Aktivitätsregeln erstellen und verwalten

Sicherheits-Prüftool: Benachrichtigungen einrichten und Aktionen festlegen

Sie können im Prüftool Aktivitätsregeln erstellen, um Benachrichtigungen einzurichten sowie Aktionen zu automatisieren. Diese Regeln ermöglichen es, Sicherheitsprobleme schneller und effizienter zu ermitteln, zu beheben und langfristig zu vermeiden. 

Zum Konfigurieren einer Regel richten Sie Bedingungen ein und legen fest, welche Aktionen ausgeführt werden sollen, wenn sie erfüllt sind. Im Prinzip bedeutet eine Regel Folgendes: Wenn x geschieht, soll automatisch y folgen.

Als Administrator können Sie für jede im Prüftool konfigurierte Suche eine Aktivitätsregel erstellen, über die Sie automatische Benachrichtigungen oder Aktionen festlegen. Anschließend führt Google die Suche kontinuierlich aus. Übersteigt die Anzahl der Suchergebnisse den von Ihnen bestimmten Schwellenwert, werden die festgelegten Aktionen ausgeführt. So können Sie z. B. angeben, dass bestimmte Administratoren benachrichtigt werden, wenn Drive-Dateien außerhalb der Organisation freigegeben werden.

Administratorzugriff auf Aktivitätsregeln

Ob und wie Sie Aktivitätsregeln erstellen und aufrufen können, hängt von Ihrer Google Workspace-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Weitere Informationen finden Sie im Hilfeartikel „Administratorzugriff auf Berichts- und Aktivitätsregeln“ unter Zugriff auf Berichts- und Aktivitätsregeln.

Wichtige Richtlinien zum Erstellen von Aktivitätsregeln

  • Sie können Aktivitätsregeln nur auf der Basis von Datenquellen für Protokollereignisse erstellen, z. B. Gmail-Protokollereignisse oder Geräteprotokollereignisse. Es können dagegen keine Aktivitätsregeln definiert werden, die auf Livestatus-Datenquellen basieren, z. B. Chrome-Browser, Geräte, Gmail-Nachrichten und Nutzer.
  • Welche Datenquellen verfügbar sind, hängt von Ihrer Google Workspace-Version ab. Weitere Informationen finden Sie unter Benutzerdefinierte Suchanfragen mit dem Prüftool.
  • Sie müssen der Suche mindestens ein Ereignisattribut hinzufügen.
  • Dazu können Sie einen ODER-Operator auf oberster Ebene nur verwenden, wenn Sie in jedem Pfad der Bedingung eine Ereignisbedingung angeben.
  • Sie können nur einen Wert für das Attribut hinzufügen. Beispielsweise kann „Akteur“ nur einen Nutzer enthalten. Wenn Sie mehrere Werte einbeziehen möchten, fügen Sie mit dem Tool zur Bedingungserstellung einen ODER-Operator hinzu. Fügen Sie dann dasselbe Attribut mit einem zusätzlichen Wert hinzu.
  • Bei Aktivitätsregeln sind keine Datumsfilter zulässig, da die Regeln kontinuierlich ausgewertet werden.
  • Sie müssen der Regel mindestens eine Aktion oder Benachrichtigung hinzufügen.
  • Da Aktivitätsregeln auf Protokollereignissen basieren, werden sie ausgelöst, nachdem das Ereignis eingetreten ist. Aus diesem Grund sind Aktivitätsregeln nicht dafür geeignet, Dokumente zu sperren oder freizugeben oder E-Mails zu senden.

Funktionsweise von Regelgrenzwerten

Wenn Sie einen Grenzwert für eine Regel festlegen, wird dieser kumulativ auf alle Nutzeraktionen angewendet, nicht pro Nutzer. Angenommen, Sie erstellen eine Regel, mit der Nutzer nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb von einer Stunde gesperrt werden. Der Grenzwert wird erreicht, wenn bei einem oder mehreren Nutzern innerhalb von einer Stunde fünf fehlgeschlagene Anmeldeversuche unternommen werden. In diesem Fall werden alle Nutzer mit mindestens einem fehlgeschlagenen Anmeldeversuch gesperrt.

Aktivitätsregel erstellen

Sie können eine Aktivitätsregel über das Sicherheits-Prüftool oder auf der Seite „Regeln“ erstellen. 

Gehen Sie so vor:

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheit > Prüftool und dann auf Aktivitätsregel erstellen.

    – ODER –

    Rufen Sie auf der Startseite der Admin-Konsole Regeln auf und klicken Sie dann auf Regel erstellen > Aktivität.
     
  3. Geben Sie einen Regelnamen ein, z. B. Externe Datenfreigabe.
  4. Geben Sie eine Beschreibung ein, z. B. Benachrichtigen, wenn Dokumente außerhalb der Organisation freigegeben werden.
  5. Klicken Sie auf Weiter: Bedingungen anzeigen.
  6. Wählen Sie eine Datenquelle für die Regel aus, z. B. Administrator-Protokollereignisse.

    Hinweis: Die Verfügbarkeit von Datenquellen hängt von Ihrer Google Workspace-Version und von Ihren Administratorberechtigungen ab. Weitere Informationen finden Sie unter Administratorzugriff auf Berichts- und Aktivitätsregeln und Datenquellen und Bedingungen im Prüftool
     
  7. Legen Sie eine oder mehrere Bedingungen für die Regel fest. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus. 

    Beispielsweise wählen Sie für eine Bedingung, mit der als Ereignis die Übertragung der Eigentümerschaft des Dokuments angegeben wird, Ereignis als Attribut, Ist als Operator und Dokumenteinstellungen > Eigentümerschaft an Dokumenten übertragen als Wert aus. 

    Hinweis : Die Bedingung Ereignis ist erforderlich. Weitere Informationen zu den verfügbaren Bedingungen für jede Datenquelle finden Sie unter Datenquellen und Bedingungen im Prüftool.
     
  8. Klicken Sie auf Weiter: Aktionen hinzufügen.
    Hinweis: Sie können beim Erstellen einer Aktivitätsregel keine Aktionen für Drive-Logereignisse hinzufügen.
  9. Legen Sie einen Zeitraum und einen Schwellenwert für die Regel fest. Ein Beispiel wäre eine Benachrichtigung alle 24 Stunden, wenn der Schwellenwert 100 überschreitet. Das bedeutet, dass die Regel alle 24 Stunden ausgelöst wird, wenn die Suche mehr als 100 Ergebnisse liefert. 
  10. Wählen Sie eine Aktion für die Regel aus, z. B. dass der Nutzer gesperrt oder eine Passwortänderung erzwungen wird.
  11. Legen Sie fest, ob mit dieser Regel eine Benachrichtigung in der Benachrichtigungszentrale angezeigt werden soll.
    • Wählen Sie eine Wichtigkeitsstufe aus: „Hoch“, „Mittel“ oder „Niedrig“.
    • Wenn eine Benachrichtigung an die Benachrichtigungszentrale gesendet werden soll, können Sie auch E-Mail-Benachrichtigungen senden. Dafür klicken Sie auf das Kästchen Alle Super Admin und/oder auf E-Mail-Empfänger hinzufügen. zum Senden von E-Mails an ausgewählte Administratoren, wenn die Regel ausgelöst wird.
  12. Klicken Sie auf Weiter: Überprüfen.
    Auf dieser Seite können Sie alle Details der Regel prüfen und gegebenenfalls Änderungen vornehmen.
  13. Prüfen Sie den Regelstatus
    Beim Erstellen einer Aktivitätsregel lautet der Regelstatus standardmäßig Aktiv. Das bedeutet, dass Protokolle erfasst werden und die Regel erzwungen wird. Sie haben außerdem die Möglichkeit, den Regelstatus auf Prüfen zu setzen. In diesem Fall können Sie die Protokolle prüfen, bevor die Regel erzwungen wird. Später können Sie die Regel bei Bedarf auf Inaktiv setzen. Das bedeutet, dass keine Protokolle mehr erfasst werden und die Regel nicht erzwungen wird. 
  14. Klicken Sie auf Regel erstellen.

Hinweis: Sie können eine Aktivitätsregel auf dem Tab Tool zur Bedingungserstellung einrichten. Dort werden Filter als Bedingungen mit UND- bzw. ODER-Operatoren eingegeben. Auf dem Tab Filter lassen sich Suchergebnisse auch mit einfachen Parameter- und Wertepaaren filtern.

Seite „Regeln“: Aktivitätsregeln aufrufen und bearbeiten

Nachdem Sie eine Aktivitätsregel erstellt haben, können Sie auf der Seite Regeln die Details, den Geltungsbereich und die Bedingungen der Regel sowie die Aktionen einsehen, die bei erreichten Schwellenwerten ausgelöst werden. 

Auf der Seite „Regeln“ finden Sie auch eine Liste aller Regeln, die von Administratoren in Ihrer Domain erstellt wurden. Rufen Sie dazu die Startseite der Admin-Konsole auf und klicken Sie auf Regeln.

Auf der Seite „Regeln“ sehen die Administratoren Ihrer Domain auch die Regeln, die von anderen Administratoren erstellt wurden. Was dabei im Einzelnen angezeigt wird, hängt von der Datenquelle der Regel und den jeweiligen Berechtigungen ab. Ist ein Administrator beispielsweise berechtigt, Protokollereignisse für Drive einzusehen, aber nicht für Gmail, werden diese Regeln ausgeblendet.

Auf der Seite „Regeln“ sind folgende Aktionen möglich:

  • Regelliste durch Klicken auf Filter hinzufügen filtern 
  • Regeldetails durch Klicken auf die jeweilige Regel aufrufen und bearbeiten
  • Regeln löschen
  • Neue Regeln erstellen
  • Klicken Sie auf Untersuchen, um das Prüftool zu öffnen und Daten aus den Ereignissen im Regelprotokoll aufzurufen.

E-Mail-Benachrichtigungen

Wenn Sie für Ihre Regel E-Mail-Benachrichtigungen einrichten, sendet die Aktivitätsregel beim ersten Auslösen der Regel nur eine Benachrichtigungs-E-Mail pro Grenzwertfenster. Bei anderen Auslösungen werden keine Benachrichtigungen gesendet. Die E-Mail-Benachrichtigung enthält eine Übersicht über die Regel, die die Benachrichtigung ausgelöst hat, u. a. den Regelnamen, Details zum Schwellenwert und Angaben zu den Quelldaten. Die Detailseite in der Benachrichtigungszentrale können Administratoren durch Klicken auf Benachrichtigung anzeigen aufrufen.

Hinweis: Mehrere Ereignisse, die innerhalb des Zeitfensters für Benachrichtigungen dieselbe Regel auslösen, werden in einer E-Mail zusammengefasst.

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
14602868620513493442
true
Suchen in der Hilfe
true
true
true
false
false