إنشاء قواعد النشاط وإدارتها

أداة التحقيق الأمني: إعداد التنبيهات واتخاذ الإجراءات

للمساعدة على منع مشاكل الأمان ورصدها وحلها بكفاءة وسرعة أكبر، يمكنك إعداد التنبيهات وبرمجة الإجراءات في أداة التحقيق عن طريق إنشاء قواعد النشاط

لضبط قاعدة، يمكنك إعداد شروط القاعدة، وتحديد الإجراءات التي يتم تنفيذها عند استيفاء الشروط. القاعدة هي طريقة تقول بها إذا حدث س، نفّذ ص تلقائيًا.

بصفتك مشرفًا، يمكنك إنشاء قاعدة نشاط تُنبّهك أو تتخذ إجراءً بناءً على أي عملية بحث تم إعدادها في أداة التحقيق. وبعد إعداد القاعدة، ستُجري Google باستمرار عملية البحث المُحددة في القاعدة. وفي حال كان عدد نتائج عملية البحث يتجاوز الحدّ الأدنى الذي تم إعداده، ستنفِّذ Google الإجراءات التي تحدّدها. مثلاً، يمكنك إعداد قاعدة لإرسال إشعارات عبر البريد الإلكتروني إلى مشرفين محددين في حال مشاركة مستندات Drive خارج الشركة.

إذن الوصول الإداري إلى قواعد النشاط

تعتمد إمكانية إنشاء قواعد النشاط وعرضها على إصدار Google Workspace وامتيازات المشرف ومصدر البيانات. لمعرفة التفاصيل، انتقِل إلى إذن الوصول الإداري إلى قواعد إعداد التقارير وقواعد النشاط.

إرشادات مهمة لإنشاء قواعد النشاط

  • لا يمكنك إنشاء قواعد النشاط إلا بالاستناد إلى مصادر بيانات أحداث السجلّ، مثلاً، أحداث سجلّ Gmail أو أحداث سجلّ الجهاز. لا يمكنك إنشاء قواعد النشاط استنادًا إلى مصادر البيانات في الحالة المباشرة، مثل متصفّحات Chrome والأجهزة ورسائل Gmail والمستخدمون.
  • ستختلف مصادر البيانات المتاحة وفقًا لإصدار Google Workspace. للاطّلاع على المزيد من التفاصيل، انتقِل إلى تخصيص عمليات البحث باستخدام أداة التحقيق.
  • عليك إضافة سمة حدث واحدة على الأقل إلى عملية البحث.
  • يمكنك تضمين عامل تشغيل OR في المستوى العلوي فقط في حال تضمين شرط "حدث" على كل مسار شرطي.
  • يمكنك إضافة قيمة واحدة فقط للسمة. على سبيل المثال، يمكن أن تتضمّن سمة "المُنفِّذ" مستخدمًا واحدًا فقط. لتضمين قيم متعدّدة، استخدِم "أداة إنشاء الشروط" لإضافة عامل تشغيل OR، ثم أضِف السمة نفسها بقيمة إضافية.
  • لا يمكنك استخدام فلاتر التاريخ لقواعد النشاط (بما أن القواعد تُقيَّم باستمرار).
  • عليك إضافة إجراء أو تنبيه واحد على الأقل إلى القاعدة.
  • بما أن قواعد النشاط تستند إلى أحداث السجلّ، يتم تنفيذها بعد وقوع الحدث. وبالتالي، لا تكون قواعد النشاط مناسبة لبعض الإجراءات، مثل حظر مستند أو مشاركته أو إرسال رسائل إلكترونية.

آلية عمل حدود القواعد

عند ضبط حدّ إحدى القواعد، فإنّه يطبق بشكل تراكمي على إجراءات المستخدمين، وليس على أساس كل مستخدم. على سبيل المثال، لنفترض أنّك أنشأت قاعدة لتعليق المستخدمين بعد 5 محاولات تعذّر في تسجيل الدخول خلال ساعة واحدة. ويتم الوصول إلى هذا الحدّ في حال إجراء 5 محاولات تعذّر في تسجيل الدخول لمستخدم واحد أو أكثر خلال ساعة واحدة. في هذه الحالة، سيتم تعليق جميع المستخدمين الذين لديهم محاولة تعذّر في تسجيل الدخول واحدة على الأقل.

إنشاء قاعدة نشاط

يمكنك إنشاء قاعدة نشاط إما من أداة التحقيق الأمني أو من صفحة "القواعد". 

اتَّبِع الخطوات التالية:

  1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

    يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

  2. من صفحة "وحدة تحكُّم المشرف" الرئيسية، انتقِل إلى الأمان > أداة التحقيق، وانقر على إنشاء قاعدة نشاط.

    —أو—

    من صفحة "وحدة تحكُّم المشرف" الرئيسية، انتقِل إلى القواعد، ثم انقر على إنشاء قاعدة > النشاط.
     
  3. أدخِل اسم القاعدة: مثلاً، مشاركة البيانات خارجيًا.
  4. أدخِل وصفًا: مثلاً، إرسال إشعار في حال مشاركة مستندات خارج الشركة.
  5. انقر على التالي: عرض الشروط.
  6. اختَر مصدر بيانات للقاعدة، مثل أحداث سِجلّ المشرف.

    ملاحظة: يختلف مدى توفُّر مصادر البيانات وفقًا لإصدار Google Workspace وامتيازات المشرف. لمعرفة التفاصيل، يُرجى الانتقال إلى وصول المشرف إلى قواعد إعداد التقارير وقواعد النشاط ومصادر البيانات والشروط في أداة التحقيق
     
  7. يمكنك إعداد شرط واحد أو أكثر للقاعدة. بالنسبة إلى كل شرط، اختَر سمة وعامل تشغيل وقيمة

    مثلاً، لإعداد شرط يحدِّد أن الحدث هو نقل ملكية المستند، اختَر الحدث على أنه السمة، واختَر Is كعامل تشغيل، وإعدادات المستند > نقل ملكية المستند كقيمة. 

    ملاحظة: الحدث شرط مطلوب. لمعرفة التفاصيل حول الشروط المتوفِّرة لكل مصدر بيانات، يُرجى الاطِّلاع على مصادر البيانات والشروط في أداة التحقيق.
     
  8. انقر على التالي: إضافة إجراءات.
    ملاحظة: عند إنشاء قاعدة نشاط، لا يمكنك إضافة إجراءات إلى "أحداث سجلّ Drive".
  9. حدِّد فترة زمنية وحدًا للقاعدة. مثلاً، يمكنك إعداد الحدّ الأدنى على كل 24 ساعة عندما يكون العدد أكبر من 100. يعني ذلك أنه خلال أي فترة مدتها 24 ساعة، إذا أظهر بحثك أكثر من 100 نتيجة، ستُنفَذ هذه القاعدة. 
  10. اختَر إجراء للقاعدة، مثل تعليق المستخدمين أو فرض تغيير كلمة المرور.
  11. اختَر ما إذا كنت تريد لهذه القاعدة أن تؤدّي إلى تفعيل تنبيه في مركز التنبيه أم لا.
    • اختَر درجة الخطورة "عالية" أو "متوسطة" أو "منخفضة".
    • إذا اختَرت أن تؤدّي إلى تفعيل تنبيه إلى مركز التنبيه، يمكنك أيضًا اختيار إرسال إشعارات عبر البريد الإلكتروني من خلال وضع علامة في المربّع كل المشرفين المتميّزين و/أو بالنقر على إضافة مستلِمي البريد الإلكتروني لإرسال رسائل إلكترونية إلى المشرفين المحددين عند تفعيل القاعدة.
  12. انقر على التالي: مراجعة.
    يمكنك استخدام هذه الصفحة لمراجعة جميع تفاصيل القاعدة وإجراء أي تغييرات، إذا لزم الأمر، قبل إنشاء القاعدة.
  13. راجع حالة القاعدة
    عند إنشاء قاعدة نشاط، تكون حالة القاعدة نشط تلقائيًا، وهذا ما يعني أن النظام سيبدأ في تجميع السجلّات وسيتم فرض القاعدة. كما يمكنك اختيار ضبط القاعدة على مراقب، مما يتيح لك مراجعة السجلّات قبل فرض القاعدة. ولاحقًا، يمكنك إعداد القاعدة على غير نشط، ما يعني أن النظام لم يعد يجمّع السجلّات ولن يتم فرض القاعدة. 
  14. انقر على إنشاء قاعدة.

ملاحظة: عند إعداد قاعدة نشاط، يمكنك استخدام علامة التبويب أداة إنشاء الشروط، حيث يتم تمثيل الفلاتر كشروط باستخدام عوامل التشغيل AND/OR. ويمكنك أيضًا استخدام علامة التبويب فلترة لتضمين أزواج قيم ومعلمات بسيطة لفلترة نتائج البحث.

صفحة القواعد: عرض قواعد النشاط وتعديلها

بعد إنشاء قاعدة نشاط، يمكنك الانتقال إلى صفحة القواعد للاطِّلاع على تفاصيل القاعدة ونطاقها وشروطها والإجراءات التي يتم تنفيذها عند الوصول إلى الحدّ. 

من صفحة "القواعد"، يمكنك أيضًا الاطّلاع على قائمة بكل القواعد التي أنشأها المشرفون في نطاقك. انتقِل إلى صفحة "وحدة تحكُّم المشرف في Google" الرئيسية، وانقر على القواعد.

في صفحة "القواعد"، يمكن للمشرفين ضمن نطاقك الاطِّلاع على القواعد التي أنشأها المشرفون الآخرون، بناءً على مصدر بيانات القاعدة وامتيازات كل مشرف. مثلاً، قد يمتلك مشرف امتيازات الاطِّلاع على أحداث سجلّ Drive، ولكنه لا يمتلك امتيازات الاطِّلاع على أحداث سجلّ Gmail، ولذلك يتعذّر عليه الاطِّلاع على أي قواعد تستند إلى أحداث سجلّ Gmail.

يمكنك استخدام صفحة "القواعد" لاتخاذ الإجراءات التالية:

  • فلترة قائمة القواعد بالنقر على إضافة فلتر
  • يمكنك عرض تفاصيل القاعدة وتعديلها بالنقر على إحدى القواعد المدرجة في صفحة "القواعد".
  • حذف القواعد
  • إنشاء قواعد جديدة
  • انقر على التحقيق لفتح أداة التحقيق لعرض البيانات من أحداث سجلات القواعد.

تنبيهات البريد الإلكتروني

في حال إعداد إشعارات عبر البريد الإلكتروني لقاعدتك، لن ترسل قاعدة النشاط سوى إشعار عبر البريد الإلكتروني لكل حد أدنى عند تفعيل القاعدة لأول مرة، ولن تُرسِل إشعارات في المرات الأخرى التي يتم تفعيلها فيها. ويحتوي الإشعار عبر البريد الإلكتروني على ملخص للقاعدة التي أدّت إلى تفعيل التنبيه، بما في ذلك اسم القاعدة وتفاصيل الحدّ وبيانات المصدر والمزيد. ويمكن للمشرفين الذين يتلقون إشعارًا بالبريد الإلكتروني النقر على عرض التنبيه ليتم توجيههم إلى صفحة "تفاصيل التنبيه" في مركز التنبيه.

ملاحظة: يتم تجميع الأحداث المتعددة التي تؤدي إلى تشغيل القاعدة نفسها ضمن الفترة الزمنية للتنبيه في رسالة إلكترونية واحدة.

مقالات ذات صلة

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟
true
بحث
محو البحث
إغلاق البحث
القائمة الرئيسية
16532901773855107975
true
مركز مساعدة البحث
true
true
true
false
false