Activiteitsregels maken en beheren

Tool voor beveiligingsonderzoek: Meldingen instellen en acties uitvoeren

U kunt meldingen instellen en acties in de onderzoekstool automatiseren door activiteitsregels te maken. Zo kunt u beveiligingsproblemen sneller en efficiënter voorkomen, detecteren en oplossen.

Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties moeten worden uitgevoerd wanneer aan de voorwaarden wordt voldaan. Een regel is gewoon een manier om te zeggen: als x gebeurt, moet y automatisch worden gedaan.

Als beheerder kunt u een activiteitsregel maken waarmee u een melding krijgt of er een actie wordt uitgevoerd op basis van een zoekopdracht die u instelt in de onderzoekstool. Nadat u de activiteitsregel heeft geconfigureerd, voert Google voortdurend de zoekopdracht uit die u in de regel heeft gespecificeerd. Als het aantal resultaten dat door die zoekopdracht wordt geretourneerd hoger is dan de drempelwaarde die u heeft ingesteld, voert Google de acties uit die u opgeeft. U kunt bijvoorbeeld een regel instellen om e-mailmeldingen naar bepaalde beheerders te sturen als Drive-documenten buiten het bedrijf worden gedeeld.

Beheerderstoegang tot activiteitsregels

Of u activiteitsregels kunt maken en bekijken, hangt af van uw Google Workspace-versie, uw beheerdersrechten en de gegevensbron. Ga naar Beheerderstoegang tot rapportregels en activiteitsregels voor meer informatie.

Belangrijke richtlijnen voor het maken van activiteitsregels

  • U kunt alleen activiteitsregels maken op basis van gegevensbronnen van logboekgebeurtenissen, bijvoorbeeld Gmail-logboekgebeurtenissen of gebeurtenissen in het apparaatlogboek. U kunt geen activiteitsregels maken op basis van live gegevensbronnen, zoals Chrome-browsers, apparaten, Gmail-berichten en gebruikers.
  • Welke gegevensbronnen er zijn, hangt af van uw versie van Google Workspace. Ga naar Zoekopdrachten aanpassen met de onderzoekstool voor meer informatie.
  • U moet minstens één gebeurteniskenmerk aan de zoekopdracht toevoegen.
  • U kunt alleen een OR-operator op het hoogste niveau toevoegen als u een gebeurtenisvoorwaarde opneemt langs elk voorwaardenpad.
  • U kunt maar één waarde voor het kenmerk toevoegen. Het veld Handelende gebruiker kan bijvoorbeeld maar één gebruiker bevatten. Als u meerdere waarden wilt toevoegen, gebruikt u de voorwaardenbuilder om een OR-operator toe te voegen en voegt u hetzelfde kenmerk toe met een extra waarde.
  • U kunt geen datumfilters gebruiken voor activiteitsregels (omdat de regels voortdurend worden gecontroleerd).
  • U moet minstens één actie of melding aan de regel toevoegen.
  • Omdat activiteitsregels zijn gebaseerd op logboekgebeurtenissen, worden ze getriggerd nadat de gebeurtenis heeft plaatsgevonden. Daarom zijn activiteitsregels niet geschikt om bijvoorbeeld te voorkomen dat mensen documenten delen of e-mails sturen.

Hoe drempelwaardes voor regels werken

Als u een drempelwaarde instelt voor een regel, wordt de drempelwaarde cumulatief toegepast op gebruikersacties en niet op basis van gebruikers. Stel dat u een regel maakt om gebruikers op te schorten na 5 mislukte inlogpogingen binnen 1 uur. De drempelwaarde wordt bereikt als er 5 mislukte inlogpogingen zijn voor 1 of meer gebruikers binnen 1 uur. In dat geval worden alle gebruikers met minstens 1 mislukte inlogpoging opgeschort.

Een activiteitsregel maken

U kunt een activiteitsregel maken met de tool voor beveiligingsonderzoek of op de pagina Regels.

Volg deze stappen:

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de Beheerdersconsole naar Beveiliging > Onderzoekstool en klik op Activiteitsregel maken.

    —OF—

    Ga op de homepage van de Beheerdersconsole naar Regels en klik op Regel maken > Activiteit.
     
  3. Vul bij Naam regel een naam in, bijvoorbeeld Gegevens extern delen.
  4. Vul een beschrijving in, bijvoorbeeld Waarschuwen als documenten buiten het bedrijf worden gedeeld.
  5. Klik op Volgende: Voorwaarden bekijken.
  6. Kies een Gegevensbron voor de regel, bijvoorbeeld Gebeurtenissen in het beheerderslogboek.

    Opmerking: Welke gegevensbronnen er zijn, hangt af van uw Google Workspace-versie en uw beheerdersrechten. Ga naar Beheerderstoegang tot rapportregels en activiteitsregels en Gegevensbronnen en voorwaarden in de onderzoekstool voor meer informatie. 
     
  7. Stel een of meer voorwaarden in voor de regel. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.

    Als u bijvoorbeeld een voorwaarde wilt instellen die aangeeft dat de gebeurtenis een eigendomsoverdracht van een document is, kiest u Gebeurtenis als kenmerk, kiest u Is als operator en kiest u Documentinstellingen > Eigendom van document overgezet als de waarde.

    Opmerking: Gebeurtenis is een vereiste voorwaarde. Zie Gegevensbronnen en voorwaarden in de onderzoekstool voor meer informatie over welke voorwaarden er beschikbaar zijn voor elke gegevensbron.
     
  8. Klik op Volgende: Acties toevoegen.
    Opmerking: Als u een activiteitsregel maakt, kunt u geen acties toevoegen voor Drive-logboekgebeurtenissen.
  9. Geef een tijdsperiode en een drempelwaarde voor de regel op. Als drempelwaarde kunt u bijvoorbeeld Elke 24 uur wanneer het aantal groter is dan 100 configureren. De regel wordt dan getriggerd als de zoekopdracht gedurende een periode van 24 uur meer dan 100 resultaten oplevert.
  10. Selecteer een Actie voor de regel, bijvoorbeeld om gebruikers op te schorten of een wachtwoordwijziging af te dwingen.
  11. Kies of deze regel een melding moet triggeren in het Meldingencentrum.
    • Kies het ernstniveau Zeer ernstig, Middelmatig ernstig of Minder ernstig.
    • Als u ervoor kiest een melding in het meldingencentrum te activeren, kunt u er ook voor kiezen e-mailmeldingen te sturen door het vakje aan te vinken voor Alle hoofdbeheerders en/of door op E-mailontvangers toevoegen te klikken om een e-mail naar bepaalde beheerders te sturen wanneer de regel wordt getriggerd.
  12. Klik op Volgende: Controleren.
    Controleer op deze pagina de gegevens van de regel en breng indien nodig wijzigingen aan voordat u de regel maakt.
  13. Controleer de regelstatus
    Als een activiteitsregel wordt gemaakt, is de regelstatus standaard Actief. Dit betekent dat het systeem logboeken begint te verzamelen en dat de regel wordt afgedwongen. U kunt de regelstatus ook instellen op Controleren. Hiermee kunt u logboeken controleren voordat u de regel afdwingt. Later kunt u de regel ook instellen op Inactief. Dit betekent dat het systeem geen logboeken meer verzamelt en dat de regel niet meer wordt afgedwongen.
  14. Klik op Regel maken.

Opmerking: Als u een activiteitsregel instelt, kunt u het tabblad Voorwaardenbuilder gebruiken. Hier worden filters getoond als voorwaarden met AND/OR-operators. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.

De pagina Regels: Activiteitsregels bekijken en bewerken

Nadat u een activiteitsregel heeft gemaakt, kunt u op de pagina Regels de gegevens en het bereik van de regel bekijken, evenals de voorwaarden voor de regel en de acties die worden getriggerd als drempels worden bereikt.

Op de pagina Regels ziet u ook een lijst met alle regels die zijn gemaakt door beheerders in uw domein. Ga naar de homepage van de Google Beheerdersconsole en klik op Regels.

Op de pagina Regels kunnen beheerders in uw domein regels bekijken die door andere beheerders zijn gemaakt, afhankelijk van de gegevensbron voor de regel en de rechten van elke beheerder. Als een beheerder bijvoorbeeld het recht heeft om Drive-logboekgebeurtenissen te bekijken, maar geen recht om Gmail-logboekgebeurtenissen te bekijken, kan de beheerder geen regels bekijken die zijn gebaseerd op Gmail-logboekgebeurtenissen.

Op de pagina Regels kunt u het volgende doen:

  • De lijst met regels filteren door op Een filter toevoegen te klikken.
  • Regelgegevens bekijken en bewerken door op een van de regels te klikken.
  • Regels verwijderen.
  • Nieuwe regels maken.
  • Klik op Onderzoeken om de onderzoekstool te openen en gebeurtenisgegevens uit het logboek Regels te bekijken.

E-mailmeldingen

Als u e-mailmeldingen instelt voor uw regel, stuurt de activiteitsregel slechts 1 e-mailmelding per drempelperiode wanneer de regel voor het eerst wordt geactiveerd en krijgt u geen meldingen voor de andere keren dat de regel wordt getriggerd. De e-mailmelding bevat een samenvatting van de regel die de melding heeft getriggerd, waaronder de regelnaam, de drempelgegevens en de brongegevens. Beheerders die de e-mailmelding krijgen, kunnen op Melding bekijken klikken om naar de pagina Meldingsgegevens in het Meldingencentrum te gaan.

Opmerking: Meerdere gebeurtenissen die binnen de periode voor de drempelwaarde voor meldingen dezelfde regel activeren, worden verzameld in 1 e-mail.

Gerelateerde artikelen

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
1167440129719307757
true
Zoeken in het Helpcentrum
true
true
true
false
false