Zdarzenia z dziennika urządzenia

Strona kontroli i analizy zagrożeń: sprawdzanie aktywności na urządzeniach należących do organizacji

Ta funkcja jest dostępna w Cloud Identity Premium. Porównanie wersji

Strona dziennika kontrolnego została zastąpiona nową stroną kontroli i analizy zagrożeń. Więcej informacji o tej zmianie znajdziesz w artykule o nowościach w Google Workspace, w którym omawiamy ulepszone funkcje kontroli i analizy zagrożeń.

Na stronie kontroli i analizy zagrożeń możesz przeprowadzać wyszukiwania związane ze zdarzeniami z dziennika urządzenia. Za pomocą tego dziennika możesz wyświetlić rejestr działań na komputerach, urządzeniach mobilnych i inteligentnych urządzeniach domowych, które są używane do uzyskiwania dostępu do danych Twojej organizacji. Możesz na przykład sprawdzić, kiedy dany użytkownik dodał swoje konto na urządzeniu, lub zobaczyć, czy hasło do urządzenia spełnia wymagania zasad dotyczących haseł. Dodatkowo możesz skonfigurować alert, aby otrzymać powiadomienie, gdy wystąpi określone działanie.

Pełną listę usług i działań, które możesz sprawdzić (takich jak Dysk Google czy aktywność użytkowników) znajdziesz w artykule Informacje o narzędziu do kontroli i analizy zagrożeń.

Otwieranie strony kontroli i analizy zagrożeń

Zanim zaczniesz

Aby można było sprawdzić wszystkie zdarzenia kontroli dotyczące urządzeń mobilnych, urządzenia te muszą być zarządzane za pomocą funkcji zaawansowanego zarządzania urządzeniami.
Aby można było zobaczyć zmiany w aplikacjach na urządzeniach z Androidem, musisz włączyć kontrolę aplikacji.
Ta funkcja nie udostępnia informacji o działaniach dotyczących urządzeń, które synchronizują firmowe dane za pomocą Google Sync.
Jeśli przejdziesz na wersję, która nie obsługuje dziennika kontrolnego, dziennik ten przestanie gromadzić dane dotyczące nowych zdarzeń. Stare dane wciąż jednak będą dostępne dla administratorów.

Uzyskiwanie dostępu do danych zdarzeń z dziennika urządzenia

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
Po lewej stronie kliknij Raportowanie Kontrola i analiza zagrożeń Zdarzenia z dziennika urządzenia.

Filtrowanie danych

Otwórz zdarzenia z dziennika w sposób opisany powyżej w sekcji Uzyskiwanie dostępu do danych zdarzeń z dziennika urządzenia.
Kliknij Dodaj filtr, a następnie wybierz atrybut.
W wyskakującym okienku wybierz operator wybierz wartość kliknij Zastosuj.
(Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania:
1. Kliknij Dodaj filtr i powtórz krok 3.
2. (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
Kliknij Szukaj.

Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut	Opis
Stan konta	Wskazuje, czy konto jest zarejestrowane czy niezarejestrowanie.
Nazwa grupy	Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania: Kliknij Nazwa grupy. Kliknij Grupy filtrowania. Pojawi się strona Grupy filtrowania. Kliknij Dodawanie grup. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę . Kliknij Zapisz.
Jednostka organizacyjna użytkownika, który wykonał czynność	Jednostka organizacyjna użytkownika, który wykonał czynność.
Identyfikator aplikacji	Identyfikator aplikacji.
Identyfikator SHA-256 aplikacji	W przypadku zdarzeń związanych z aplikacjami jest to identyfikator SHA-256 pakietu aplikacji (tylko urządzenia z Androidem).
Stan aplikacji	Określa, czy aplikacja jest zainstalowana, odinstalowana lub zaktualizowana.
Data	Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Stan zgodności urządzenia z zasadami	Wskazuje, czy urządzenie jest zgodne z zasadami organizacji Urządzenie jest oznaczane jako niezgodne, jeśli: narusza zastosowane ustawienia haseł lub zasady szyfrowania; nie ma zainstalowanej najnowszej wersji aplikacji Device Policy; jest niezgodne z ustawieniami zabezpieczeń; nie ma profilu służbowego, który powinien się na nim znajdować; nie działa w trybie właściciela urządzenia, który powinien być na nim włączony; zostało zablokowane przez administratora; nie jest synchronizowane, ponieważ administrator wyłączył synchronizację. Przykład: urządzenie Nexus 6P użytkownika jest niezgodne ze skonfigurowanymi zasadami, ponieważ nie przestrzega zasad dotyczących haseł.
Zmiana stanu przejęcia urządzenia	Wskazuje, czy urządzenie zostało przejęte. Naruszenie zabezpieczeń to rootowanie lub jailbreak urządzenia – są to procesy usuwające ograniczenia. Takie zhakowane urządzenia stanowią potencjalne zagrożenie bezpieczeństwa. System rejestruje wpis za każdym razem, gdy zabezpieczenia urządzenia użytkownika zostają naruszone lub przestają być naruszone. Przykład: nazwa-użytkownika Nexus 5 is compromised (Urządzenie Nexus 5 użytkownika nazwa-użytkownika zostało zhakowane).
Identyfikator urządzenia	Identyfikator urządzenia, na którym wystąpiło zdarzenie.
Model urządzenia	Model urządzenia.
Właściciel urządzenia	Właściciel urządzenia.
Własność urządzenia	Wskazuje, czy zmieniła się własność urządzenia. Na przykład urządzenie prywatne stało się urządzeniem należącym do firmy po zaimportowaniu jego szczegółów w konsoli administracyjnej. Ta kontrola zachodzi natychmiast po dodaniu urządzenia należącego do firmy w konsoli administracyjnej. Jeśli urządzenie należące do firmy zostanie usunięte z konsoli administracyjnej, kontrola zajdzie podczas następnej synchronizacji (po jego ponownym zarejestrowaniu w funkcji zarządzania). Przykład: Własność urządzenia Nexus 5 użytkownika zmieniła się na urządzenie należące do firmy, nowy identyfikator to abcd1234.
Właściwość urządzenia	Informacje o urządzeniu, takie jak Model urządzenia, Numer seryjny lub Adres MAC sieci Wi-Fi
Ustawienie urządzenia	Użytkownik urządzenia zmienił na swoim urządzeniu ustawienie opcji programisty, nieznanych źródeł, debugowania USB lub weryfikowania aplikacji. To zdarzenie jest rejestrowane podczas następnej synchronizacji urządzenia. Przykład: Verify Apps changed from off to on by nazwa-użytkownika on Nexus 6P (Użytkownik nazwa-użytkownika zmienił ustawienie Weryfikowanie aplikacji z wyłączone na włączone na urządzeniu Nexus 6P).
Typ urządzenia	Typ urządzenia, na którym wystąpiło zdarzenie, np. urządzenie z Androidem lub Apple iOS.
Domena*	Domena, w której wykonano czynność
Zdarzenie	Zarejestrowane zdarzenie, na przykład aktualizacja systemu operacyjnego urządzenia lub zdarzenie synchronizacji urządzenia.
Nieudane próby podania hasła*	Liczba nieudanych prób odblokowania urządzenia przez użytkownika. Zdarzenie jest generowane tylko w przypadku, gdy użytkownik wykona więcej niż 5 nieudanych prób odblokowania ekranu. Przykład: 5 nieudanych prób odblokowania urządzenia Nexus 7 użytkownika
Identyfikator dostawcy iOS	Identyfikator dostawcy iOS.
Nowy identyfikator urządzenia	Identyfikator nowego urządzenia.
Właściwość systemu operacyjnego	Informacje o systemie operacyjnym, takie jak numer kompilacji, wersja systemu operacyjnego lub poprawka zabezpieczeń.
Uprawnienia do rejestracji	Rola użytkownika na urządzeniu, na przykład właściciel urządzenia lub administrator urządzenia.
Identyfikator zasobu	Unikalny identyfikator urządzenia.
Numer seryjny	Numer seryjny urządzenia. Aby wyświetlić numery seryjne komputerów: Zainstaluj rozszerzenie do weryfikacji punktów końcowych. Szczegółowe informacje znajdziesz w sekcji Krok 2. Zainstaluj rozszerzenie do weryfikacji punktów końcowych. Zarejestruj urządzenia z ChromeOS w swojej organizacji. Szczegółowe informacje znajdziesz w artykule Rejestrowanie urządzeń z ChromeOS.
Adres e-mail użytkownika	Adres e-mail użytkownika urządzenia.

* Nie możesz utworzyć reguł raportowania z tymi filtrami. Dowiedz się więcej o regułach raportowania i regułach związanych z aktywnością.

Zarządzanie danymi zdarzenia z dziennika

Zarządzanie danymi w kolumnie wyników wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
(Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
(Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół i wybierz kolumnę danych.
Powtórz w razie potrzeby.
(Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
Kliknij Zapisz.

Eksportowanie danych wyników wyszukiwania

U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.

tworzenie reguł raportowania.

Otwórz artykuł Tworzenie i wyświetlanie reguł raportowania oraz konfigurowanie alertów.