สร้างและจัดการกฎกิจกรรม

เครื่องมือตรวจสอบความปลอดภัย: ตั้งค่าการแจ้งเตือนและดําเนินการ

คุณจะตั้งค่าการแจ้งเตือนและปรับให้การทำงานในเครื่องมือตรวจสอบเกิดขึ้นโดยอัตโนมัติได้โดยการสร้างกฎกิจกรรม ซึ่งจะช่วยป้องกัน ตรวจจับ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างรวดเร็วและมีประสิทธิภาพมากขึ้น 

หากต้องการกำหนดค่ากฎ คุณจะต้องตั้งเงื่อนไขของกฎและระบุการดำเนินการที่จะเกิดขึ้นเมื่อตรงตามเงื่อนไข ซึ่งกฎเป็นวิธีง่ายๆ ในการอธิบายว่าหาก x เกิดขึ้น ให้ทำ y โดยอัตโนมัติ

ในฐานะผู้ดูแลระบบ คุณจะสร้างกฎกิจกรรมให้แจ้งเตือนหรือดำเนินการตามการค้นหาที่กำหนดค่าไว้ในเครื่องมือตรวจสอบก็ได้ หลังจากกำหนดค่ากฎกิจกรรมแล้ว Google จะทำการค้นหาอย่างต่อเนื่องตามที่คุณระบุไว้ในกฎ หากจำนวนผลลัพธ์ที่ได้จากการค้นหานั้นเกินเกณฑ์ที่คุณตั้งไว้ Google จะดำเนินการตามที่คุณทำการระบุ ตัวอย่างเช่น ตั้งค่ากฎให้ส่งการแจ้งเตือนทางอีเมลไปยังผู้ดูแลระบบบางรายเมื่อมีการแชร์เอกสารในไดรฟ์นอกบริษัท

สิทธิ์ระดับผู้ดูแลระบบในการเข้าถึงกฎกิจกรรม

ความสามารถในการสร้างและดูกฎกิจกรรมจะขึ้นอยู่กับรุ่น Google Workspace, สิทธิ์ในการดูแลระบบ และแหล่งข้อมูล โปรดดูรายละเอียดที่หัวข้อสิทธิ์ระดับผู้ดูแลระบบในการเข้าถึงกฎการรายงานและกฎกิจกรรม

หลักเกณฑ์สําคัญสําหรับการสร้างกฎกิจกรรม

  • คุณสามารถสร้างกฎกิจกรรมโดยอิงตามแหล่งข้อมูลเหตุการณ์ในบันทึกเท่านั้น เช่น เหตุการณ์ในบันทึกของ Gmail หรือเหตุการณ์ในบันทึกของอุปกรณ์ คุณไม่สามารถสร้างกฎกิจกรรมโดยอิงตามแหล่งข้อมูลสถานะปัจจุบัน เช่น เบราว์เซอร์ Chrome, อุปกรณ์ ข้อความ Gmail และผู้ใช้
  • แหล่งข้อมูลที่ใช้ได้จะแตกต่างกันไปตามรุ่นของ Google Workspace โปรดดูรายละเอียดเพิ่มเติมในหัวข้อปรับแต่งการค้นหาด้วยเครื่องมือตรวจสอบ
  • คุณต้องเพิ่มแอตทริบิวต์เหตุการณ์อย่างน้อย 1 รายการในการค้นหา
  • คุณจะกำหนดโอเปอเรเตอร์ "OR" ในระดับบนสุดได้เฉพาะเมื่อคุณกำหนดเงื่อนไข "Event" ในเส้นทางเงื่อนไขทั้งหมด
  • คุณจะเพิ่มค่าให้กับแอตทริบิวต์ได้เพียงค่าเดียวเท่านั้น เช่น ผู้ดำเนินการจะมีผู้ใช้ได้เพียงคนเดียว หากต้องการระบุหลายค่า ให้ใช้เครื่องมือสร้างเงื่อนไขเพื่อเพิ่มโอเปอเรเตอร์ OR แล้วเพิ่มแอตทริบิวต์เดียวกันพร้อมกับค่าเพิ่มเติม
  • คุณจะใช้ตัวกรองวันที่กับกฎกิจกรรมไม่ได้ (เนื่องจากระบบจะประเมินกฎอย่างต่อเนื่อง)
  • คุณต้องเพิ่มการดำเนินการหรือการแจ้งเตือนอย่างน้อย 1 รายการลงในกฎ
  • เนื่องจากกฎกิจกรรมอิงตามเหตุการณ์ในบันทึก กฎจึงทำงานหลังเกิดเหตุการณ์ ด้วยเหตุนี้ กฎกิจกรรมจึงไม่เหมาะกับงานจำพวกการบล็อก การแชร์เอกสาร หรือการส่งอีเมล

วิธีการทำงานของเกณฑ์สำหรับกฎ

เมื่อคุณกำหนดเกณฑ์สำหรับกฎ ระบบจะใช้เกณฑ์กับการดำเนินการของผู้ใช้ร่วมกัน ไม่ใช่ตามผู้ใช้แต่ละราย เช่น สมมติว่าคุณสร้างกฎเพื่อระงับผู้ใช้หลังจากที่มีการเข้าสู่ระบบไม่สำเร็จ 5 ครั้งภายใน 1 ชั่วโมง เกณฑ์จะถึงกำหนดเมื่อมีการพยายามเข้าสู่ระบบที่ล้มเหลว 5 ครั้งสำหรับผู้ใช้อย่างน้อย 1 รายภายใน 1 ชั่วโมง ในกรณีนี้ ระบบจึงจะระงับผู้ใช้ทุกคนที่เข้าสู่ระบบไม่สำเร็จอย่างน้อย 1 ครั้ง

สร้างกฎกิจกรรม

คุณสามารถสร้างกฎกิจกรรมได้จากเครื่องมือตรวจสอบความปลอดภัยหรือจากหน้ากฎ 

โปรดทำตามขั้นตอนต่อไปนี้

  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่ความปลอดภัย > เครื่องมือตรวจสอบ แล้วคลิกสร้างกฎกิจกรรม

    - หรือ -

    จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่กฎ แล้วจากนั้นคลิกสร้างกฎ > กิจกรรม
     
  3. ป้อนชื่อกฎ เช่น การแชร์ข้อมูลภายนอก
  4. ป้อนคําอธิบาย เช่น แจ้งเตือนหากมีการแชร์เอกสารภายนอกบริษัท
  5. คลิกถัดไป: ดูเงื่อนไข
  6. เลือกแหล่งข้อมูลสําหรับกฎ เช่น เหตุการณ์ในบันทึกของผู้ดูแลระบบ

    หมายเหตุ: ความพร้อมใช้งานของแหล่งข้อมูลจะแตกต่างกันไปตามรุ่น Google Workspace และสิทธิ์ของผู้ดูแลระบบ โปรดดูรายละเอียดที่หัวข้อสิทธิ์ระดับผู้ดูแลระบบในการเข้าถึงกฎการรายงานและกฎกิจกรรมและแหล่งข้อมูลและเงื่อนไขในเครื่องมือตรวจสอบ 
     
  7. ตั้งค่าเงื่อนไขอย่างน้อย 1 รายการสําหรับกฎ สําหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า 

    เช่น หากต้องการตั้งค่าเงื่อนไขที่ระบุว่าเหตุการณ์นั้นๆ เป็นการโอนความเป็นเจ้าของเอกสาร ให้เลือกเหตุการณ์เป็นแอตทริบิวต์ จากนั้นเลือก Is เป็นโอเปอเรเตอร์ และเลือกการตั้งค่าเอกสาร > โอนการเป็นเจ้าของเอกสารเป็นค่า 

    หมายเหตุ: เหตุการณ์เป็นเงื่อนไขที่ต้องระบุ โปรดดูรายละเอียดเกี่ยวกับเงื่อนไขที่มีให้สําหรับแหล่งข้อมูลแต่ละรายการที่หัวข้อแหล่งข้อมูลและเงื่อนไขในเครื่องมือตรวจสอบ
     
  8. คลิกถัดไป: เพิ่มการดำเนินการ
    หมายเหตุ: เมื่อสร้างกฎกิจกรรม คุณไม่สามารถเพิ่มการดำเนินการสำหรับเหตุการณ์ในบันทึกของไดรฟ์ได้
  9. กำหนดระยะเวลาและเกณฑ์สำหรับกฎ ตัวอย่างเช่น อาจกำหนดเกณฑ์เป็นทุกๆ 24 ชั่วโมงเมื่อจำนวนนับมีค่ามากกว่า 100 ก็ได้ ซึ่งหมายความว่าในช่วง 24 ชั่วโมงใดๆ ที่กำหนดไว้ หากการค้นหาส่งคืนผลลัพธ์มากกว่า 100 รายการ คุณต้องการให้กฎนี้ทำงาน 
  10. เลือกการดําเนินการของกฎ เช่น ระงับผู้ใช้หรือบังคับให้เปลี่ยนรหัสผ่าน
  11. เลือกว่าคุณต้องการให้กฎนี้เรียกใช้การแจ้งเตือนในศูนย์แจ้งเตือนหรือไม่
    • เลือกระดับความรุนแรงเป็นสูง ปานกลาง หรือต่ำ
    • หากเลือกเรียกใช้การแจ้งเตือนในศูนย์แจ้งเตือน คุณยังเลือกส่งการแจ้งเตือนทางอีเมลได้โดยเลือกช่องผู้ดูแลระบบขั้นสูงทั้งหมดและ/หรือคลิกเพิ่มผู้รับอีเมลเพื่อส่งอีเมลถึงผู้ดูแลระบบบางรายเมื่อมีการเรียกใช้กฎ
  12. คลิกถัดไป: ตรวจสอบ
    ใช้หน้านี้เพื่อตรวจสอบรายละเอียดทั้งหมดของกฎและทำการเปลี่ยนแปลงหากจำเป็นก่อนที่จะสร้างกฎ
  13. ตรวจสอบสถานะกฎ
    ขณะสร้างกฎกิจกรรม สถานะกฎจะเป็นใช้งานตามค่าเริ่มต้น ซึ่งหมายความว่าระบบจะเริ่มรวบรวมบันทึกและบังคับใช้กฎนั้นๆ นอกจากนี้คุณยังมีตัวเลือกให้ตั้งค่าสถานะกฎเป็นตรวจสอบ ซึ่งช่วยให้คุณตรวจสอบบันทึกก่อนที่จะบังคับใช้กฎได้อีกด้วย หลังจากนั้นคุณยังจะตั้งค่ากฎเป็นไม่ใช้งาน ซึ่งหมายความว่าระบบจะหยุดรวบรวมบันทึกและไม่บังคับใช้กฎอีกต่อไปได้อีกด้วย 
  14. คลิกสร้างกฎ

หมายเหตุ: เมื่อตั้งค่ากฎกิจกรรม คุณสามารถใช้แท็บเครื่องมือสร้างเงื่อนไข ซึ่งเป็นส่วนที่จะแสดงตัวกรองเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย

หน้ากฎ: ดูและแก้ไขกฎกิจกรรม

หลังจากสร้างกฎกิจกรรมแล้ว คุณสามารถไปที่หน้ากฎเพื่อดูรายละเอียดและขอบเขตของกฎ เงื่อนไขสําหรับกฎ และการดําเนินการที่เกิดขึ้นเมื่อถึงเกณฑ์ 

นอกจากนี้ คุณยังสามารถดูรายการกฎทั้งหมดที่ผู้ดูแลระบบในโดเมนของคุณสร้างขึ้นได้จากหน้ากฎ ไปที่หน้าแรกของคอนโซลผู้ดูแลระบบของ Google แล้วคลิกกฎ

ผู้ดูแลระบบภายในโดเมนจะดูกฎที่สร้างโดยผู้ดูแลระบบรายอื่นได้จากหน้ากฎ โดยขึ้นอยู่กับแหล่งข้อมูลสำหรับกฎและสิทธิ์ของผู้ดูแลระบบแต่ละคน ตัวอย่างเช่น ผู้ดูแลระบบอาจมีสิทธิ์ดูเหตุการณ์ในบันทึกของไดรฟ์ แต่ดูเหตุการณ์ในบันทึกของ Gmail ไม่ได้ ดังนั้นจึงจะดูกฎใดๆ ที่ยึดตามเหตุการณ์ในบันทึกของ Gmail ไม่ได้ด้วย

คุณใช้หน้ากฎเพื่อดำเนินการต่อไปนี้ได้

  • กรองรายการกฎโดยคลิกเพิ่มตัวกรอง 
  • ดูและแก้ไขรายละเอียดของกฎโดยคลิกกฎที่ต้องการซึ่งแสดงอยู่ในหน้ากฎ
  • ลบกฎ
  • สร้างกฎใหม่
  • คลิกตรวจสอบเพื่อเปิดเครื่องมือตรวจสอบเพื่อดูข้อมูลจากเหตุการณ์ในบันทึกของกฎ

การแจ้งเตือนทางอีเมล

หากคุณตั้งค่าการแจ้งเตือนทางอีเมลสำหรับกฎ กฎกิจกรรมดังกล่าวจะส่งอีเมลแจ้งเตือนเพียงฉบับเดียวต่อกรอบเวลาของเกณฑ์เมื่อมีการเรียกใช้กฎครั้งแรก และจะไม่ส่งการแจ้งเตือนสำหรับเวลาอื่นที่มีการเรียกใช้กฎ การแจ้งเตือนทางอีเมลมีข้อมูลสรุปของกฎที่เรียกใช้การแจ้งเตือน รวมไปถึงชื่อกฎ รายละเอียดเกณฑ์ ข้อมูลแหล่งที่มา และอื่นๆ ผู้ดูแลระบบที่ได้รับการแจ้งเตือนทางอีเมลจะคลิกดูการแจ้งเตือนเพื่อไปที่หน้ารายละเอียดการแจ้งเตือนในศูนย์แจ้งเตือนได้

หมายเหตุ: ระบบจะรวบรวมเหตุการณ์หลายๆ รายการที่เรียกใช้กฎเดียวกันภายในกรอบเวลาของเกณฑ์การแจ้งเตือนไว้ในอีเมลเดียว

บทความที่เกี่ยวข้อง

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร
true
ค้นหา
ล้างการค้นหา
ปิดการค้นหา
เมนูหลัก
282333390244918052
true
ค้นหาศูนย์ช่วยเหลือ
true
true
true
false
false