Créer et gérer des règles d'activité

Outil d'investigation de sécurité : configurer des alertes et appliquer des actions

Afin de prévenir, détecter et résoudre les problèmes de sécurité plus rapidement et plus efficacement, vous pouvez configurer des alertes et automatiser les actions de l'outil d'investigation en créant des règles d'activité

Pour configurer une règle, vous devez définir ses conditions et spécifier les actions à effectuer lorsque les conditions sont remplies. Une règle est simplement un moyen d'indiquer que si l'action X se produit, l'action Y doit automatiquement être effectuée.

En tant qu'administrateur, vous pouvez créer une règle d'activité qui vous avertit ou déclenche des actions en fonction de la recherche que vous avez configurée dans l'outil d'investigation. Une fois la règle d'activité configurée, Google effectuera régulièrement la recherche spécifiée dans la règle. Si le nombre de résultats renvoyés par cette recherche dépasse le seuil que vous avez défini, Google déclenchera les actions que vous avez spécifiées. Vous pouvez par exemple configurer une règle pour déclencher l'envoi de notifications par e-mail à certains administrateurs si les documents Drive sont partagés en dehors de votre entreprise.

Accès administrateur aux règles d'activité

Votre capacité à créer et à afficher des règles d'activité dépend de votre édition Google Workspace, de vos droits d'administrateur et de la source de données. Pour en savoir plus, consultez Accès des administrateurs aux règles de reporting et aux activités.

Consignes importantes pour la création de règles d'activité

  • Vous pouvez uniquement créer des règles d'activité en fonction des sources de données des événements de journaux (des journaux Gmail ou de l'appareil, par exemple). Vous ne pouvez pas créer de règles d'activité basées sur des sources indiquant l'état actuel des données, comme les navigateurs Chrome, les appareils, les messages Gmail et les utilisateurs.
  • Les sources de données disponibles varient en fonction de votre édition Google Workspace. Pour en savoir plus, consultez Personnaliser les recherches dans l'outil d'investigation.
  • Vous devez ajouter au moins un attribut d'événement à la recherche.
  • Vous pouvez inclure un opérateur "OR" à l'organisation racine uniquement si vous incluez une condition "Événement" à chaque chemin de condition.
  • Vous ne pouvez ajouter qu'une seule valeur pour l'attribut. Par exemple, "Acteur" ne peut inclure qu'un seul utilisateur. Pour inclure plusieurs valeurs, utilisez le générateur de conditions pour ajouter un opérateur OU, puis ajoutez le même attribut avec une valeur supplémentaire.
  • Vous ne pouvez pas utiliser de filtres de date pour les règles d'activité, car elles sont évaluées en continu.
  • Vous devez ajouter au moins une action ou une alerte à la règle.
  • Les règles d'activité étant basées sur les événements de journal, elles se déclenchent après la survenue de l'événement. Par conséquent, elles ne sont pas adaptées au blocage ou au partage d'un document, ni à l'envoi d'e-mails.

Fonctionnement des seuils des règles

Lorsque vous définissez un seuil pour une règle, il est appliqué de manière cumulative à toutes les actions des utilisateurs, et non par utilisateur. Par exemple, imaginons que vous créez une règle pour suspendre les comptes utilisateur pour lesquels cinq tentatives de connexion ont échoué en l'espace d'une heure. Le seuil est atteint s'il y a cinq tentatives de connexion infructueuses pour un ou plusieurs utilisateurs en une heure. Dans ce cas, tous les utilisateurs pour lesquels au moins une tentative de connexion a échoué sont suspendus.

Créer une règle d'activité

Vous pouvez créer une règle d'activité à l'aide de l'outil d'investigation de sécurité ou de la page "Règles". 

Procédez comme suit :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité > Outil d'investigation, puis cliquez sur Créer une règle d'activité.

    —OU—

    Sur la page d'accueil de la console d'administration, accédez à Règles. Cliquez ensuite sur Créer une règle > Activité.
     
  3. Saisissez un nom de règle, par exemple, Partage de données externe.
  4. Saisissez une description, par exemple Signale si les documents sont partagés en dehors de l'entreprise.
  5. Cliquez sur Suivant : Afficher les conditions.
  6. Choisissez une source de données pour la règle, par exemple Événements de journaux d'administration.

    Remarque : La disponibilité des sources de données varie en fonction de votre édition Google Workspace et de vos droits d'administrateur. Pour en savoir plus, consultez Accès des administrateurs aux règles de reporting et aux activités et Sources de données et conditions dans l'outil d'investigation
     
  7. Configurez une ou plusieurs conditions pour la règle. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur

    Par exemple, pour configurer une condition indiquant que l'événement est un transfert de propriété du document, choisissez Événement comme attribut, sélectionnez Est comme opérateur, puis Paramètres du document > Transférer la propriété du document comme valeur. 

    Remarque : Événement est une condition obligatoire. Pour en savoir plus sur les conditions disponibles pour chaque source de données, consultez Sources de données et conditions dans l'outil d'investigation.
     
  8. Cliquez sur Suivant : Ajouter des actions.
    Remarque : Lorsque vous créez une règle d'activité, vous ne pouvez pas ajouter d'actions pour les événements de journaux Drive.
  9. Définissez le délai et le seuil de la règle. Par exemple, vous pouvez configurer le seuil Toutes les 24 heures, lorsque le montant est supérieur à 100. Vous indiquez ainsi à cette règle de se déclencher une seule fois toutes les 24 heures si votre recherche renvoie plus de 100 résultats. 
  10. Sélectionnez une action à appliquer à la règle, par exemple pour suspendre des comptes utilisateur ou forcer la modification d'un mot de passe.
  11. Indiquez si vous souhaitez ou non que cette règle déclenche une alerte dans le centre d'alerte.
    • Définissez la sévérité sur "Élevée", "Moyenne" ou "Faible".
    • Si vous décidez de déclencher une alerte dans le centre d'alerte, vous pouvez également envoyer des notifications par e-mail en cochant l'option Tous les super-administrateurs et/ou en cliquant sur Ajouter des destinataires d'e-mails pour envoyer des e-mails à certains administrateurs lorsque la règle est déclenchée.
  12. Cliquez sur Suivant : Relire.
    Cette page vous permet de vérifier toutes les informations concernant la règle et d'apporter les modifications nécessaires, le cas échéant, avant de la créer.
  13. Vérifiez l'état de la règle
    Lors de la création d'une règle d'activité, celle-ci est définie sur Actif par défaut, ce qui signifie que le système collecte les journaux, et que la règle est appliquée. Vous avez également la possibilité de définir l'état de la règle sur Contrôler, ce qui vous permet de consulter les journaux avant d'appliquer la règle. Vous pourrez ensuite définir la règle sur Inactif, ce qui signifie que le système ne collecte plus de journaux et que la règle n'est pas appliquée. 
  14. Cliquez sur Créer une règle.

Remarque : Lors de la configuration d'une règle d'activité, vous pouvez utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des opérateurs "AND/OR". Vous pouvez également utiliser l'onglet Filtre pour inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.

Page "Règles" : afficher et modifier vos règles d'activité

Une fois que vous avez créé une règle d'activité, vous pouvez accéder à la page Règles pour afficher ses détails et son champ d'application, ses conditions et les actions déclenchées lorsque les seuils sont atteints. 

Vous pouvez également y consulter la liste de toutes les règles créées par les administrateurs de votre domaine. Accédez à la page d'accueil de la console d'administration Google, puis cliquez sur Règles.

À partir de la page "Règles", les administrateurs de votre domaine peuvent afficher les règles créées par d'autres administrateurs, en fonction de la source de données de la règle et des droits de chaque administrateur. Par exemple, un administrateur peut disposer de droits de consultation des événements de journaux Drive, mais pas des événements de journaux Gmail. Il ne peut alors consulter aucune règle basée sur les événements de journaux Gmail.

La page "Règles" permet d'effectuer les actions suivantes :

  • Filtrer la liste des règles en cliquant sur Ajouter un filtre 
  • Afficher et modifier les détails d'une règle en cliquant sur l'une des règles répertoriées sur la page "Règles"
  • Supprimer des règles
  • Créer des règles
  • Cliquez sur Examiner pour ouvrir l'outil d'investigation et afficher les données issues des événements de journaux des règles.

Alertes par e-mail

Si vous avez configuré des notifications par e-mail pour votre règle, la règle d'activité n'envoie qu'un seul e-mail de notification par période de seuil lors du premier déclenchement de la règle. Aucune notification n'est envoyée les autres fois où elle est déclenchée. Les notifications par e-mail contiennent un résumé de la règle ayant déclenché l'alerte, comprenant entre autres le nom de la règle, les informations relatives au seuil et la source de données. Les administrateurs recevant la notification par e-mail peuvent cliquer sur Afficher les alertes pour accéder à la page "Détails de l'alerte" dans le centre d'alerte.

Remarque: S'il y a plusieurs événements qui déclenchent la même règle au cours de la période du seuil d'alerte, ils sont regroupés dans un même e-mail.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
9725922857727230162
true
Rechercher dans le centre d'aide
true
true
true
false
false