# Beheerderswaarschuwingen instellen in Google Workspace [[TOC]] ## Waarom beheerderswaarschuwingen instellen Handmatig auditlogs doorzoeken is tijdrovend en reactief. Beheerderswaarschuwingen laten je proactief reageren doordat Google automatisch een melding stuurt zodra er iets verdachts of kritisch gebeurt. Typische situaties waarvoor je een alert wilt: - Een gebruiker logt in vanuit een onbekend land of apparaat. - Iemand downloadt of deelt opvallend veel bestanden uit Drive. - Een beheerder wijzigt de tweestapsverificatie-instelling. - Google detecteert malware in een bijlage. ## Alert Center Het Alert Center is het centrale dashboard voor alle actieve meldingen in je Workspace-organisatie. Hier zie je per alert de details, de betrokken gebruiker en de status. :::howto title="Alert Center openen" 1. Ga naar [admin.google.com](https://admin.google.com). 2. Open het menu en kies **Beveiliging** > **Alert Center**. 3. Bekijk de actieve alerts en klik op een alert voor de details. 4. Klik op **Waarschuwingen en e-mailnotificaties beheren** om alerttypes te configureren. ::: :::info title="Naamswijziging sinds september 2025" Wat vroeger *rapportageregels* heette, heet nu *activiteitsregels*. De functionaliteit is gelijk gebleven en bestaande regels zijn automatisch meegemigreerd. Oudere handleidingen die nog over "Rapporten > Regels" spreken, verwijzen naar dezelfde plek. ::: ## Standaard alerttypes inschakelen Google biedt een reeks vooraf gedefinieerde alerttypes. De meest waardevolle voor de meeste organisaties: | Alert | Beschrijving | |---|---| | Verdachte aanmelding | Aanmelding vanuit ongewone locatie of apparaat | | Door overheid gesponsorde aanval | Google detecteert een geavanceerde, gerichte aanval | | Uitgelekte wachtwoorden | Wachtwoord aangetroffen in een publiek datalek | | Malware in e-mailbijlage | Gevaarlijke bijlage gedetecteerd | | Phishing in Gmail | Phishingbericht dat de filters omzeilde | | Door gebruiker gerapporteerde phishing | Medewerker meldt een verdacht bericht | Open **Waarschuwingen en e-mailnotificaties beheren** en zet elk gewenst alerttype aan. Per regel kun je ook de e-mailnotificatie in- of uitschakelen en de meldingsfrequentie beperken, zodat je niet wordt overspoeld. ## Aangepaste activiteitsregels aanmaken Voor alerts op maat gebruik je activiteitsregels. Je bereikt deze op drie manieren: via **Regels** op de startpagina van de Admin Console, via **Rapportage** > **Audit en onderzoek**, of via de onderzoekstool in het Security Center (alleen bij hogere abonnementen). :::howto title="Activiteitsregel maken" 1. Ga naar de startpagina van de Admin Console en open **Regels**. 2. Klik op **Activiteitsregel maken**. 3. Geef de regel een duidelijke naam en beschrijving. 4. Kies de gegevensbron, bijvoorbeeld **Aanmeldingslogboek**, **Beheerderslogboek** of **Gmail-logboek**. 5. Definieer de voorwaarden, zoals een specifieke gebeurtenis of attribuut. 6. Stel de actie in: een alert naar het Alert Center en optioneel een e-mail naar beheerders. 7. Kies de ontvangers, de ernst en de meldingsfrequentie. 8. Controleer de samenvatting en klik op **Regel maken**. ::: :::warn title="Beperking bij Drive" Activiteitsregels werken op logboekgebeurtenissen. Voor *Drive-logboek* kun je wel een alert laten versturen, maar geen automatische actie koppelen. Wil je gedrag rond Drive-downloads echt onderzoeken, gebruik dan de onderzoekstool in het Security Center of de auditlogboeken. ::: Een praktisch voorbeeld op basis van het beheerderslogboek: stuur een alert zodra iemand een gebruiker tot superbeheerder promoveert. - Gegevensbron: Beheerderslogboek - Gebeurtenis: Rol toewijzen - Voorwaarde: Rol bevat "Super Admin" - Actie: alert naar het Alert Center en e-mail naar security@bedrijf.nl ## Alertontvangers configureren Standaard gaan systeem-alerts naar alle superbeheerders. Voeg specifieke adressen toe voor gerichte routing van beveiligingsincidenten: 1. Open **Beveiliging** > **Alert Center** > **Waarschuwingen en e-mailnotificaties beheren**. 2. Open de gewenste regel en ga naar de e-mailnotificaties. 3. Voeg e-mailadressen toe, inclusief het inboxadres van een externe SIEM als je dat gebruikt. ## Alert Center integreren met SIEM Via de Alert Center API exporteer je alerts naar een externe SIEM zoals Splunk of Google Security Operations (voorheen Chronicle). Zo correleer je signalen over meerdere bronnen heen en houd je een centraal overzicht van je beveiligingsbeeld. :::tip title="Begin klein en breid uit" Start met een handvol kritische alerttypes (verdachte aanmelding, overheidsaanval, beheerderswijzigingen) en voeg pas activiteitsregels toe als je weet welk gedrag je echt wilt bewaken. Te veel alerts leidt tot alertmoeheid, waardoor je de belangrijke meldingen mist. ::: :::faq ### Hoe snel ontvang ik een alert na een incident? Google stuurt de meeste alerts binnen enkele minuten. Voor complexe detecties, zoals patroonanalyse, kan het tot ongeveer een uur duren. ### Kan ik alerts per e-mail en in de Admin Console ontvangen? Ja. Alerts verschijnen altijd in het Alert Center. De e-mailnotificatie stel je per regel apart in en kun je combineren met de melding in de console. ### Hoe voorkom ik dat ik wordt overspoeld met te veel alerts? Zet alleen de meest relevante alerttypes aan en gebruik de meldingsfrequentie om het aantal mails te beperken. Voor routinematige monitoring zijn rapportages geschikter dan alerts. Alerts zijn bedoeld voor zaken die directe aandacht vereisen. ### Kan ik alerts intrekken als ze vals-positief zijn? In het Alert Center markeer je een alert als vals-positief en sluit je hem. Dat helpt om de kwaliteit van je alertconfiguratie in de loop van de tijd te verbeteren. ### Wie heeft toegang tot het Alert Center? Superbeheerders hebben altijd toegang. Andere beheerders heb je nodig de rechten Audit en onderzoek en Activiteitsregels, die je via aangepaste beheerdersrollen toekent. ### Wat is het verschil tussen rapportageregels en activiteitsregels? Het zijn dezelfde regels. Sinds september 2025 heten rapportageregels activiteitsregels. Bestaande regels zijn automatisch meegegaan; je hoefde niets te doen. :::