Membuat dan mengelola aturan aktivitas

Alat investigasi keamanan: Menyiapkan notifikasi dan mengambil tindakan

Untuk membantu mencegah, mendeteksi, dan menyelesaikan masalah keamanan dengan lebih cepat dan efisien, Anda dapat menyiapkan notifikasi dan mengotomatiskan tindakan di alat investigasi dengan membuat aturan aktivitas

Untuk mengonfigurasi aturan, Anda dapat menyiapkan kondisi untuk aturan dan menetapkan tindakan yang akan dilakukan jika kondisi terpenuhi. Aturan merupakan cara untuk menyatakan, jika x terjadi, y akan otomatis dilakukan.

Sebagai administrator, Anda dapat membuat aturan aktivitas yang akan memberi tahu Anda atau mengambil tindakan berdasarkan penelusuran apa pun yang dikonfigurasi di alat investigasi. Setelah Anda mengonfigurasi aturan aktivitas, Google akan terus melakukan penelusuran yang telah Anda tetapkan dalam aturan. Jika jumlah hasil yang ditampilkan oleh penelusuran tersebut melebihi nilai minimum yang telah disiapkan, Google akan melakukan tindakan yang Anda tetapkan. Misalnya, Anda dapat menyiapkan aturan agar mengirim notifikasi email ke administrator tertentu jika dokumen Drive dibagikan di luar perusahaan.

Akses admin ke aturan aktivitas

Kemampuan Anda untuk membuat dan melihat aturan aktivitas bergantung pada edisi Google Workspace, hak istimewa administratif, dan sumber data Anda. Untuk mengetahui detailnya, buka Akses admin ke aturan pelaporan & aturan aktivitas.

Panduan penting untuk membuat aturan aktivitas

  • Anda hanya dapat membuat aturan aktivitas berdasarkan sumber data peristiwa log—misalnya, peristiwa log Gmail atau peristiwa log Perangkat. Anda tidak dapat membuat aturan aktivitas berdasarkan sumber data status aktif seperti browser Chrome, Perangkat, pesan Gmail, dan Pengguna.
  • Sumber data yang tersedia akan bervariasi bergantung pada edisi Google Workspace Anda. Untuk mengetahui detail selengkapnya, buka Menyesuaikan penelusuran dengan alat investigasi.
  • Anda harus menambahkan setidaknya satu atribut peristiwa ke penelusuran.
  • Anda dapat menyertakan operator OR pada tingkat teratas hanya jika Anda menyertakan kondisi Peristiwa di setiap jalur kondisional.
  • Anda hanya dapat menambahkan satu nilai untuk atribut. Misalnya, Aktor hanya dapat menyertakan satu pengguna. Untuk menyertakan beberapa nilai, gunakan Pembuat Kondisi untuk menambahkan operator OR, lalu tambahkan atribut yang sama dengan nilai tambahan.
  • Anda tidak dapat menggunakan filter tanggal untuk aturan aktivitas (karena aturan terus dievaluasi).
  • Anda harus menambahkan setidaknya satu tindakan atau notifikasi ke aturan.
  • Karena aturan aktivitas didasarkan pada peristiwa log, aturan tersebut akan dipicu setelah peristiwa terjadi. Oleh karena itu, aturan aktivitas tidak sesuai untuk hal-hal seperti memblokir atau berbagi dokumen atau mengirim email.

Cara kerja batas aturan

Saat Anda menetapkan batas untuk suatu aturan, batas tersebut akan diterapkan secara kumulatif di seluruh tindakan pengguna, bukan per pengguna. Misalnya, Anda membuat aturan untuk menangguhkan pengguna setelah 5 kali percobaan login yang gagal dalam waktu 1 jam. Batas ini tercapai jika ada 5 upaya login yang gagal untuk satu atau beberapa pengguna dalam waktu 1 jam. Dalam hal ini, semua pengguna dengan setidaknya satu upaya login yang gagal akan ditangguhkan.

Membuat aturan aktivitas

Anda dapat membuat aturan aktivitas dari alat investigasi keamanan atau dari halaman Aturan. 

Ikuti langkah-langkah berikut:

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Dari Halaman beranda konsol Admin, buka Keamanan > Alat investigasi, dan klik Buat aturan aktivitas.

    —ATAU—

    Dari Halaman beranda konsol Admin, buka Aturan, lalu klik Buat aturan > Aktivitas.
     
  3. Masukkan Nama aturan—misalnya, Berbagi data eksternal.
  4. Masukkan Deskripsi—misalnya, Beri tahu jika dokumen dibagikan di luar perusahaan.
  5. Klik Berikutnya: Lihat kondisi.
  6. Pilih Sumber data untuk aturan—misalnya, Peristiwa log admin.

    Catatan: Ketersediaan sumber data bervariasi bergantung pada edisi Google Workspace dan hak istimewa admin Anda. Untuk mengetahui detailnya, buka Akses admin ke aturan pelaporan & aturan aktivitas dan Sumber data & kondisi di alat investigasi
     
  7. Siapkan satu atau beberapa kondisi untuk aturan tersebut. Untuk setiap kondisi, pilih atribut, operator, dan nilai

    Misalnya, untuk menyiapkan kondisi yang menentukan bahwa peristiwa tersebut adalah transfer kepemilikan dokumen, pilih Peristiwa sebagai atribut, pilih Is sebagai operator, dan Setelan Dokumen > Transfer kepemilikan dokumen sebagai nilai. 

    Catatan: Peristiwa merupakan kondisi wajib. Untuk detail tentang kondisi yang tersedia untuk setiap sumber data, lihat Sumber data & kondisi di alat investigasi.
     
  8. Klik Berikutnya: Tambahkan tindakan.
    Catatan: Saat membuat aturan aktivitas, Anda tidak dapat menambahkan tindakan untuk peristiwa log Drive.
  9. Tentukan periode waktu dan nilai minimum untuk aturan tersebut. Misalnya, Anda dapat mengonfigurasi nilai minimum yaitu Setiap 24 jam jika hitungan lebih dari 100. Ini berarti, dalam satu periode waktu 24 jam, jika penelusuran memunculkan lebih dari 100 hasil, Anda ingin aturan ini terpicu. 
  10. Pilih Tindakan untuk aturan—misalnya, untuk menangguhkan pengguna atau memaksa perubahan sandi.
  11. Pilih apakah Anda ingin aturan ini memicu notifikasi di pusat notifikasi atau tidak.
    • Pilih tingkat keseriusan Tinggi, Sedang, atau Rendah.
    • Jika memilih untuk memicu notifikasi ke pusat notifikasi, Anda juga dapat memilih untuk mengirim notifikasi email dengan mencentang kotak Semua administrator super, dan/atau dengan mengklik Tambahkan penerima email untuk mengirim email ke administrator terpilih saat aturan dipicu.
  12. Klik Berikutnya: Tinjau.
    Gunakan halaman ini untuk meninjau semua detail aturan dan membuat perubahan apa pun, jika diperlukan, sebelum membuat aturan.
  13. Tinjau Status aturan
    Saat membuat aturan aktivitas, status aturan ditetapkan ke Aktif secara default, yang berarti bahwa sistem akan mulai mengumpulkan log, dan aturan akan diterapkan. Anda juga memiliki opsi untuk menetapkan status aturan ke Pantau, yang memungkinkan Anda meninjau log sebelum menerapkan aturan tersebut. Kemudian, Anda juga dapat menetapkan aturan ke Tidak aktif, yang berarti bahwa sistem tidak lagi mengumpulkan log, dan aturan tidak akan diterapkan. 
  14. Klik Buat aturan.

Catatan: Saat menyiapkan aturan aktivitas, Anda dapat menggunakan tab Pembuat kondisi, di mana filter ditunjukkan sebagai kondisi dengan operator AND/OR. Anda juga dapat menggunakan tab Filter untuk menyertakan pasangan parameter dan nilai sederhana untuk memfilter hasil penelusuran.

Halaman aturan: Melihat dan mengedit aturan aktivitas Anda

Setelah membuat aturan aktivitas, Anda dapat membuka halaman Aturan untuk melihat detail dan cakupan aturan, kondisi aturan, dan tindakan yang akan dipicu jika nilai minimum terpenuhi. 

Dari halaman Aturan, Anda juga dapat melihat daftar semua aturan yang telah dibuat oleh administrator di domain Anda. Buka halaman beranda konsol Google Admin, lalu klik Aturan.

Dari halaman Aturan, administrator di domain Anda dapat melihat aturan yang dibuat oleh administrator lain, bergantung pada sumber data untuk aturan tersebut dan hak istimewa setiap administrator. Misalnya, administrator mungkin memiliki hak istimewa melihat peristiwa log Drive, tetapi tidak untuk peristiwa log Gmail. Oleh karena itu, mereka tidak dapat melihat aturan apa pun yang dibuat berdasarkan peristiwa log Gmail.

Anda dapat menggunakan halaman Aturan untuk melakukan tindakan berikut:

  • Memfilter daftar aturan dengan mengklik Tambahkan filter
  • Melihat dan mengedit detail aturan dengan mengklik salah satu aturan yang tercantum di halaman Aturan.
  • Menghapus aturan.
  • Membuat aturan baru.
  • Klik Investigasi untuk membuka alat investigasi guna melihat data dari peristiwa log Aturan.

Notifikasi email

Jika Anda menyiapkan notifikasi email untuk aturan Anda, aturan aktivitas hanya akan mengirim satu email notifikasi per batas nilai minimum saat aturan pertama kali dipicu dan tidak akan lagi mengirimkan notifikasi saat aturan dipicu. Notifikasi email berisi ringkasan aturan yang memicu notifikasi, termasuk nama aturan, detail nilai minimum, data sumber, dan lainnya. Administrator yang menerima notifikasi email dapat mengklik Lihat Notifikasi untuk diarahkan ke halaman Detail notifikasi di pusat notifikasi.

Catatan: Beberapa peristiwa yang memicu aturan yang sama dalam jangka waktu batas pemberitahuan akan digabungkan menjadi satu email.

Artikel terkait

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
5169886801126742198
true
Pusat Bantuan Penelusuran
true
true
true
false
false