Tính năng mới:

Google đang triển khai một số cải tiến cho nhật ký kiểm tra của Workspace, bao gồm:

1. Cải tiến bộ lọc nhật ký cho các trường Tài nguyên (Resource) trong công cụ điều tra bảo mật dành cho Gmail và Google Drive.
2. Cập nhật các trường Ứng dụng (Application) và Mạng (Network) trong tích hợp nhật ký kiểm tra Workspace với Google Security Operations (SecOps).
3. Mở rộng khả năng lọc trong phương thức Activities.List của AdminSDK.
4. Trường OwnerDetails mới trong các sự kiện được xuất bản lên AdminSDK và BigQuery.

Cải tiến bộ lọc cho các trường Tài nguyên trong công cụ điều tra bảo mật (Gmail & Drive)

Công cụ điều tra bảo mật hiện đã có tính năng lọc cải tiến cho thuộc tính Resources đối với các sự kiện nhật ký của Gmail và Google Drive. Những cập nhật này cho phép quản trị viên thực hiện các tìm kiếm chi tiết hơn, đặc biệt là thông qua việc sử dụng nhãn phân loại. Vì các nhãn phân loại cung cấp siêu dữ liệu (metadata) thiết yếu để xác định nội dung nhạy cảm và thực thi các chính sách bảo mật, nên khả năng lọc nhật ký kiểm tra theo các nhãn này là cực kỳ quan trọng để phân tích mô hình dữ liệu và điều tra các sự cố bảo mật.

Ngoài ra, Google cũng đã thêm hỗ trợ lọc cho thuộc tính thông tin ứng dụng của tác nhân đối với các sự kiện nhật ký Gmail.

Cập nhật các trường Ứng dụng và Mạng trong tích hợp Google Security Operations (SecOps)

Các trường sau đây hiện sẽ được bao gồm trong các sự kiện kiểm tra gửi đến SecOps (nếu có): (Lưu ý: danh sách cụ thể các trường thường đi kèm bảng biểu trong bản gốc).

Mở rộng bộ lọc trong phương thức AdminSDK Activities.List

Google sẽ thêm tính năng lọc cho các trường sau trong phương thức Activities.List của AdminSDK:

• RegionCode: lọc nhật ký kiểm tra thuộc về khu vực cụ thể bằng cách sử dụng trường networkInfoFilter trong yêu cầu API.
• OAuthClientId: lọc nhật ký kiểm tra nơi các hành động được thực hiện bởi ứng dụng cụ thể bằng cách sử dụng trường applicationInfoFilter trong yêu cầu API.

Trường OwnerDetails mới trong AdminSDK và BigQuery

Trường OwnerDetails mới trong phần Chi tiết tài nguyên giúp xác định người sở hữu tài nguyên thông qua hai trường chính:

• Owner Type (Loại chủ sở hữu): xác định danh mục của chủ sở hữu. Chủ sở hữu tài nguyên có thể là cá nhân (USER), toàn bộ tổ chức (CUSTOMER), một nhóm (GROUP) hoặc bộ nhớ dùng chung (SHARED_DRIVE).
• Owner Identity (Định danh chủ sở hữu): chứa các chi tiết cụ thể (như ID hoặc địa chỉ email) của chủ sở hữu đó.

Làm thế nào để bắt đầu:

• Quản trị viên: khi các thay đổi được triển khai, quản trị viên có thể bắt đầu phân tích trong Công cụ Kiểm tra và Điều tra, Admin SDK (Reports API), SecOps, hoặc BigQuery.
• Người dùng cuối: không có cài đặt dành cho người dùng cuối đối với tính năng này.

Thời gian triển khai:

• Bản phát hành nhanh và Bản phát hành theo định kỳ: đang dần triển khai (tối đa 15 ngày đối với khả năng hiển thị đầy đủ tính năng).

Phiên bản phát hành:

• Khả dụng đối với khách hàng Google Workspace có giấy phép hỗ trợ Nhật ký kiểm tra (Audit Log).

Lưu ý: nhãn phân loại chỉ khả dụng đối với một số phiên bản nhất định.

Nguồn: LVtech