En tant qu'administrateur de votre organisation, vous pouvez utiliser la page d'audit et d'enquête pour effectuer des recherches en rapport avec les événements de journaux de règles. Vous pouvez y consulter un récapitulatif des actions permettant d'examiner les tentatives de partage de données sensibles par l'utilisateur. Par exemple, vous pouvez examiner les événements déclenchés suite au non-respect de règles de protection contre la perte de données. Les entrées y apparaissent généralement dans l'heure suivant l'action réalisée par l'utilisateur.
Les événements du journal des règles répertorient également les types de données pour la prévention des menaces et la protection des données de BeyondCorp.
Pour obtenir la liste complète des services et des activités que vous pouvez examiner, tels que Google Drive ou l'activité des utilisateurs, consultez À propos de l'outil d'audit et d'investigation.
Ouvrir la page d'audit et d'enquête
Accéder aux données d'événements des journaux de règles
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Création de rapports Audit et enquête Événements du journal des règles.
Filtrer les données
- Ouvrez les événements de journaux comme indiqué ci-dessus dans Accéder aux données d'événement des journaux de règles.
- Cliquez sur Ajouter un filtre, puis sélectionnez un attribut.
- Dans la fenêtre pop-up, sélectionnez un opérateursélectionnez une valeurcliquez sur Appliquer.
-
(Facultatif) Pour créer plusieurs filtres pour votre recherche :
- Cliquez sur Ajouter un filtre, puis répétez l'étape 3.
- (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de Ajouter un filtre.
- Cliquez sur Rechercher.
Remarque: L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
Attribut | Description | ||||||||
---|---|---|---|---|---|---|---|---|---|
Niveau d'accès | Niveaux d'accès sélectionnés comme conditions d'accès contextuel pour cette règle. Les niveaux d'accès ne s'appliquent qu'aux données Chrome. Pour en savoir plus, consultez Créer des niveaux d'accès contextuel. | ||||||||
Acteur | Adresse e-mail de l'utilisateur ayant réalisé l'activité. La valeur peut indiquer Utilisateur anonyme si les événements se sont produits suite à une nouvelle analyse. | ||||||||
Nom de groupe de l'acteur |
Nom de groupe de l'utilisateur Pour en savoir plus, consultez Filtrer les résultats par groupe Google. Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :
|
||||||||
Unité organisationnelle de l'acteur | Unité organisationnelle à laquelle appartient l'acteur | ||||||||
Destinataires bloqués | Destinataires bloqués par la règle déclenchée | ||||||||
Action conditionnelle | Liste des actions susceptibles d'être déclenchées au moment de l'accès de l'utilisateur, en fonction des conditions de contexte configurées pour la règle. | ||||||||
ID de la conférence | ID de conférence de la réunion pour laquelle une action a été effectuée dans le cadre de ce déclencheur de règle | ||||||||
Identifiant du conteneur | ID du conteneur parent auquel appartient la ressource | ||||||||
Type de conteneur | Type de conteneur parent auquel la ressource appartient, par exemple espace Chat ou chat de groupe, pour les messages ou les pièces jointes dans Chat | ||||||||
Source de données | Application à l'origine de la ressource | ||||||||
Date | Date et heure auxquelles l'événement s'est produit | ||||||||
ID du détecteur | Identifiant d'un détecteur correspondant | ||||||||
Nom du détecteur | Nom d'un détecteur correspondant défini par les administrateurs | ||||||||
ID de l'appareil | ID de l'appareil sur lequel l'action a été déclenchée Ce type de données s'applique à Chrome Enterprise Premium threat and data protection. | ||||||||
Type d'appareil | Type d'appareil désigné par l'ID de l'appareil. Ce type de données s'applique à Chrome Enterprise Premium threat and data protection. | ||||||||
Événement | Action d'événement consigné.
* La partie "Action terminée" de ces noms d'événements sera abandonnée. |
||||||||
Comporte du contenu sensible | Pour les règles de protection contre la perte de données déclenchées pour lesquelles du contenu sensible a été détecté et consigné, la valeur est True. | ||||||||
Destinataire* | Personnes ayant reçu la ressource partagée | ||||||||
Nombre de destinataires omis* | Nombre de destinataires de ressources omis en raison du dépassement de la limite | ||||||||
ID de ressource | Objet modifié. Pour les règles de protection contre la perte de données :
|
||||||||
Propriétaire de la ressource | Utilisateur propriétaire de la ressource qui a été analysée et pour laquelle une action a été appliquée | ||||||||
Titre de la ressource | Titre de la ressource qui a été modifiée. Dans le cadre de la protection contre la perte de données, cela concerne le titre d'un document. | ||||||||
Type de ressource | Dans le cadre de la protection contre la perte de données, la ressource est Document. Pour la protection contre la perte de données Chat, la ressource est Message Chat ou Pièce jointe de chat. | ||||||||
ID de la règle | ID de la règle ayant déclenché l'événement | ||||||||
Nom de la règle | Nom attribué à la règle par l'administrateur lors de sa création | ||||||||
Type de règle | La valeur DLP correspond aux règles de protection contre la perte de données. | ||||||||
Type d'analyse |
Les valeurs sont les suivantes :
|
||||||||
Gravité | Niveau de gravité attribué à la règle lors de son déclenchement | ||||||||
Action écartée* | Actions configurées dans la règle, mais supprimées. Une action est supprimée lorsqu'une action de priorité supérieure se produit en même temps et se déclenche. | ||||||||
Déclencheur | Activité ayant entraîné le déclenchement d'une règle | ||||||||
Action déclenchée | Répertorie les actions effectuées. Ce champ est vide si une règle consignant uniquement les incidents dans un journal d'audit a été déclenchée. | ||||||||
Adresse IP du client du déclencheur | Adresse IP de l'acteur ayant déclenché l'action | ||||||||
Adresse e-mail de l'utilisateur à l'origine du déclenchement de la règle* | Adresse e-mail de l'acteur ayant déclenché l'action | ||||||||
Action utilisateur | Action que l'utilisateur tentait et qui a été bloquée par une règle |
Gérer les données d'événement des journaux
Gérer les données des colonnes de résultats de recherche
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
- (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
Exporter les données des résultats de recherche
- En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
- Saisissez un nom cliquez sur Exporter.
L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action. - Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Google Sheets.
Créer des règles de reporting
Accédez à Créer et gérer des règles de reporting.
Quand et pendant combien de temps les données sont-elles disponibles ?
Accédez à Conservation des données et temps de latence.
Examiner les cas de non-respect des règles de protection contre la perte de données à l'aide des événements du journal des règles
En tant qu'administrateur, vous pouvez utiliser les extraits de protection contre la perte de données pour déterminer si le non-respect d'une règle de protection contre la perte de données est un incident réel ou un faux positif. Pour en savoir plus, consultez Afficher les contenus qui déclenchent les règles de protection contre la perte de données (bêta).