Thursday, October 26, 2023

Regelprotokollereignisse – Google Workspace-Administratorhilfe [gg-a-en]

Regelprotokollereignisse

Prüfungs- und Untersuchungsseite: Überprüfen Sie die Versuche Ihrer Benutzer, vertrauliche Daten weiterzugeben
Die Audit-Log-Seite wurde durch eine neue Audit- und Untersuchungsseite ersetzt. Informationen zu dieser Änderung finden Sie unter Verbesserte Prüfungs- und Untersuchungserfahrung: Was ist neu in Google Workspace?

Als Administrator Ihrer Organisation können Sie die Prüfungs- und Untersuchungsseite verwenden, um Suchvorgänge im Zusammenhang mit Regelprotokollereignissen durchzuführen. Dort können Sie eine Aufzeichnung der Aktionen einsehen, um die Versuche Ihres Benutzers, vertrauliche Daten weiterzugeben, zu überprüfen. Sie können beispielsweise Ereignisse überprüfen, die durch Verstöße gegen die Data Loss Prevention (DLP)-Regel ausgelöst werden. Einträge erscheinen in der Regel innerhalb einer Stunde nach der Benutzeraktion.

Die Regelprotokollereignisse listen auch Datentypen für BeyondCorp Threat and Data Protection auf.

Eine vollständige Liste der Dienste und Aktivitäten, die Sie untersuchen können, wie z. B. Google Drive oder Benutzeraktivitäten, finden Sie in den Datenquellen für die Prüfungs- und Untersuchungsseite .

Öffnen Sie die Prüfungs- und Untersuchungsseite

Greifen Sie auf die Ereignisdaten des Regelprotokolls zu

  1. Melden Sie sich bei Ihrer Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu Menü „und dann„ Berichterstattung und dann Prüfung und Untersuchung und dann Regelprotokollereignisse .

Filtern Sie die Daten

  1. Öffnen Sie die Protokollereignisse wie oben unter Zugriffsregel-Protokollereignisdaten beschrieben.
  2. Klicken Sie auf Filter hinzufügen und wählen Sie dann ein Attribut aus.
  3. Wählen Sie im Popup-Fenster einen Operator aus und dann Wähle einen Wert und dann Klicken Sie auf „Übernehmen" .
  4. (Optional) So erstellen Sie mehrere Filter für Ihre Suche:
    1. Klicken Sie auf Filter hinzufügen und wiederholen Sie Schritt 3.
    2. (Optional) Um einen Suchoperator hinzuzufügen, wählen Sie über „Filter hinzufügen" die Option „AND " oder „ OR" aus.
  5. Klicken Sie auf Suchen .

Hinweis: Mithilfe der Registerkarte „Filter" können Sie einfache Parameter- und Wertepaare einbeziehen, um die Suchergebnisse zu filtern. Sie können auch die Registerkarte „Bedingungsgenerator" verwenden, wo die Filter als Bedingungen mit UND/ODER-Operatoren dargestellt werden.

Attributbeschreibungen

Für diese Datenquelle können Sie beim Durchsuchen von Protokollereignisdaten die folgenden Attribute verwenden:

Attribut Beschreibung
Zugriffsebene Die als kontextsensitiven Zugriffsbedingungen dieser Regel ausgewählten Zugriffsebenen. Zugriffsebenen gelten nur für Chrome-Daten. Einzelheiten finden Sie unter Erstellen kontextsensitiver Zugriffsebenen .
Schauspieler E-Mail-Adresse des Benutzers, der die Aktion ausgeführt hat. Der Wert kann „Anonymer Benutzer" sein, wenn die Ereignisse das Ergebnis eines erneuten Scans sind.
Name der Schauspielergruppe

Gruppenname des Akteurs. Weitere Informationen finden Sie unter Ergebnisse nach Google-Gruppe filtern .

So fügen Sie eine Gruppe zu Ihrer Filtergruppen-Zulassungsliste hinzu:

  1. Wählen Sie den Namen der Akteurgruppe aus.
  2. Klicken Sie auf Gruppen filtern .
    Die Seite „Gruppen filtern" wird angezeigt.
  3. Klicken Sie auf Gruppen hinzufügen .
  4. Suchen Sie nach einer Gruppe, indem Sie die ersten paar Zeichen ihres Namens oder ihrer E-Mail-Adresse eingeben. Wenn Sie die gewünschte Gruppe sehen, wählen Sie sie aus.
  5. (Optional) Um eine weitere Gruppe hinzuzufügen, suchen Sie nach der Gruppe und wählen Sie sie aus.
  6. Wenn Sie mit der Auswahl der Gruppen fertig sind, klicken Sie auf Hinzufügen .
  7. (Optional) Um eine Gruppe zu entfernen, klicken Sie auf Gruppe entfernen „ .
  8. Klicken Sie auf Speichern .
Organisationseinheit Schauspieler Organisationseinheit des Akteurs
Gesperrte Empfänger Die Empfänger, die durch die ausgelöste Regel blockiert werden
Konferenz-ID Konferenz-ID der Besprechung, auf die im Rahmen dieses Regelauslösers reagiert wurde
Container-ID ID des übergeordneten Containers, zu dem die Ressource gehört
Containertyp Typ des übergeordneten Containers, zu dem die Ressource gehört – zum Beispiel Chat Space oder Group Chat für Chat-Nachrichten oder Chat-Anhänge
Datenquelle Die Anwendung, von der die Ressource stammt
Datum Datum und Uhrzeit des Ereignisses
Detektor-ID Kennung eines passenden Detektors
Detektorname Name eines übereinstimmenden Detektors, den Administratoren definiert haben
Geräte ID Die ID des Geräts, auf dem die Aktion ausgelöst wurde. Dieser Datentyp gilt für BeyondCorp Threat and Data Protection.
Gerätetyp Gerätetyp, auf den sich die Geräte-ID bezieht. Dieser Datentyp gilt für BeyondCorp Threat and Data Protection.
Ereignis Die protokollierte Ereignisaktion.
  • Für DLP-Regeln ist der Wert Aktion abgeschlossen .
  • Wenn sich eine Laufwerksbezeichnung ändert, lautet der Wert „Label angewendet" , „Feldwert geändert " oder „Label entfernt ".
  • Wenn die Vertrauensregeln die Freigabe von Drive-Dateien blockieren, lautet der Wert Freigabe blockiert .
  • Wenn die Vertrauensregeln die Anzeige von Drive-Dateien blockieren, lautet der Wert „ Benutzeransicht blockiert" .
Empfänger Diejenigen, die die geteilte Ressource erhalten haben
Der Empfänger hat die Anzahl ausgelassen Anzahl der Ressourcenempfänger, die aufgrund der Überschreitung des Grenzwerts ausgelassen wurden
Ressourcen-ID Das Objekt wurde geändert. Für DLP-Regeln:
  • Klicken Sie bei Einträgen, die sich auf Google Drive beziehen, auf die Ressourcen-ID, um das geänderte Drive-Dokument anzuzeigen.
  • Klicken Sie bei Einträgen, die sich auf Google Chat beziehen, auf die Ressourcen-ID, um Details zu einer Chat-Konversation anzuzeigen. Beachten Sie, dass einige Chat-Daten ablaufen können, sodass nicht immer alle Details verfügbar sind.
Ressourceneigentümer Benutzer, der Eigentümer der Ressource ist, die gescannt wurde und auf die eine Aktion angewendet wurde
Ressourcentitel Der Titel der Ressource, die geändert wurde. Für DLP ein Dokumenttitel.
Ressourcentyp Für DLP ist die Ressource Document . Für Chat-DLP ist die Ressource Chat-Nachricht oder Chat-Anhang .
Regel-ID ID der Regel, die ausgelöst wurde
Regelname Regelname, den der Administrator beim Erstellen der Regel angegeben hat
Regeltyp DLP ist der Wert für DLP-Regeln
Scan-Typ

Werte sind:

  • Kontinuierlicher Drive-Scan (erfolgt, wenn sich eine Regel ändert)
  • Online-Scan (erfolgt, wenn sich ein Dokument ändert)
  • Chat-Inhalte vor dem Senden scannen (erfolgt, wenn eine Chat-Nachricht gesendet wird)
Schwere Der Schweregrad, der der Regel beim Auslösen zugewiesen wurde
Unterdrückte Aktion Für die Regel konfigurierte, aber unterdrückte Aktionen. Eine Aktion wird unterdrückt, wenn gleichzeitig eine Aktion mit höherer Priorität auftritt und ausgelöst wird.
Auslösen Aktivität, die zum Auslösen einer Regel geführt hat
Ausgelöste Aktion Listet die durchgeführten Aktionen auf. Dies ist leer, wenn eine Nur-Überwachungsregel ausgelöst wurde.
Client-IP auslösen IP-Adresse des Akteurs, der die Aktion ausgelöst hat
Benutzer-E-Mail auslösen E-Mail-Adresse des Akteurs, der die Aktion ausgelöst hat

Protokollereignisdaten verwalten

Verwalten Sie die Daten der Suchergebnisspalte

Sie können steuern, welche Datenspalten in Ihren Suchergebnissen angezeigt werden.

  1. Klicken Sie oben rechts in der Suchergebnistabelle auf Spalten verwalten „ .
  2. (Optional) Um aktuelle Spalten zu entfernen, klicken Sie auf Entfernen „ .
  3. (Optional) Um Spalten hinzuzufügen, klicken Sie neben „Neue Spalte hinzufügen " auf den Abwärtspfeil „ und wählen Sie die Datenspalte aus.
    Bei Bedarf wiederholen.
  4. (Optional) Um die Reihenfolge der Spalten zu ändern, ziehen Sie die Namen der Datenspalten.
  5. Klicken Sie auf Speichern .

Suchergebnisdaten exportieren

  1. Klicken Sie oben in der Suchergebnistabelle auf Alle exportieren .
  2. Geben Sie einen Namen ein und dann Klicken Sie auf Exportieren .
    Der Export wird unterhalb der Suchergebnistabelle unter Aktionsergebnisse exportieren angezeigt.
  3. Um die Daten anzuzeigen, klicken Sie auf den Namen Ihres Exports.
    Der Export wird in Google Sheets geöffnet.

Erstellen Sie Berichtsregeln

Gehen Sie zu Berichtsregeln erstellen und verwalten .

Wann und wie lange sind Daten verfügbar?

Gehen Sie zu Datenaufbewahrung und Verzögerungszeiten .

verwandte Themen

Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)