La data e l'ora in cui l'utente ha eseguito l'accesso. |
Tipo di accesso |
Metodo di autenticazione utilizzato dall'utente:
|
Utente | L'indirizzo email dell'utente che ha eseguito l'azione. |
* Non puoi creare regole di reporting con questi filtri. Scopri di più sul confronto tra le regole di reporting e le regole di attività.
** Nota per gli utenti SAML che utilizzano Profilo SSO per la tua organizzazione (versione precedente di SAML): se il tentativo di accesso SAML proviene da un dispositivo o indirizzo IP sconosciuto oppure se è presente un'analisi del rischio più elevata, un accesso non riuscito con il tipo Password di Google viene registrato nell'evento del log. Questo accade anche se l'accesso SAML è andato a buon fine, perché il sistema segnala il tentativo iniziale come sospetto. Questa voce del log relativa all'accesso non riuscito è quindi seguita da un evento di accesso SAML riuscito. Nella versione precedente di SAML vengono generate due sessioni di accesso per un singolo accesso SAML. La prima sessione, spesso irrilevante, viene esclusa solo se considerata non sospetta.Nota: se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
Gestire i dati sugli eventi del log
Gestire i dati delle colonne dei risultati di ricerca
Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.
- Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
- (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
- (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
Ripeti questa operazione in base alle necessità. - (Facoltativo) Trascina i nomi delle colonne per modificarne l'ordine.
- Fai clic su Salva.
Esportare i dati dei risultati di ricerca
Puoi esportare i risultati di ricerca in Fogli Google o in un file CSV.
- Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
- Inserisci un nome fai clic su Esporta.
L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta. - Per visualizzare i dati, fai clic sul nome dell'esportazione.
L'esportazione si apre in Fogli Google.
I limiti di esportazione possono variare:
- I risultati totali dell'esportazione sono limitati a 100.000 righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).
- Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni
Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).
Per saperne di più, consulta Esportare i risultati di ricerca.
Quando sono disponibili i dati? Per quanto tempo?
Adottare azioni basate sui risultati di ricerca
- Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vedi Creare e gestire le regole di reporting.
- Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni
Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire le regole di attività.
Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni
Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vai a Adottare azioni basate sui risultati di ricerca.
Gestire le indagini
Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni
Visualizzare il proprio elenco di indaginiPer visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.
Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.
Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.
Come super amministratore, puoi fare clic su Impostazioni per:
- Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
- Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
- Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
- Attivare o disattivare l'opzione Abilita motivazione azione.
Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.
Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.
Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.