Google Workspace Alert Center gebruiken als beheerder

Hoe gebruik je Google Workspace Alert Center? Meldingen configureren, beveiligingsincidenten behandelen, SIEM-integratie en aanbevolen instellingen voor beheerders.

Total Workspace 06 April 2026 3 min leestijd
Alert Center Beveiliging Incident Response Google Workspace SIEM Phishing Monitoring

Het Alert Center van Google Workspace is de centrale plek waar waarschuwingen over beveiligingsincidenten, verdachte logins, phishing-rapportages en compliance-overtredingen samenkomen. In 2026 is het Alert Center inbegrepen bij alle Workspace-edities zonder extra kosten, wat betekent dat zelfs Business Starter-gebruikers toegang hebben. Dit artikel beschrijft hoe je het Alert Center inricht, welke regels je minimaal moet hebben en hoe je van alert naar actie komt.

Wat ziet je in het Alert Center

Admin Console > Security > Alert center

Standaard-alerts die Google zelf genereert:

  • Verdachte login (nieuw apparaat/land, onmogelijke reissnelheid)
  • Phishing door gebruikers gemeld (via "Rapporteer als phishing" in Gmail)
  • Government-backed attack (Google heeft aanwijzingen dat een nation-state achter een aanvalspoging zit)
  • Malware-detectie
  • Google Workspace reactie op AVG-verzoek / eDiscovery-procedure
  • Beheerder-wachtwoord gewijzigd
  • Apparaat-compromis gedetecteerd
  • Policy violation bij data-export

Voor elke alert zie je: tijd, betrokken gebruiker, ernst (low/medium/high/critical) en een Investigate knop die je direct naar de security investigation tool brengt.

Custom alert-regels aanmaken

Naast de default-alerts kun je eigen regels definieren:

Admin Console > Security > Alert center > Rules
Create rule

Voorbeeld-regel 1: Mass-data-export

Trigger: Drive activity > File shared externally
Condition: More than 50 files shared by same user within 1 hour
Action: Send alert to: security@bedrijf.nl
Severity: High

Voorbeeld-regel 2: Admin-login buiten kantooruren

Trigger: Admin console login
Condition: Time between 22:00 and 06:00 OR country != NL
Action: Email + SMS via third-party webhook
Severity: Critical

Voorbeeld-regel 3: OAuth-token nieuw aangemaakt met Gmail.readonly scope

Trigger: User authorized application
Condition: Scope contains "gmail.readonly"
Action: Alert + require admin approval
Severity: Medium

Integratie met incident response

Alerts in een portaal zijn niet bruikbaar; ze moeten je team daadwerkelijk bereiken. Integreer:

E-mailnotificaties naar distributie-groep:

Alert rule > Action > Send email to distribution group: it-security@bedrijf.nl

Integratie met Slack/Chat:

Via een webhook-ontvanger in Slack of Google Chat. In Alert Center configureer je een custom webhook-endpoint:

Alert rule > Action > Send webhook
URL: https://hooks.slack.com/services/...
Payload: { "text": "Alert: {{rule_name}} triggered for {{user}}" }

Integratie met PagerDuty / Opsgenie:

Via custom integraties op GCP-niveau. Kan technisch complex zijn; overweeg een security orchestration-tool zoals Chronicle SOAR voor grotere organisaties.

Security Investigation Tool

Elke alert heeft een Investigate knop die opent in de Security Investigation Tool:

Admin Console > Security > Security investigation tool

In de tool kun je:

  • Gmail log zoeken: toon alle mails die een bepaalde gebruiker heeft ontvangen met specifieke headers
  • Phishing-bulk-delete: verwijder een phishing-mail uit alle inboxen tegelijk
  • Drive log: volg wie wat met welk bestand heeft gedaan
  • Admin log: elke admin-actie retroactief bekijken
  • User logs: login-historie per gebruiker

Voorbeeld-workflow: Alert toont dat 50 mensen een phishing-mail hebben ontvangen. Je klikt Investigate > Delete messages from all inboxes > Confirm. In één actie is de threat uit alle inboxen.

Minimale alert-set voor Nederlandse MKB

Als je niet veel tijd hebt maar wel bescherming wil, stel minimaal deze alerts in:

  1. Super admin login vanaf nieuw IP (critical)
  2. Massale verwijdering van gebruikers (high)
  3. Vault retention policy gewijzigd (high)
  4. Mass external sharing (medium, threshold 50 bestanden/uur)
  5. Nieuwe OAuth-app goedgekeurd met gevoelige scopes (medium)
  6. Government-backed attack warning (critical, standaard al aan)
  7. Phishing meldingen van gebruikers (medium)

Dashboard en rapportage

Admin Console > Security > Dashboard

Geeft een overview van:

  • Actieve alerts afgelopen 7 dagen
  • Trend van phishing-rapportages
  • Spam-volumes
  • Apparaten zonder MDM

Bekijk dit kwartaal en neem trends mee in je security-planning.

Vrijblijvend advies

Vragen over dit onderwerp? Wij helpen u graag als gecertificeerde Google Workspace Partner.

  • Reactie binnen 1 werkdag
  • Gecertificeerde Google Partner
  • Geen verplichtingen
Contact opnemen

Veelgestelde vragen

Is het Alert Center hetzelfde als het Security Center?
Security Center is de bredere dashboard en analytics-laag (in Enterprise). Alert Center is specifiek de alerts-feed. In Business-edities zie je Alert Center alleen; in Enterprise zit Alert Center binnen het bredere Security Center.
Moet ik betalen voor het Alert Center?
Nee, het is inbegrepen bij alle Workspace-edities zonder extra kosten.
Hoeveel alerts per dag is normaal?
Voor een MKB met 50 users: 0-5 per dag na de eerste rule-tuning. Meer betekent dat je regels te breed zijn of dat er echt iets aan de hand is.
Hoe reageer ik op een "Government-backed attack"-alert?
Serieus nemen. Reset het betrokken account, rotate credentials, check audit-log op afwijkingen. Overweeg externe forensisch onderzoek als je in een gevoelige sector zit.
Integreert Alert Center met SIEM-tools zoals Splunk of Elastic?
Ja, via de Reports API. Configureer via **Admin Console > Security > BigQuery export**; vandaar kun je streamen naar jouw SIEM.
Kan een custom admin-role toegang krijgen tot alleen het Alert Center zonder super admin?
Ja. Create custom role met alleen **Security > Alert Center** privilege.
Hoe test ik of mijn alert-rules werken?
Trigger een conditie bewust: log in van een VPN in ander land, deel 100 bestanden met externe tester-account, etc. Alert moet binnen 5-15 minuten verschijnen. Documenteer deze tests.
Werkt Alert Center ook op Cloud Identity Free?
Beperkt. Alleen de default Google-genereerde alerts; geen custom rules of Security Investigation Tool. Upgrade naar Business Plus voor volle functionaliteit.

Staat uw vraag er niet bij?

Stuur ons een bericht. Wij kijken met u mee en reageren met eerlijk advies.

  • Reactie binnen 1 werkdag
  • Geen verplichtingen
Stuur een bericht

Meer artikelen over dit onderwerp

19 December 2025

Google Workspace Account Beveiligen Na een Hack of Datalek

Stap-voor-stap handleiding voor Google Workspace beheerders: wat te doen bij een gehackt account, van onmiddellijke maatregelen...
14 December 2025

Google Workspace Facturen Ontvangen en Beheren

Alles over Google Workspace facturen: waar vind je ze, hoe stel je het BTW-nummer in, hoe voeg je extra ontvangers toe en wat d...
03 December 2025

Top 10 Meest Gestelde Vragen van Google Workspace Beheerders

De 10 meest voorkomende Google Workspace admin vragen met directe oplossingen. Van toegang kwijt en factuurproblemen tot spam, ...

Vraag over dit onderwerp?

Stuur ons een bericht. Wij reageren binnen 1 werkdag met eerlijk advies.