W zależności od używanej wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji
Jako administrator organizacji możesz wyszukiwać problemy z zabezpieczeniami związane ze zdarzeniami z dziennika ukończenia szkoły i podejmować odpowiednie działania. Możesz tam śledzić operacje przenoszenia danych uczniów kończących szkołę z ich kont Google Workspace for Education na inne konta Google ze zdarzeniami z dzienników Graduation.
Przeszukiwanie zdarzeń z dziennika administratora
Możliwość przeprowadzania wyszukiwania zależy od wersji Google, Twoich uprawnień administracyjnych i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.
Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.
-
Zaloguj się na konto administratora w konsoli administracyjnej Google.
Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.
-
Otwórz Menu
Raportowanie > Kontrola i analiza zagrożeń > Zdarzenia z dziennika Graduation.
Wymaga uprawnień administratora Raporty.
- Kliknij Dodaj filtr, a następnie wybierz atrybut.
- W wyskakującym okienku wybierz operator
wybierz wartość
- (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- Kliknij Szukaj.
Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.
Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.
-
Zaloguj się na konto administratora w konsoli administracyjnej Google.
Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.
-
Kliknij Menu
Zabezpieczenia > Centrum bezpieczeństwa > Narzędzie do analizy zagrożeń.
Wymaga uprawnień administratora Centrum bezpieczeństwa.
- Kliknij Źródło danych i wybierz Zdarzenia z dziennika Graduation.
- Kliknij Dodaj warunek.
Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych. - Kliknij Atrybut
Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów poniżej. - Wybierz operator.
- Wpisz wartość lub wybierz ją z listy.
- (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz kroki 4–7.
- Kliknij Szukaj.
W narzędziu do analizy zagrożeń wyniki wyszukiwania są wyświetlane w tabeli u dołu strony. - (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz
Uwaga:
- Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
- Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą stara_nazwa@example.com.
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
| Atrybut | Opis |
|---|---|
| Użytkownik, który wykonał czynność | Adres e-mail użytkownika, który wykonał czynność |
| Nazwa grupy |
Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania:
|
| Jednostka organizacyjna użytkownika, który wykonał czynność | Jednostka organizacyjna użytkownika, który wykonał czynność |
| Data | Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce) |
| Zdarzenie | Zarejestrowane zdarzenie, np. Rozpoczęcie migracji danych |
| Czas zakończenia migracji | Godzina zakończenia migracji danych |
| Czas rozpoczęcia migracji | Godzina rozpoczęcia migracji danych |
| Odsetek przeniesionych elementów z Dysku | Odsetek plików na Dysku, które zostały przeniesione |
| Odsetek przeniesionych wiadomości z Gmaila | Odsetek wiadomości Gmaila, które zostały przeniesione |
| Adres e-mail użytkownika | Adres e-mail użytkownika, którego dane są przenoszone |
Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta StaraNazwa@example.com na NowaNazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą StaraNazwa@example.com.
Zarządzanie danymi zdarzeń z dziennika
Zarządzanie danymi w kolumnie wyników wyszukiwania
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami
.
- (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń
.
- (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół
i wybierz kolumnę danych.
W razie potrzeby powtórz tę czynność. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
- Kliknij Zapisz.
Eksportowanie danych wyników wyszukiwania
Wyniki wyszukiwania możesz wyeksportować do Arkuszy Google lub do pliku CSV.
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.
Limity eksportu różnią się od siebie:
- Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
-
Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 10 tys. wierszy.
Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.
Kiedy i jak długo dane są dostępne?
Podejmowanie działań na podstawie wyników wyszukiwania
- Korzystając z reguł raportowania, możesz skonfigurować alerty na podstawie danych zdarzenia z dziennika. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
-
Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Szczegółowe informacje i instrukcje znajdziesz w artykule o tworzeniu reguł związanych z aktywnością i zarządzaniu nimi.
Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.
Zarządzanie analizami zagrożeń
Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele szablonów analizy zagrożeń oraz daty ostatniej modyfikacji.
Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok danego szablonu analizy zagrożeń i kliknij Czynności.
Uwaga: bezpośrednio nad listą szablonów analizy zagrożeń w sekcji Szybki dostęp możesz wyświetlić ostatnio zapisane szablony analizy zagrożeń.
Jako superadministrator kliknij Ustawienia , aby:
- zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
- Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
- Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
- Włącz lub wyłącz opcję Włącz uzasadnianie działań.
Odpowiednie informacje i instrukcje znajdziesz w artykule na temat konfigurowania ustawień analizy zagrożeń.
Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.
Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.
Powiązane artykuły w Centrum bezpieczeństwa
- Rozpoczynanie analizy zagrożeń na podstawie wykresu w panelu
- Tworzenie niestandardowego wykresu na podstawie analizy zagrożeń
- Rozpoczynanie analizy zagrożeń w Centrum alertów
- Sprawdzanie zgłoszeń dotyczących złośliwych e-maili
- Analizowanie udostępniania plików
- Analizowanie informacji o użytkowniku na podstawie różnych źródeł danych