Как создавать правила активности

Инструмент "Анализ безопасности". Настройка оповещений и своевременное реагирование

Чтобы быстрее и эффективнее предотвращать, обнаруживать и устранять проблемы с безопасностью, можно устанавливать оповещения и автоматизировать действия в инструменте "Анализ безопасности", создавая правила активности.

Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Проще говоря, правило представляет собой инструкцию: если произошло событие А, нужно выполнить действие Б.

Администраторы могут создать правило активности, которое будет отправлять им оповещения или выполнять какое-либо действие по результатам поискового запроса, настроенного в инструменте "Анализ безопасности". Когда задано правило активности, Google постоянно выполняет настроенный в нем поиск. Если количество результатов поиска больше настроенного порогового значения, то Google выполнит действия, которые вы указали. Например, можно настроить правило, чтобы отправлять уведомления по электронной почте конкретным администраторам, когда доступ к документам на Диске предоставляется кому-либо не из числа сотрудников компании.

Доступ с правами администратора к правилам активности

Возможность создания и просмотра правил активности зависит от используемой версии Google Workspace, ваших прав администратора и источника данных. Подробную информацию можно найти в статье Доступ с правами администратора к правилам оповещения и правилам активности.

Важное руководство по созданию правил активности

  • Правила активности можно создавать только на основе данных из журналов, например событий журнала Gmail или событий журнала устройства. Нельзя создавать правила активности на основе источников данных с меняющимся состоянием, например браузеров Chrome, устройств, сообщений из Gmail и пользователей.
  • Доступные источники данных зависят от версии Google Workspace. Подробные сведения приведены в статье Как задать условия поиска в инструменте "Анализ безопасности.
  • В каждый запрос необходимо добавить хотя бы один атрибут события.
  • Вы можете применить оператор ИЛИ на верхнем уровне, только если в каждой последовательности условий указано "Событие".
  • Для каждого атрибута можно добавить только одно значение. Например, атрибут "Исполнитель" может обозначать только одного пользователя. Указать несколько значений можно с помощью конструктора условий: добавьте оператор ИЛИ, а затем тот же атрибут с дополнительным значением.
  • К правилам действий нельзя применять фильтры по дате (из-за постоянной проверки выполнения их условий).
  • Правило должно предусматривать по крайней мере одно действие или оповещение.
  • Поскольку правила действий основаны на событиях журнала, они срабатывают после того, как события произошли. По этой причине правила активности не подходят для таких действий, как блокировка, предоставление общего доступа к документу или отправка электронных сообщений.

Принцип работы пороговых значений для правил

Когда вы задаете пороговое значение для правила, это значение рассчитывается на основе действий всех пользователей, а не каждого по отдельности. Например, вы создали правило, согласно которому аккаунты блокируются после пяти неудачных попыток входа в течение часа. Пороговое значение достигается, когда один или несколько пользователей совершают в сумме пять неудачных попыток входа в течение часа. После этого будут заблокированы все пользователи, которые совершили по меньшей мере одну неудачную попытку входа.

Создание правила активности

Вы можете создать правило активности при помощи инструмента "Анализ безопасности" или на странице "Правил". 

Выполните указанные ниже действия.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность > инструмент "Анализ безопасности" и нажмите Создать правило активности.

    —ИЛИ—

    На главной странице консоли администратора выберите Правила, а затем нажмите Создать правило > Активность.
     
  3. Укажите название правила, например Распространение данных вне организации.
  4. Добавьте описание. Пример: Уведомлять, когда доступ к документам предоставляется пользователям, не являющимся сотрудниками компании.
  5. Нажмите Далее: проверьте условия.
  6. Выберите Источник данных для правила. Например: Журнал аудита администратора.

    Примечание. Доступные источники данных зависят от вашей версии Google Workspace и ваших прав администратора. Подробные сведение приведены в статьях Доступ с правами администратора к правилам оповещения и правилам активности и Источники данных и условия в инструменте "Анализ безопасности"
     
  7. Установите одно или несколько условий для правила. Выберите для каждого условия атрибут, оператор и значение

    Например, чтобы задать условие, которое будет указывать, что событие – это передача права собственности на документ, выберите в качестве атрибута Событие, в качестве оператора Является и в качестве значения Настройки документа > Передача права собственности на документ

    Примечание: Событие – это обязательное условие. Условия, которые можно применять к отдельным источникам данных, подробно описаны ниже на странице Источники данных и условия в инструменте "Анализ безопасности".
     
  8. Затем нажмите Добавить действия.
    Примечание. При создании правила активности вы не можете добавлять действия для событий журнала Диска.
  9. Задайте для правила период времени и пороговое значение. Например, в качестве порогового значения можно указать Каждые 24 часа, когда количество больше 100. Тогда, если в течение любого периода продолжительностью 24 часа у поискового запроса окажется больше 100 результатов, будет выполняться это правило.
  10. Выберите Действие для правила. Например: временно блокировать пользователей или инициировать принудительную смену пароля.
  11. Выберите, должно ли это правило активировать оповещение в центре оповещений.
    • Выберите степень серьезности: высокую, среднюю или низкую.
    • Если вы решите активировать оповещение в центре оповещений, также можно настроить отправку уведомлений по электронной почте. Для этого установите флажок Все суперадминистраторы и/или нажмите Добавить получателей эл. почты, чтобы при активации правила отправлялись письма определенным администраторам.
  12. Нажмите Проверить правило.
    На этой странице можно проверить все сведения о правиле и при необходимости внести изменения, прежде чем создавать правило.
  13. Проверьте статус правила
    При создании правила активности для статуса правила по умолчанию устанавливается значение Активно. Оно означает, что правило применяется, а система собирает данные журналов. При желании вы также можете задать для статуса значение Монитор, которое позволяет проверять журналы перед применением правила. Позднее вы также сможете задать для правила статус Неактивно, который указывает, что правило не применяется, а система больше не собирает данные для журналов.
  14. Нажмите Создать правило.

Примечание. При настройке правила активности вы можете использовать вкладку Конструктор условий, где фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска.

Страница "Правила". Просмотр и изменение правил активности

После создания правила активности вы можете перейти на страницу Правила, чтобы посмотреть сведения о правиле и его область действия, условия правила, а также действия, которые выполняются при достижении пороговых значений. 

На странице "Правила" вы также можете найти список всех правил, которые были созданы администраторами в вашем домене. Откройте главную страницу консоли администратора и нажмите Правила.

На странице "Правила" администраторы домена могут просматривать правила, созданные другими администраторами, в зависимости от источника данных для правила и прав, которые есть у каждого из администраторов. Например, у одного из администраторов может быть право на просмотр событий журналов Диска, но не событий журналов Gmail, из-за чего он не сможет видеть правила, основанные на событиях журналов Gmail.

На странице "Правила" можно выполнять следующие действия:

  • Фильтровать список правил, нажимая Добавить фильтр.
  • Просматривать и изменять информацию о правилах, нажимая на них.
  • Удалять правила.
  • Создавать новые правила.
  • Нажмите Анализ, чтобы открыть инструмент исследования для просмотра данных из событий журнала правил.

Оповещения по электронной почте

Если настроить для правила активности уведомления по электронной почте, в течение периода срабатывания письмо будет отправляться только при первом срабатывании правила. В таком уведомлении содержится сводная информация о правиле, которое отправило оповещение, с указанием названия, сведений о пороговом значении, данных источника и прочего. Администраторы, получившие уведомление по электронной почте, могут нажать в письме Посмотреть оповещение, чтобы перейти на нужную страницу в Центре оповещений.

Примечание. Если в период действия оповещения происходит несколько событий, активирующих то же самое правило, то сведения о них включаются в одно электронное письмо.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
6888564261547232681
true
Поиск по Справочному центру
true
true
true
false
false