Skapa och hantera aktivitetsregler

Verktyg för säkerhetsutredningar: Konfigurera varningar och vidta åtgärder

Förebygg, identifiera och åtgärda säkerhetsproblem snabbare och effektivare genom att konfigurera varningar och automatisera åtgärder i utredningsverktyget genom att skapa aktivitetsregler

Konfigurera en regel genom att ställa in villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. En regel är helt enkelt ett sätt att säga, om x inträffar, gör automatiskt y.

Som administratör kan du skapa en aktivitetsregel som varnar dig eller vidtar åtgärder baserat på en sökning som du konfigurerar i utredningsverktyget. När du har konfigurerat aktivitetsregeln utför Google kontinuerligt en sökning som du har angett i regeln. Om antalet resultat som returneras av sökningen överstiger tröskeln som du har angett utför Google de åtgärder du anger. Du kan till exempel skapa en regel för att skicka e-postmeddelanden till vissa administratörer om Drive-dokument delas ut utanför företaget.

Administratörsåtkomst till aktivitetsregler

Dina möjligheter att skapa och visa aktivitetsregler beror på din Google Workspace-utgåva, dina administrativa behörigheter och datakällan. Mer information finns i Administratörsåtkomst till rapporteringsregler och aktivitetsregler.

Viktiga riktlinjer för att skapa aktivitetsregler

  • Du kan bara skapa aktivitetsregler baserat på loggdatakällor (till exempel Logghändelser för Gmail eller Logghändelser för enhet).Det går inte att skapa aktivitetsregler baserat på realtidsdatakällor som Chrome-webbläsare, Enheter, Gmail-meddelanden och Användare.
  • Vilka datakällor som är tillgängliga varierar beroende på din Google Workspace-utgåva. Mer information finns i Anpassa sökningar med utredningsverktyget.
  • Du måste lägga till minst ett händelseattribut i sökningen.
  • Du kan enbart inkludera ett ELLER-operator på den översta nivån om du inkluderar ett händelsevillkor i varje villkorssökväg.
  • Du kan bara lägga till ett värde för attributet. Aktör kan till exempel bara inkludera en användare. Om du vill inkludera flera värden använder du villkorsverktyget för att lägga till en ELLER-operator. Lägg sedan till samma attribut med ytterligare värde.
  • Du kan inte använda datumfilter för aktivitetsregler (eftersom reglerna utvärderas kontinuerligt).
  • Du måste lägga till minst en åtgärd eller varning i regeln.
  • Eftersom aktivitetsreglerna baseras på logghändelser aktiveras de efter att händelsen inträffat. Aktivitetsregler är därför inte lämpliga för sådant som att blockera eller dela ett dokument eller skicka e-post.

Så fungerar gränser för regler

När du anger en gräns för en regel tillämpas den kumulativt i alla användaråtgärder, inte per användare. Låt säga att du skapar en regel för att stänga av användare efter fem misslyckade inloggningsförsök inom en timme. Gränsen uppnås efter fem misslyckade inloggningsförsök för en eller flera användare inom en timme. I det här fallet stängs alla användare med minst ett misslyckat inloggningsförsök.

Skapa en aktivitetsregel

Du kan skapa en aktivitetsregel antingen från verktyget för säkerhetsutredningar eller från regelsidan. 

Gör så här:

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På startsidan för administratörskonsolen öppnar du Säkerhet > Utredningsverktyg och klickar på Skapa aktivitetsregel.

    —ELLER—

    Från startsidan för administratörskonsolen öppnar du Regler. Klicka sedan på Skapa regel > Aktivitet.
     
  3. Ange ett regelnamn – till exempel Extern datadelning.
  4. Ange en Beskrivning, till exempel Avisera om dokument delas utanför företaget.
  5. Klicka på Nästa: Visa villkor.
  6. Välj en Datakälla för regeln, till exempel Administratörslogghändelser.

    Obs! Tillgängligheten för datakällor varierar beroende på Google Workspace-utgåvan och administratörsbehörigheterna. Mer information finns i Administratörsåtkomst till rapporteringsregler och aktivitetsregler och Datakällor och villkor i utredningsverktyget
     
  7. Ange ett eller flera villkor för regeln. För varje villkor väljer du ett attribut, en operator och ett värde

    Om du till exempel vill konfigurera ett villkor som anger att händelsen är en överföring av dokumentägarskap väljer du Händelse som attribut och väljer Är som operator och Dokumentinställningar > Överför dokumentägare som värde.

    Obs! Händelse är ett obligatoriskt villkor. Mer information om villkor som är tillgängliga för respektive datakälla finns i Datakällor och villkor i utredningsverktyget.
     
  8. Klicka på Nästa: Lägg till åtgärder.
    Obs! När du skapar en aktivitetsregel kan du inte lägga till åtgärder för Drive-logghändelser.
  9. Definiera en tidsperiod och ett tröskelvärde för regeln. Du kan till exempel konfigurera ett tröskelvärde på 24 timmar när antalet är större än 100. Det betyder att du vill att regeln ska aktiveras om sökningen returnerar fler än 100 resultat under en period på 24 timmar.
  10. Välj en åtgärd för regeln, till exempel för att stänga av användare eller tvinga fram en lösenordsändring.
  11. Välj om du vill att den här regeln ska aktivera en varning i varningscentret.
    • Välj allvarlighetsgrad: Hög, Medel eller Låg.
    • Om du väljer att aktivera en varning i varningscentret kan du även välja att skicka e-postaviseringar genom att markera rutan Alla avancerade administratörer och/eller genom att klicka på Lägg till e-postmottagare för att skicka e-post till utvalda administratörer när regeln aktiveras.
  12. Klicka på Nästa: Granska.
    Använd den här sidan för att se alla detaljer i regeln och vid behov göra ändringar innan du skapar regeln.
  13. Kontrollera regelstatus.
    När du skapar en aktivitetsregel är regelstatusen Aktiv som standard, vilket innebär att systemet börjar samla in loggar och regeln kommer att tillämpas. Du kan även ställa in regelstatusen på Övervaka, så att du kan granska loggarna innan du tillämpar regeln. Senare kan du också ställa in regeln på Inaktiv, vilket innebär att systemet inte längre samlar in loggar och att regeln inte tillämpas. 
  14. Klicka på Skapa regel.

Obs! När du skapar en aktivitetsregel kan du använda fliken Villkorsverktyg där filter representeras som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.

Regelsida: Visa och redigera aktivitetsregler

När du har skapat en aktivitetsregel kan du öppna sidan Regler och visa detaljer och omfattning för regeln, villkor för regeln och åtgärder som aktiveras när tröskelvärdena är uppfyllda. 

På regelsidan kan du även se en lista över alla regler som har skapats av administratörer på domänen. Öppna startsidan för Googles administratörskonsol och klicka på Regler.

På sidan Regler kan administratörer inom domänen visa regler som har skapats av andra administratörer, beroende på datakällan för regeln och behörigheterna för varje administratör. En administratör kan till exempel ha visningsbehörighet för Drive-logghändelser, men inte för Gmail-logghändelser och kan därför inte se regler som är baserade Gmail-logghändelser.

Du kan använda regelsidan för att göra följande:

  • Filtrera listan med regler genom att klicka på Lägg till ett filter
  • Visa och redigera regelinformation genom att klicka på en av reglerna på regelsidan.
  • Ta bort regler.
  • Skapa nya regler.
  • Klicka på Utred för att öppna utredningsverktyget och visa data från regellogghändelser.

E-postvarningar

Om du ställer in e-postaviseringar för regeln skickar aktivitetsregeln bara ett e-postmeddelande per tröskelfönster när regeln aktiveras för första gången och skickar inga aviseringar för andra gånger den aktiveras. E-postaviseringen innehåller en sammanfattning av regeln som aktiverade varningen, inklusive regelnamnet, tröskeldetaljerna, källdata med mera. Administratörer som får e-postaviseringen kan klicka på Visa varning och förflyttas då till sidan Varningsinformation i varningscentret.

Obs! Flera händelser som utlöser samma regel inom tidsperioden för varningströskeln slås samman till ett e-postmeddelande.

Relaterade artiklar

Var det här till hjälp?

Hur kan vi förbättra den?
true
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
4979707146794704755
true
Sök i hjälpcentret
true
true
true
false
false