LoginSignup
0
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@suzutatsu

Google Workspace(G Suite)で特定の条件を満たした時に任意の宛先へ通知メールを送る

Last updated at Posted at 2020-10-20

やりたいこと

Google Workspace(G Suite)で特定の条件を満たした時に任意の宛先へ通知メールを送りたい
Google Workspace(G Suite)で提供されている機能のみで実現したい

使うもの

Google Workspace(G Suite)のルール機能と通知機能

公式ドキュメント

2020/11/18追記:公式ブログに同じ話が書かれてたことに後から気付いた・・。
https://cloud.google.com/blog/ja/products/identity-security/logs-based-security-alerting-in-google-cloud

ログデータのフィルタとエクスポート、アラートの作成
https://support.google.com/a/answer/9725685

Google 管理コンソールで確認する監査ログの内容をカスタマイズできます。特定のアクティビティに関するアラートを設定することもできます。

####メールアラートを作成する
メールアラートを設定すると、特定のアクティビティを確認できます。管理者のメールアラートは、[セキュリティ ルール] >ページのシステム定義ルールに基づいています。たとえば、不審なログインが試みられたときにアラートを受け取ることができます。

  1. 前述の手順で監査ログを開きます。
  2. [フィルタを追加] をクリックします。
  3. フィルタの条件を入力または選択し、レポートルールを作成アイコン "" をクリックします。
  4. ルールの名前を入力します。
  5. (省略可)すべての特権管理者にアラートを送信するには、[受信者] で特権管理者に送信スライダー "" をオンにします。
  6. 受信者のメールアドレスを入力し、[作成] をクリックします。

管理者へのメールアラートとシステム定義ルール
https://support.google.com/a/answer/3230421

システム定義ルールに基づく管理者アラートの種類

  • ユーザーのアクティビティに関するアラート
    • App Maker Cloud SQL
    • アプリケーションの停止警告
    • Gmail での従業員へのなりすましの可能性
    • パスワード漏洩
    • 不審なログイン
    • 不審なメールの報告
    • プログラムによる不審なログイン
    • 不審なログイン
    • 不審なメールの報告
    • ユーザーのパスワードを変更しました
    • 新しいユーザーの追加
    • ユーザーを削除しました
    • 管理者により停止されたユーザー
    • ユーザーの停止(Google Identity のアラート)
    • ユーザーの停止(不審なアクティビティ)
    • ユーザーの停止(迷惑メール)
    • ユーザーの停止(リレーを利用した迷惑メール)
    • ユーザーへの管理者権限の付与
    • ユーザーの管理者権限の取り消し
    • 停止中のユーザーの再開
    • ユーザーのフィッシング報告
  • モバイル デバイスのアクティビティに関するアラート
    • (省略)
  • メールのアクティビティに関するアラート(G Suite のみ)
    • (省略)
  • 他の管理者によって変更された設定に関するアラート
    • (省略)
  • セキュリティ全般に関するアラート
    • (省略)

現在のルールを確認

https://admin.google.com/ac/ax を開く。
ここでは標準で定義されたルールや自分で定義したルールを確認できる。
admin.google.com_ac_ax.png

ルールの作成方法

監査ログ画面で、特定のログが出た時にアラートが出るように設定する。
今回はユーザーがログインした時に通知メールを送ってみる。

新しいルール→レポートをクリックする。

admin.google.com_ac_ax (1).png

左のメニューで監査ログ→ログインをクリックする。
フィルタを追加→イベント名:ログイン成功をクリックする。
admin.google.com_ac_reporting_audit_login.png

右上のベルのアイコンをクリックする。
ここでレポートルールの名前、受信者を設定する。
ここに任意の宛先(グループアドレスとか)を指定すれば、そこへ通知メールを送れる。

admin.google.com_ac_reporting_audit_login (4).png

設定したルールは、左のメニューでレポートルールを管理をクリックすると確認できる。スクリーンショット 2020-10-20 10.19.39.png

先ほど作成したログイン成功時通知が表示されている。
admin.google.com_ac_ax_ruleTypeFilter=ALERT_CENTER&ref=reporting&ruleType=reporting.png

注意点

データの保持期間とタイムラグ
https://support.google.com/a/answer/7061566?hl=ja

管理コンソールのレポートと監査ログのデータはリアルタイムには反映されない

リアルタイムではなく、遅れて見えるようになるので注意。
あくまで後追い用。

関連資料

Google Cloud のログベースのセキュリティ アラート: Cloud Identity での攻撃の検出
https://cloud.google.com/blog/ja/products/identity-security/logs-based-security-alerting-in-google-cloud

0
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?