Tworzenie reguł związanych z aktywnością i zarządzanie nimi

Narzędzie do analizy zagrożeń: konfigurowanie alertów i podejmowanie czynności

Aby szybciej i skuteczniej zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz skonfigurować alerty i zautomatyzować działania w narzędziu do analizy zagrożeń przez utworzenie reguł związanych z aktywnością.

Aby skonfigurować regułę, musisz określić jej warunki i wskazać czynności, które mają być wykonywane po ich spełnieniu. Reguła oznacza po prostu, że jeśli wystąpi X, należy automatycznie wykonać Y.

Jako administrator możesz utworzyć regułę związaną z aktywnością, która spowoduje wysłanie alertu lub wykonanie działania na podstawie dowolnego wyszukiwania skonfigurowanego w narzędziu do analizy zagrożeń. Po skonfigurowaniu reguły związanej z aktywnością Google będzie regularnie przeprowadzać wyszukiwanie, którego dotyczy ta reguła. Jeśli liczba wyników zwróconych przez wyszukiwanie przekroczy ustawiony przez Ciebie próg, Google wykona określone działania. Możesz na przykład skonfigurować regułę, aby wysyłać do wybranych administratorów e-maile z powiadomieniami o udostępnieniu dokumentów z Dysku poza firmę.

Dostęp administratora do reguł związanych z aktywnością

Możliwość tworzenia i wyświetlania reguł związanych z aktywnością zależy od wersji Google Workspace, Twoich uprawnień administracyjnych i źródła danych. Szczegółowe informacje znajdziesz w artykule Dostęp administratora do reguł raportowania i reguł związanych z aktywnością.

Ważne wskazówki na temat tworzenia reguł związanych z aktywnością

  • Reguły związane z aktywnością można tworzyć tylko na podstawie źródeł danych zdarzeń z dziennika (takich jak Zdarzenia z dziennika Gmaila czy Zdarzenia z dziennika urządzenia). Nie możesz tworzyć reguł związanych z aktywnością na podstawie źródeł danych odzwierciedlających stan obecny, takich jak Przeglądarki Chrome, Urządzenia, Wiadomości z GmailaUżytkownicy.
  • Dostępne źródła danych różnią się w zależności od wersji Google Workspace. Więcej informacji znajdziesz w artykule na temat dostosowywania wyszukiwania w narzędziu do analizy zagrożeń.
  • Do wyszukiwania musisz dodać co najmniej 1 atrybut zdarzenia.
  • Operator OR możesz uwzględnić na najwyższym poziomie tylko wtedy, gdy zdarzenie jest uwzględnione w każdej ścieżce warunkowej.
  • Do atrybutu możesz dodać tylko 1 wartość. Na przykład do atrybutu Użytkownik może być przypisana tylko 1 osoba. Użyj narzędzia do definiowania warunków, aby dodać operator OR, a następnie dodaj ten sam atrybut z dodatkową wartością.
  • W przypadku reguł związanych z aktywnością nie można używać filtrów daty, ponieważ reguły są oceniane w sposób ciągły.
  • Do reguły musisz dodać co najmniej 1 działanie lub alert.
  • Ponieważ reguły związane z aktywnością są oparte na zdarzeniach z dziennika, są wywoływane po wystąpieniu zdarzenia. Z tego względu reguły związane z aktywnością nie nadają się do blokowania czy udostępniania dokumentów ani wysyłania e-maili.

Jak działają progi reguł

Gdy ustawisz próg reguły, jest on stosowany do wszystkich działań użytkowników, a nie do poszczególnych użytkowników. Załóżmy na przykład, że tworzysz regułę zawieszającą konta użytkowników po 5 nieudanych próbach logowania w ciągu 1 godziny. Próg zostanie osiągnięty po 5 nieudanych próbach zalogowania się na konto co najmniej 1 użytkownika w ciągu 1 godziny. W takim przypadku konta wszystkich użytkowników, którzy podjęli przynajmniej 1 nieudaną próbę logowania, zostaną zawieszone.

Tworzenie reguły związanej z aktywnością

Regułę związaną z aktywnością możesz utworzyć przy użyciu narzędzia do analizy zagrożeń lub na stronie Reguły.

Aby to zrobić:

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. Na stronie głównej konsoli administracyjnej kliknij Zabezpieczenia > Narzędzie do analizy zagrożeń i wybierz Utwórz regułę związaną z aktywnością.

    LUB

    Na stronie głównej konsoli administracyjnej kliknij Reguły, a następnie wybierz Utwórz regułę > Aktywność.
     
  3. Wpisz Nazwę reguły, np. Udostępnianie danych na zewnątrz.
  4. Dodaj Opis, np. Powiadomienie o udostępnieniu dokumentów poza firmę.
  5. Kliknij Dalej – wyświetl warunki.
  6. Wybierz Źródło danych na potrzeby reguły, np. Zdarzenia z dziennika administratora.

    Uwaga: dostępność źródeł danych zależy od wersji Google Workspace i Twoich uprawnień administratora. Szczegółowe informacje znajdziesz w artykule Dostęp administratora do reguł raportowania i reguł związanych z aktywnością oraz w artykule dotyczącym źródeł danych i warunków w narzędziu do analizy zagrożeń
     
  7. Ustaw co najmniej 1 warunek reguły. Dla każdego warunku wybierz atrybut, operatorwartość.

    Aby na przykład skonfigurować warunek, który określa, że zdarzenie to przeniesienie własności dokumentu, jako atrybut wybierz Zdarzenie, jako operator – Równe, a jako wartość – Ustawienia Dokumentów > Przeniesienie własności dokumentu.

    Uwaga: Zdarzenie jest warunkiem wymaganym. Szczegółowe informacje na temat warunków dostępnych w przypadku poszczególnych źródeł danych znajdziesz w artykule dotyczącym źródeł danych i warunków w narzędziu do analizy zagrożeń.
     
  8. Kliknij Dalej – dodaj czynności.
    Uwaga: podczas tworzenia reguły związanej z aktywnością nie możesz dodawać działań dotyczących zdarzeń z dziennika Dysku.
  9. Zdefiniuj przedział czasu i próg reguły. Na przykład co 24 godziny, jeśli liczba jest większa niż 100. To oznacza, że reguła ma być aktywowana, jeśli wyszukiwanie obejmujące okres 24 godzin zwraca ponad 100 wyników.
  10. Na potrzeby reguły wybierz Czynność, np. zawieszenie kont użytkowników lub wymuszenie zmiany hasła.
  11. Określ, czy reguła ma wyzwalać alert w Centrum alertów.
    • Wybierz wagę alertu (Duża, Umiarkowana lub Mała).
    • Jeśli zdecydujesz się aktywować alert w Centrum alertów, możesz też wybrać opcję wysyłania e-maili z powiadomieniami: zaznacz pole Wszyscy superadministratorzy lub kliknij Dodaj odbiorców e-maila, aby po aktywowaniu reguły wysłać e-maile do wybranych administratorów.
  12. Kliknij Dalej – sprawdź.
    Na tej stronie możesz sprawdzić wszystkie szczegółowe informacje i wprowadzić ewentualne zmiany, zanim utworzysz regułę.
  13. Sprawdź Stan reguły
    Gdy tworzysz regułę związaną z aktywnością, jej domyślny stan to Aktywna. Oznacza to, że system zacznie zbierać dzienniki, a reguła będzie wymuszana. Możesz również ustawić stan reguły na Monitor, co umożliwi sprawdzanie dzienników przed wymuszeniem reguły. Później możesz ustawić stan jako Nieaktywny, aby system już nie zbierał dzienników, a reguła nie była wymuszana.
  14. Kliknij Utwórz regułę.

Uwaga: podczas konfigurowania reguły związanej z aktywnością możesz użyć karty Narzędzie do definiowania warunków, w której filtry są przedstawiane jako warunki z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.

Strona Reguły: wyświetlanie i edytowanie reguł związanych z aktywnością

Po utworzeniu reguły związanej z aktywnością możesz otworzyć stronę Reguły, aby wyświetlić ustawienia i zakres reguły, jej warunki oraz czynności wywoływane po osiągnięciu progów.

Na stronie Reguły możesz też wyświetlić listę wszystkich reguł utworzonych przez administratorów w Twojej domenie. Otwórz stronę główną konsoli administracyjnej Google i kliknij Reguły.

Na stronie Reguły administratorzy w domenie mogą wyświetlać reguły utworzone przez innych administratorów, jeśli tylko mają dostęp do źródeł danych poszczególnych reguł i odpowiednie uprawnienia. Na przykład administrator, który ma uprawnienia do wyświetlania zdarzeń z dziennika Dysku, ale nie zdarzeń z dziennika Gmaila, nie zobaczy żadnych reguł dotyczących zdarzeń z dziennika Gmaila.

Na stronie Reguły można też:

  • filtrować listę reguł przez kliknięcie Dodaj filtr;
  • wyświetlać i edytować ustawienia reguły po kliknięciu jej na liście;
  • usuwać reguły;
  • tworzyć nowe reguły;
  • kliknąć Zbadaj, aby otworzyć narzędzie do analizy zagrożeń i wyświetlić dane zdarzeń z dziennika reguł.

Alerty e-mail

Jeśli skonfigurujesz dla reguły związanej z aktywnością e-maile z powiadomieniami, po jej wywołaniu będzie ona wysyłać tylko 1 e-maila z powiadomieniem w każdym oknie progu i nie będzie wysyłać powiadomień przy każdym wywołaniu. E-mail z powiadomieniem zawiera podsumowanie informacji o regule, której dotyczy alert, w tym jej nazwę, próg, dane źródłowe i inne informacje. Administratorzy, którzy otrzymali takiego e-maila z powiadomieniem, mogą kliknąć Wyświetl alert, aby otworzyć stronę Szczegóły alertu w Centrum alertów.

Uwaga: wielokrotne zdarzenia, które wywołują tę samą regułę w oknie czasu progu alertu, są grupowane w jednym e-mailu.

Powiązane artykuły

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
8251338097798851824
true
Wyszukaj w Centrum pomocy
true
true
true
false
false