Steuern Sie den Zugriff auf Apps basierend auf Benutzer- und Gerätekontext
Kontextbezogene Zugriffsprotokollereignisse
Als Administrator Ihrer Organisation können Sie das Sicherheitsuntersuchungstool verwenden, um Suchvorgänge im Zusammenhang mit kontextsensitiven Zugriffsprotokollereignissen durchzuführen und auf der Grundlage der Ergebnisse Maßnahmen zu ergreifen. Im Untersuchungstool können Sie eine Aufzeichnung der Maßnahmen zur Fehlerbehebung anzeigen, wenn einem Benutzer der Zugriff auf eine App verweigert wird. Einträge erscheinen in der Regel innerhalb einer Stunde, nachdem dem Benutzer der Zugriff verweigert wurde.
Weitere Informationen finden Sie in der Übersicht über den kontextsensitiven Zugriff .
Ihr Zugriff auf das Sicherheitsuntersuchungstool
- Zu den unterstützten Editionen des Sicherheitsuntersuchungstools gehören Enterprise Plus, Education Standard, Education Plus und Enterprise Essentials Plus.
- Administratoren mit Cloud Identity Premium, Frontline Standard , Enterprise Standard und Education Standard können das Untersuchungstool auch für eine Teilmenge von Datenquellen verwenden.
- Ob Sie eine Suche im Untersuchungstool durchführen können, hängt von Ihrer Google-Version , Ihren Administratorrechten und der Datenquelle ab. Wenn Sie im Untersuchungstool keine Suche nach einer bestimmten Datenquelle durchführen können, können Sie stattdessen die Prüfungs- und Untersuchungsseite verwenden.
Hinweis: Sie können im Untersuchungstool eine Suche für alle Nutzer durchführen, unabhängig von der Google-Version, die sie verwenden.
Führen Sie eine Suche nach Protokollereignissen für den kontextsensitiven Zugriff durch
Um eine Suche im Untersuchungstool durchzuführen, wählen Sie zunächst die Datenquelle aus. Wählen Sie dann eine oder mehrere Bedingungen für die Suche aus. Wählen Sie für jede Bedingung ein Attribut , einen Operator und einen Wert .
- Melden Sie sich bei Ihrer Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).
Melden Sie sich bei Ihrer Google Admin-Konsole an.Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).
- Klicken Sie links auf der Startseite der Admin-Konsole auf Sicherheit Sicherheitscenter Ermittlungstool .
- Klicken Sie auf Datenquelle Wählen Sie Protokollereignisse für kontextsensitiven Zugriff aus.
- Klicken Sie auf Bedingung hinzufügen .
Hinweis : Sie können eine oder mehrere Bedingungen in Ihre Suche einbeziehen. Sie können Ihre Suche auch mit verschachtelten Abfragen anpassen – Suchen mit zwei oder drei Bedingungsebenen (Einzelheiten finden Sie unter Anpassen Ihrer Suche mit verschachtelten Abfragen ). - Klicken Sie auf Attribut Wählen Sie ein Attribut aus, zum Beispiel „Darsteller" oder „Datum" . Eine vollständige Liste der Attribute, die für kontextsensitive Zugriffsprotokollereignisse verfügbar sind, finden Sie unten in den Attributbeschreibungen.
Hinweis: Wenn Sie den Datumsbereich für Ihre Suche eingrenzen, werden Ihre Ergebnisse früher im Untersuchungstool angezeigt. Wenn Sie die Suche beispielsweise auf Ereignisse der letzten Woche eingrenzen, wird die Abfrage schneller zurückgegeben, als wenn Sie suchen, ohne die Abfrage auf einen kürzeren Zeitraum zu beschränken. - Wählen Sie einen Operator aus, zum Beispiel „ Ist ", „Ist nicht" , „ Enthält " oder „Enthält nicht" .
- Wählen Sie einen Wert für das Attribut aus oder geben Sie ihn ein. Für einige Attribute wählen Sie aus einer Liste aus und für andere geben Sie einen Wert ein.
- (Optional) Um mehrere Suchbedingungen einzubeziehen, wiederholen Sie die Schritte 4–7.
- Klicken Sie auf Suchen .
Suchergebnisse im Untersuchungstool werden in einer Tabelle unten auf der Seite angezeigt. - (Optional) Um Ihre Suchergebnisse zu speichern, klicken Sie rechts auf Speichern Geben Sie einen Titel und eine Beschreibung ein Klicken Sie auf Speichern .
Notiz:
- Auf der Registerkarte „Bedingungsgenerator" werden Filter als Bedingungen mit UND/ODER-Operatoren dargestellt. Sie können auch die Registerkarte „Filter" verwenden, um einfache Parameter- und Wertepaare zum Filtern der Suchergebnisse einzubeziehen.
- Wenn Sie einem Benutzer einen neuen Namen gegeben haben, werden keine Abfrageergebnisse mit dem alten Namen des Benutzers angezeigt. Wenn Sie beispielsweise OldName@example.com in NewName@example.com umbenennen, werden keine Ergebnisse für Ereignisse im Zusammenhang mit OldName@example.com angezeigt.
Attributbeschreibungen
Für diese Datenquelle können Sie beim Durchsuchen von Protokollereignisdaten die folgenden Attribute verwenden:
Attribut | Beschreibung |
---|---|
Zugriffsebene angewendet | Zugriffsebenen, die der App zugewiesen sind, auf die der Benutzer zugreifen wollte |
Zugriffsebene erfüllt | Bei der Auswertung eines Zugriffs die Liste aller Zugriffsebenen , die erfüllt sind |
Zugriffsebene nicht erfüllt | Bei der Auswertung eines Zugriffs wird die Liste aller Zugriffsebenen angezeigt, die nicht erfüllt sind |
Schauspieler | E-Mail-Adresse des Benutzers, der die Aktion ausgeführt hat |
Name der Schauspielergruppe | Gruppenname des Akteurs. Weitere Informationen finden Sie unter Ergebnisse nach Google-Gruppe filtern . So fügen Sie eine Gruppe zu Ihrer Filtergruppen-Zulassungsliste hinzu:
|
Organisationseinheit Schauspieler | Organisationseinheit des Akteurs |
Anwendung | App, auf die der Benutzer keinen Zugriff hatte |
Datum | Datum und Uhrzeit des Ereignisses (wird in der Standardzeitzone Ihres Browsers angezeigt) |
Geräte ID | Die ID des Geräts, wie auf der Startseite der Admin-Konsole angezeigt Geräte |
Gerätestatus | Status des Geräts, mit dem dieser Zugriff durchgeführt wurde – zum Beispiel „Normal" , „ Nicht synchronisiert " (veraltet oder alt) oder „ Organisationsübergreifend " (Gerät gehört nicht zu Ihrer Organisation). |
Ereignis | Die protokollierte Ereignisaktion, z. B. „Zugriff verweigert" oder „Interner Fehler bei Zugriff verweigert". |
IP Adresse | IP-Adresse des Akteurs |
Ergreifen Sie Maßnahmen basierend auf den Suchergebnissen
Nachdem Sie im Untersuchungstool eine Suche durchgeführt haben, können Sie auf Ihre Suchergebnisse reagieren. Sie können beispielsweise eine Suche basierend auf Gmail-Protokollereignissen ausführen und dann das Untersuchungstool verwenden, um bestimmte Nachrichten zu löschen, Nachrichten in die Quarantäne zu senden oder Nachrichten an die Posteingänge der Benutzer zu senden. Weitere Einzelheiten zu Aktionen im Untersuchungstool finden Sie unter Ergreifen von Maßnahmen basierend auf Suchergebnissen .
Erstellen Sie Aktivitätsregeln und richten Sie Benachrichtigungen ein
Um Sicherheitsprobleme effizient zu verhindern, zu erkennen und zu beheben, können Sie Aktionen im Untersuchungstool automatisieren und Warnungen einrichten, indem Sie Aktivitätsregeln erstellen. Um eine Regel einzurichten, richten Sie Bedingungen für die Regel ein und geben Sie dann an, welche Aktionen ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Einzelheiten und Anweisungen finden Sie unter Aktivitätsregeln erstellen und verwalten .
Verwalten Sie Ihre Untersuchungen
Sehen Sie sich Ihre Untersuchungsliste anUm eine Liste der Untersuchungen anzuzeigen, deren Eigentümer Sie sind und die mit Ihnen geteilt wurden, klicken Sie auf Untersuchungen anzeigen . Die Untersuchungsliste enthält die Namen, Beschreibungen und Eigentümer der Untersuchungen sowie das Datum der letzten Änderung.
Von dieser Liste aus können Sie Maßnahmen für alle Untersuchungen ergreifen, deren Eigentümer Sie sind, beispielsweise um eine Untersuchung zu löschen. Aktivieren Sie das Kontrollkästchen für eine Untersuchung und klicken Sie dann auf Aktionen .
Hinweis: Direkt über Ihrer Untersuchungsliste, unter Schnellzugriff , Sie können kürzlich gespeicherte Untersuchungen anzeigen.
Klicken Sie als Superadministrator auf Einstellungen Zu :
- Ändern Sie die Zeitzone für Ihre Untersuchungen. Die Zeitzone gilt für Suchbedingungen und Ergebnisse.
- Aktivieren oder deaktivieren Sie „Rezensent erforderlich" . Weitere Informationen finden Sie unter Prüfer für Massenaktionen erforderlich .
- Aktivieren oder deaktivieren Sie „Inhalt anzeigen" . Mit dieser Einstellung können Administratoren mit den entsprechenden Berechtigungen Inhalte anzeigen.
- Aktivieren oder deaktivieren Sie „Aktionsbegründung aktivieren" .
Anweisungen und Details finden Sie unter Einstellungen für Ihre Untersuchungen konfigurieren .
Sie können steuern, welche Datenspalten in Ihren Suchergebnissen angezeigt werden.
- Klicken Sie oben rechts in der Suchergebnistabelle auf Spalten verwalten .
- (Optional) Um aktuelle Spalten zu entfernen, klicken Sie auf Element entfernen .
- (Optional) Um Spalten hinzuzufügen, klicken Sie neben „Neue Spalte hinzufügen" auf den Abwärtspfeil und wählen Sie die Datenspalte aus.
Bei Bedarf wiederholen. - (Optional) Um die Reihenfolge der Spalten zu ändern, ziehen Sie den Spaltennamen.
- Klicken Sie auf Speichern .
Sie können Suchergebnisse im Untersuchungstool in Google Sheets oder in eine CSV-Datei exportieren. Anweisungen finden Sie unter Suchergebnisse exportieren .
Um Ihre Suchkriterien zu speichern oder mit anderen zu teilen, können Sie eine Untersuchung erstellen und speichern und sie dann teilen, duplizieren oder löschen.
Weitere Informationen finden Sie unter Untersuchungen speichern, teilen, löschen und duplizieren .
Weitere Informationen zu Datenquellen finden Sie unter Datenaufbewahrung und Verzögerungszeiten .
verwandte Themen
- Starten Sie eine Untersuchung basierend auf einem Dashboard-Diagramm
- Erstellen Sie ein benutzerdefiniertes Diagramm basierend auf einer Untersuchung
- Starten Sie eine Untersuchung über die Alarmzentrale
- Untersuchen Sie Berichte über bösartige E-Mails
- Untersuchen Sie die Dateifreigabe
- Untersuchen Sie einen Benutzer datenquellenübergreifend
No comments:
Post a Comment