Friday, August 25, 2023

Aktivitätsregeln erstellen und verwalten – Google Workspace-Administratorhilfe [gg-a-en]

Aktivitätsregeln erstellen und verwalten

Sicherheitsuntersuchungstool: Richten Sie Warnungen ein und ergreifen Sie Maßnahmen

Um Sicherheitsprobleme schneller und effizienter zu verhindern, zu erkennen und zu beheben, können Sie im Untersuchungstool Warnungen einrichten und Aktionen automatisieren, indem Sie Aktivitätsregeln erstellen.

Um eine Regel zu konfigurieren, richten Sie Bedingungen für die Regel ein und geben an, welche Aktionen ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Eine Regel ist einfach eine Möglichkeit zu sagen: Wenn x passiert, tue automatisch y .

Als Administrator können Sie eine Aktivitätsregel erstellen, die Sie benachrichtigt oder basierend auf jeder Suche, die Sie im Untersuchungstool konfigurieren, Maßnahmen ergreift. Nachdem Sie die Aktivitätsregel konfiguriert haben, führt Google kontinuierlich eine Suche durch, die Sie in der Regel angegeben haben. Wenn die Anzahl der von dieser Suche zurückgegebenen Ergebnisse den von Ihnen festgelegten Schwellenwert überschreitet, führt Google die von Ihnen angegebenen Aktionen aus. Sie können beispielsweise eine Regel einrichten, um E-Mail-Benachrichtigungen an bestimmte Administratoren zu senden, wenn Drive-Dokumente außerhalb des Unternehmens geteilt werden.

Administratorzugriff auf Aktivitätsregeln

Ihre Fähigkeit, Aktivitätsregeln zu erstellen und anzuzeigen, hängt von Ihrer Google Workspace-Version, Ihren Administratorrechten und der Datenquelle ab. Weitere Informationen finden Sie unter Administratorzugriff auf Berichtsregeln und Aktivitätsregeln .

Wichtige Richtlinien zum Erstellen von Aktivitätsregeln

  • Sie können Aktivitätsregeln nur basierend auf Protokollereignis-Datenquellen erstellen, zum Beispiel Gmail-Protokollereignisse oder Geräteprotokollereignisse . Sie können keine Aktivitätsregeln erstellen, die auf Live-Status-Datenquellen wie Chrome-Browsern , Geräten , Gmail-Nachrichten und Benutzern basieren.
  • Die verfügbaren Datenquellen variieren je nach Ihrer Google Workspace-Version. Weitere Informationen finden Sie unter „Suchen mit dem Untersuchungstool anpassen" .
  • Sie müssen der Suche mindestens ein Ereignisattribut hinzufügen.
  • Sie können einen ODER-Operator nur dann auf der obersten Ebene einfügen, wenn Sie in jedem Bedingungspfad eine Ereignisbedingung einfügen.
  • Sie können für Aktivitätsregeln keine Datumsfilter verwenden (da die Regeln kontinuierlich ausgewertet werden).
  • Sie müssen der Regel mindestens eine Aktion oder Warnung hinzufügen.
  • Da Aktivitätsregeln auf Protokollereignissen basieren, werden sie ausgelöst , nachdem das Ereignis eintritt. Daher eignen sich Aktivitätsregeln nicht zum Blockieren oder Teilen eines Dokuments oder zum Versenden von E-Mails.

Erstellen Sie eine Aktivitätsregel

Sie können eine Aktivitätsregel entweder über das Sicherheitsuntersuchungstool oder über die Seite „Regeln" erstellen.

Folge diesen Schritten:

  1. Melden Sie sich bei Ihrer Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit > Untersuchungstool und klicken Sie auf Aktivitätsregel erstellen .

    -ODER-

    Gehen Sie auf der Startseite der Admin-Konsole zu Regeln und klicken Sie dann auf Regel erstellen > Aktivität .
  3. Geben Sie einen Regelnamen ein, zum Beispiel „Externe Datenfreigabe".
  4. Geben Sie eine Beschreibung ein – zum Beispiel „Benachrichtigen, wenn Dokumente außerhalb des Unternehmens geteilt werden" .
  5. Klicken Sie auf Weiter: Bedingungen anzeigen .
  6. Wählen Sie eine Datenquelle für die Regel aus, zum Beispiel Admin-Protokollereignisse .

    Hinweis: Die Verfügbarkeit von Datenquellen variiert je nach Ihrer Google Workspace-Version und Ihren Administratorrechten. Weitere Informationen finden Sie im Untersuchungstool unter „ Administratorzugriff auf Berichtsregeln und Aktivitätsregeln" und „Datenquellen und Bedingungen".
  7. Richten Sie eine oder mehrere Bedingungen für die Regel ein. Wählen Sie für jede Bedingung ein Attribut , einen Operator und einen Wert .

    Um beispielsweise eine Bedingung einzurichten, die angibt, dass es sich bei dem Ereignis um eine Übertragung des Dokumentbesitzes handelt, wählen Sie „Ereignis" als Attribut, „ Ist" als Operator und „Dokumenteinstellungen" > „Dokumenteigentum übertragen" als Wert.

    Hinweis: Das Ereignis ist eine erforderliche Bedingung. Einzelheiten zu den Bedingungen, die für jede Datenquelle verfügbar sind, finden Sie unter Datenquellen und Bedingungen im Untersuchungstool .
  8. Klicken Sie auf Weiter: Aktionen hinzufügen .
    Hinweis: Beim Erstellen einer Aktivitätsregel können Sie keine Aktionen für Drive-Protokollereignisse hinzufügen.
  9. Definieren Sie einen Zeitraum und einen Schwellenwert für die Regel. Beispielsweise können Sie einen Schwellenwert von „Alle 24 Stunden" konfigurieren, wenn die Anzahl größer als 100 ist . Das bedeutet, dass diese Regel für einen bestimmten Zeitraum von 24 Stunden ausgelöst werden soll, wenn Ihre Suche mehr als 100 Ergebnisse liefert.
  10. Wählen Sie eine Aktion für die Regel aus – zum Beispiel, um Benutzer zu sperren oder eine Passwortänderung zu erzwingen.
  11. Wählen Sie aus, ob diese Regel eine Benachrichtigung im Benachrichtigungscenter auslösen soll oder nicht.
    Wählen Sie den Schweregrad „Hoch", „Mittel" oder „Niedrig". Sie können auch E-Mail-Benachrichtigungen senden, indem Sie das Kontrollkästchen „Alle Superadministratoren" aktivieren und/oder auf „E-Mail-Empfänger hinzufügen" klicken, um E-Mails an ausgewählte Administratoren zu senden, wenn die Regel ausgelöst wird.
  12. Klicken Sie auf Weiter: Überprüfen .
    Auf dieser Seite können Sie alle Details der Regel überprüfen und bei Bedarf Änderungen vornehmen, bevor Sie die Regel erstellen.
  13. Überprüfen Sie den Regelstatus .
    Beim Erstellen einer Aktivitätsregel lautet der Regelstatus standardmäßig „Aktiv" , was bedeutet, dass das System mit der Protokollerfassung beginnt und die Regel durchgesetzt wird. Sie haben auch die Möglichkeit, den Regelstatus auf „Überwachen" festzulegen, sodass Sie Protokolle überprüfen können, bevor Sie die Regel durchsetzen. Später können Sie die Regel auch auf „Inaktiv" setzen, was bedeutet, dass das System keine Protokolle mehr sammelt und die Regel nicht durchgesetzt wird.
  14. Klicken Sie auf Regel erstellen .

Hinweis: Beim Einrichten einer Aktivitätsregel können Sie die Registerkarte „Bedingungsgenerator" verwenden, auf der Filter als Bedingungen mit UND/ODER-Operatoren dargestellt werden. Sie können auch die Registerkarte „Filter" verwenden, um einfache Parameter- und Wertepaare zum Filtern der Suchergebnisse einzubeziehen.

Seite „Regeln": Zeigen Sie Ihre Aktivitätsregeln an und bearbeiten Sie sie

Nachdem Sie eine Aktivitätsregel erstellt haben, können Sie zur Seite „Regeln" gehen, um die Details und den Umfang der Regel, die Bedingungen für die Regel und die Aktionen anzuzeigen, die ausgelöst werden, wenn Schwellenwerte erreicht werden.

Auf der Seite „Regeln" können Sie auch eine Liste aller Regeln sehen, die von Administratoren in Ihrer Domain erstellt wurden. Gehen Sie zur Startseite der Google Admin-Konsole und klicken Sie auf Regeln .

Auf der Seite „Regeln" können Administratoren in Ihrer Domäne von anderen Administratoren erstellte Regeln anzeigen, abhängig von der Datenquelle für die Regel und den Berechtigungen jedes Administrators. Beispielsweise verfügt ein Administrator möglicherweise über Anzeigeberechtigungen für Drive-Protokollereignisse, jedoch nicht für Gmail-Protokollereignisse und kann daher keine Regeln anzeigen, die auf Gmail-Protokollereignissen basieren.

Auf der Seite „Regeln" können Sie die folgenden Aktionen ausführen:

  • Filtern Sie die Liste der Regeln, indem Sie auf Filter hinzufügen klicken.
  • Sie können Regeldetails anzeigen und bearbeiten, indem Sie auf eine der auf der Seite „Regeln" aufgeführten Regeln klicken.
  • Regeln löschen.
  • Erstellen Sie neue Regeln.
  • Klicken Sie auf „Untersuchen" , um das Untersuchungstool zu öffnen und Daten aus Regelprotokollereignissen anzuzeigen.

E-Mail-Benachrichtigungen

Wenn Sie E-Mail-Benachrichtigungen für Ihre Regel einrichten, werden E-Mails an bestimmte Empfänger gesendet, wenn die Regel ausgelöst wird. Die E-Mail-Benachrichtigung enthält eine Zusammenfassung der Regel, die die Warnung ausgelöst hat, einschließlich des Regelnamens, der Schwellenwertdetails, Quelldaten und mehr. Administratoren, die die E-Mail-Benachrichtigung erhalten, können auf „Benachrichtigung anzeigen" klicken, um zur Seite „Benachrichtigungsdetails" im Benachrichtigungscenter zu gelangen.

Hinweis: Mehrere Ereignisse, die innerhalb des Zeitfensters des Alarmschwellenwerts dieselbe Regel auslösen, werden in einer E-Mail zusammengefasst.

In Verbindung stehende Artikel

Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)