Gebeurtenissen in het logboek Regels

De pogingen bekijken van uw gebruikers om gevoelige gegevens te delen

Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren die zijn gerelateerd aan regel-logboekgebeurtenissen en op basis hiervan actie ondernemen. U kunt bijvoorbeeld een overzicht van acties bekijken om de pogingen van uw gebruiker om gevoelige gegevens te delen te beoordelen. U kunt ook gebeurtenissen bekijken die zijn geactiveerd door overtredingen van de DLP-regels (Data Loss Prevention). Invoeren verschijnen meestal binnen een uur nadat de gebruikersactie is uitgevoerd.

In de regellogboekgebeurtenissen worden ook gegevenstypen vermeld voor Chrome Enterprise Premium threat and data protection.

Your access to log events

  • Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
  • Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center. 
    • Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
    • All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.

Logboekgebeurtenisgegevens doorsturen naar Google Cloud

U kunt ervoor kiezen informatie over logboekgebeurtenissen te delen met Google Cloud. Als u delen aanzet, worden gegevens doorgestuurd naar Cloud Logging. Hier kunt u logboeken bekijken en erin zoeken. Ook kunt u bepalen hoe logboeken worden gerouteerd en opgeslagen.

Voer een zoekopdracht uit naar logboekgebeurtenissen

Audit and investigation tool

To run a search for log events, first choose a data source. Then choose one or more filters for your search.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. On the left, click Reportingand thenAudit and investigationand thenRule log events.
  3. Klik op Een filter toevoegen en selecteer een kenmerk.
  4. Selecteer in het pop-upvenster een operatorand thenselecteer een waardeand thenklik op Toepassen.
    (Optioneel) Ga als volgt te werk om meerdere filters voor je zoekopdracht te maken:
    1. Klik op Een filter toevoegen en herhaal stap 3.
    2. (Optioneel) Als u een zoekoperator wilt toevoegen, selecteert u boven Een filter toevoegen de optie AND of OR.
    • (Optional) To create multiple filters for your search, repeat this step.
    • (Optional) To add a search operator, above Add a filter, select AND or OR
  5. Klik op Zoeken.

  6. Opmerking: Op het tabblad Filter kunt u eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaardenbuilder gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operators.

Security investigation tool

Requires a premium Google Workspace-versie (Enterprise Standard, Enterprise Plus of Education Plus)

Als u een zoekopdracht wilt uitvoeren in de onderzoekstool, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenBeveiligingscentrumand thenOnderzoekstool.
  3. Click Data source and select Rule log events.
  4. Klik op Voorwaarde toevoegen.
    Tip: U kunt een of meer voorwaarden toevoegen aan de zoekopdracht of de zoekopdracht aanpassen met geneste zoekopdrachten. Zie Een zoekopdracht aanpassen met geneste zoekopdrachten voor meer informatie.
  5. Klik op Kenmerkand thenselecteer een optie.
    Ga naar het gedeelte Kenmerkbeschrijvingen hieronder voor de volledige lijst met kenmerken.
  6. Klik op Bevatand thenselecteer een operator.
  7. Vul een waarde in of selecteer een waarde in het dropdownmenu.
  8. (Optioneel) Herhaal stap 4-7 om meer zoekvoorwaarden toe te voegen.
  9. Klik op Zoeken.
    In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina.
  10. (Optioneel) Als u het onderzoek wilt opslaan, klikt u op Opslaan and thenvul een titel en een beschrijving inand thenklik op Opslaan.

Opmerking:

  • Op het tabblad Voorwaardenbuilder worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld OudeNaam@example.com de naam NieuweNaam@example.com geeft, ziet u geen gebeurtenissen gerelateerd aan OudeNaam@example.com.

Kenmerkbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u in gebeurtenisgegevens in logboeken zoekt:

Kenmerk Beschrijving
Toegangsniveau De toegangsniveaus die zijn geselecteerd als de voorwaarden voor contextbewuste toegang van deze regel. Toegangsniveaus gelden alleen voor Chrome-gegevens. Ga naar Niveaus voor contextbewuste toegang maken voor meer informatie.
Handelende gebruiker Het e-mailadres van de gebruiker die de activiteit heeft uitgevoerd. De waarde kan Anoniem zijn als de gebeurtenissen het resultaat zijn van het opnieuw scannen van een bestand.
Naam van handelende groep

Groepsnaam van de handelende gebruiker. Ga naar Resultaten filteren op Google-groep voor meer informatie.

Zo voegt u een groep toe op de toelatingslijst voor filtergroepen:

  1. Selecteer Naam van handelende groep.
  2. Klik op Filtergroepen.
    De pagina Filtergroepen wordt geopend.
  3. Klik op Groepen toevoegen.
  4. Zoek een groep door de eerste tekens van de naam of het e-mailadres in te voeren. Selecteer de juiste groep wanneer deze verschijnt.
  5. (Optioneel) Als u nog een groep wilt toevoegen, zoekt u deze groep en selecteert u deze.
  6. Klik op Toevoegen als u de juiste groepen heeft geselecteerd.
  7. (Optioneel) Als u een groep wilt verwijderen, klikt u op Groep verwijderen .
  8. Klik op Opslaan.
Handelende organisatie-eenheid De organisatie-eenheid van de handelende gebruiker.
Geblokkeerde ontvangers De ontvangers die worden geblokkeerd door de getriggerde regel
Voorwaardelijke actie Een lijst met acties die kunnen worden getriggerd op het moment van gebruikerstoegang, afhankelijk van de contextvoorwaarden die zijn ingesteld voor de regel.
Conferentie-ID Conferentie-ID van de vergadering waarvoor actie is ondernomen als onderdeel van deze regeltrigger
Container-ID ID van de bovenliggende container waartoe de bron behoort
Containertype Het type bovenliggende container waartoe de bron behoort, bijvoorbeeld Chatruimte of Groepschat voor chatberichten of chatbijlagen
Gegevensbron De app waarin de bron oorspronkelijk stond.
Datum De datum en tijd waarop de gebeurtenis heeft plaatsgevonden
Detector-ID ID van een overeenkomende detector
Naam detector De naam van een overeenkomende detector die door beheerders is gedefinieerd.
Apparaat-ID De ID van het apparaat waarop de actie is getriggerd. Dit gegevenstype is van toepassing op Chrome Enterprise Premium threat and data protection.
Apparaattype Het type apparaat waarnaar de apparaat-ID verwijst.Dit gegevenstype is van toepassing op Chrome Enterprise Premium threat and data protection.
Gebeurtenis De geregistreerde gebeurtenisactie. 
  • Voor DLP-regels worden de volgende gebeurtenissen opgeslagen:
    Gebeurtenis Uitleg
    Actie afgerond, content kwam overeen* Content van een Drive-document is gemarkeerd door een DLP-regel.
    Actie afgerond, content kwam niet meer overeen* Het Drive-document is niet gemarkeerd, omdat de content die oorspronkelijk een DLP-regel heeft getriggerd, niet meer aanwezig is.
    Toegang geblokkeerd Het downloaden of kopiëren van een Drive-bestand is geblokkeerd door een DLP-regel.
     
  • Als een Drive-label wordt gewijzigd, is de waarde Label toegepast, Veldwaarde gewijzigd of Label verwijderd.
  • Als vertrouwensregels het delen van Drive-bestanden blokkeren, is de waarde Delen geblokkeerd.
  • Als vertrouwensregels de toegang tot Drive-bestanden (bekijken, downloaden of kopiëren) blokkeren, is de waarde Toegang geblokkeerd.

* Het gedeelte 'Actie voltooid' van deze gebeurtenisnamen wordt beëindigd.
Bevat gevoelige content Voor getriggerde DLP-regels waarin gevoelige content is gedetecteerd en vastgelegd, is de waarde Waar.
Ontvanger* De gebruikers die de gedeelde bron hebben ontvangen.
Aantal weggelaten ontvangers* Aantal ontvangers van faciliteit weggelaten vanwege overschrijding van de limiet
Resource-ID Het aangepaste object. Voor DLP-regels:
  • Voor items die betrekking hebben op Google Drive klikt u op de faciliteit-ID om het aangepaste Drive-document te bekijken.
  • Voor items die betrekking hebben op Google Chat, klikt u op de faciliteit-ID om meer informatie over een chatgesprek te bekijken. Sommige Chat-gegevens kunnen verlopen. Niet alle gegevens zijn dus altijd beschikbaar.
Resource-eigenaar De gebruiker die de eigenaar is van de bron die is gescand en waarop een actie is toegepast.
Brontitel De titel van de bron die is gewijzigd. Voor DLP is dit een documenttitel.
Brontype Voor DLP is de bron Document. Voor DLP voor Chat is de bron Chatbericht of Chatbijlage.
Regel-ID ID van de regel die de actie heeft getriggerd
Naam regel De regelnaam die is opgegeven door de beheerder toen de regel werd gemaakt.
Regeltype Voor DLP-regels is de waarde DLP.
Scantype

Waarden:

  • Doorlopend scannen in Drive (als een regel wordt gewijzigd)
  • Online scan (terwijl een document wordt gewijzigd)
  • Scancontent van chat voordat deze wordt verstuurd (als er een chatbericht wordt gestuurd)
Ernst De ernst die is toegewezen aan de regel toen deze werd getriggerd.
Onderdrukte actie* Acties die voor de regel zijn geconfigureerd, maar zijn onderdrukt. Een actie wordt onderdrukt als er tegelijkertijd een actie met een hogere prioriteit wordt getriggerd en uitgevoerd.
Trigger Activiteit die ertoe heeft geleid dat een regel is getriggerd
Getriggerde actie De uitgevoerde actie. Dit veld is leeg als er een alleen-controleregel is getriggerd.
Client-IP triggeren IP-adres van de handelende gebruiker die de actie heeft getriggerd
E-mailadres betreffende gebruiker* E-mailadres van de handelende gebruiker die de actie heeft getriggerd.
Actie gebruiker De actie die de gebruiker probeerde uit te voeren en die is geblokkeerd door een regel
* U kunt geen rapportregels maken met deze filters. Meer informatie over rapportregels versus activiteitsregels

Opmerking: Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld OudeNaam@example.com de naam NieuweNaam@example.com geeft, ziet u geen gebeurtenissen gerelateerd aan OudeNaam@example.com.

 

Logboekgebeurtenisgegevens beheren

Kolomgegevens in de zoekresultaten beheren

Je kunt instellen welke gegevenskolommen worden getoond in de zoekresultaten.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
  2. (Optioneel) Als je huidige kolommen wilt verwijderen, klik je op Verwijderen .
  3. (Optioneel) Als je kolommen wilt toevoegen, klik je naast Nieuwe kolom toevoegen op de pijl-omlaag  en selecteer je de juiste gegevenskolom.
    Herhaal deze stappen indien nodig.
  4. (Optioneel) Als je de volgorde van kolommen wilt wijzigen, versleep je de kolomnaam.
  5. Klik op Opslaan.

Zoekresultaten exporteren

  1. Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
  2. Voer een naam in and then klik op Exporteren.
    De export wordt getoond onder de tabel met zoekresultaten, bij Actieresultaten exporteren.
  3. Klik op de naam van de export om de gegevens te bekijken.
    De export wordt geopend in Google Spreadsheets.

Rapportregels maken

Zie Rapportregels maken en beheren.

Wanneer en hoelang zijn gegevens beschikbaar?

Zie Bewaartijden van gegevens en vertragingstijden.

Acties uitvoeren op basis van zoekresultaten

Acties uitvoeren op basis van zoekresultaten

Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de onderzoekstool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Zie Acties uitvoeren op basis van zoekresultaten voor meer informatie over acties in de onderzoekstool.

Activiteitsregels maken en meldingen instellen

U kunt acties in de onderzoekstool automatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Zie Activiteitsregels maken en beheren voor meer informatie en instructies.

Uw onderzoeken beheren

De lijst met onderzoeken bekijken

Klik op Onderzoeken bekijken  om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.

In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.

Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.

Instellingen instellen voor onderzoeken

Klik als hoofdbeheerder op Instellingen  om het volgende te doen:

  • De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
  • Beoordeling vereisen aan- of uitzetten. Zie Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
  • Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
  • De instelling Reden voor actie aanzetten aan- of uitzetten.

Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.

Kolommen in de zoekresultaten beheren

U kunt bepalen welke gegevenskolommen worden getoond in de zoekresultaten.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
  2. (Optioneel) Als u huidige kolommen wilt verwijderen, klikt u op Item verwijderen .
  3. (Optioneel) Als u kolommen wilt toevoegen, klikt u naast 'Nieuwe kolom toevoegen' op de pijl-omlaag  en selecteert u de juiste gegevenskolom.
    Herhaal de stappen indien nodig.
  4. (Optioneel) Als u de volgorde van kolommen wilt wijzigen, versleept u de kolomnaam.
  5. Klik op Opslaan.
Gegevens exporteren uit zoekresultaten
  1. Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
  2. Vul een naam inand thenklik op Exporteren.
    De export wordt onder de tabel met zoekresultaten weergegeven, onder Actieresultaten exporteren.
  3. Klik op de naam van de export om de gegevens te bekijken.
    De export wordt geopend in Google Spreadsheets.

Het volgende geldt als u geëxporteerde zoekresultaten bekijkt:

  • Nadat u bovenaan de tabel op de knop Alles exporteren heeft geklikt, wordt er een Google-spreadsheet met de zoekresultaten gemaakt in de map Mijn Drive. Afhankelijk van de hoeveelheid resultaten kan de export enige tijd duren en kunnen er meerdere Google-spreadsheets worden gemaakt. Er kunnen in totaal niet meer dan 30 miljoen rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 1,25 miljoen rijen).
  • Tijdens de export worden er Google-spreadsheets gemaakt met een tijdelijke naam, zoals TMP-1-<titel>. Als er meerdere Google-spreadsheets worden gemaakt, krijgen aanvullende bestanden de naam TMP-2-<titel>, TMP-3-<titel> etc. Wanneer de export is voltooid, krijgen de bestanden automatisch de naam <titel> [1 van N], <titel> [2 van N] etc. Als de geëxporteerde gegevens in één Google-spreadsheet staan, krijgt dit de naam <titel>.
  • Welke rechten voor delen gelden voor bestanden met de geëxporteerde zoekresultaten, hangt af van uw domeinconfiguratie. Als gemaakte bestanden bijvoorbeeld standaard worden gedeeld met iedereen in het bedrijf, geldt deze zichtbaarheid ook voor de geëxporteerde gegevens.
Onderzoeken delen, verwijderen en dupliceren

Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.

Zie Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.

Wanneer en hoelang zijn gegevens beschikbaar?

Zie Bewaartijden van gegevens en vertragingstijden voor meer informatie over gegevensbronnen.

Uw onderzoeken beheren

 Requires a premium Google Workspace-versie (Enterprise Standard, Enterprise Plus of Education Plus)

View your list of investigations

To view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified. 

From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.

Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.

Configure settings for your investigations

As a super administrator, click Settings to :

  • Change the time zone for your investigations. The time zone applies to search conditions and results.
  • Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
  • Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
  • Turn on or off Enable action justification.

For instructions and details, go to Configure settings for your investigations.

Share, delete, and duplicate investigations

To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.

For details, go to Save, share, delete, and duplicate investigations.

Gebeurtenissen in het logboek Regels gebruiken om chatberichten te onderzoeken

Vereist een premium Google Workspace-versie (Enterprise Standard, Enterprise Plus of Education Plus)

Als beheerder kunt u een regel voor gegevensbescherming voor Chat maken om het lekken van gevoelige content te voorkomen. Vervolgens kunt u in de tool voor beveiligingsonderzoek Chat-activiteit in uw organisatie controleren, zoals berichten en bestanden die buiten uw domein worden gestuurd. Zie Chatberichten onderzoeken om de gegevens van uw organisatie te beschermen voor meer informatie.

Gebeurtenissen in het logboek Regels gebruiken om schendingen van DLP-regels te onderzoeken

Vereist een premium Google Workspace-versie (Enterprise Standard, Enterprise Plus of Education Plus)

Als beheerder kunt u DLP-fragmenten (gegevensverlies voorkomen) gebruiken om te onderzoeken of schending van een DLP-regel een incident echt is of vals positief. Ga naar Content weergeven waardoor DLP-regels worden getriggerd voor meer informatie.

Gerelateerde onderwerpen

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
3146068917072501221
true
Zoeken in het Helpcentrum
true
true
true
false
false