Google Workspace Alert Center gebruiken als beheerder

Hoe gebruik je Google Workspace Alert Center? Meldingen configureren, beveiligingsincidenten behandelen, SIEM-integratie en aanbevolen instellingen voor beheerders.

Total Workspace 06 April 2026 3 min leestijd
Alert Center Beveiliging Incident Response Google Workspace SIEM Phishing Monitoring

Het Alert Center van Google Workspace is de centrale plek waar waarschuwingen over beveiligingsincidenten, verdachte logins, phishing-rapportages en compliance-overtredingen samenkomen. In 2026 is het Alert Center inbegrepen bij alle Workspace-edities zonder extra kosten, wat betekent dat zelfs Business Starter-gebruikers toegang hebben. Dit artikel beschrijft hoe je het Alert Center inricht, welke regels je minimaal moet hebben en hoe je van alert naar actie komt.

Wat ziet je in het Alert Center

Admin Console > Security > Alert center

Standaard-alerts die Google zelf genereert:

  • Verdachte login (nieuw apparaat/land, onmogelijke reissnelheid)
  • Phishing door gebruikers gemeld (via "Rapporteer als phishing" in Gmail)
  • Government-backed attack (Google heeft aanwijzingen dat een nation-state achter een aanvalspoging zit)
  • Malware-detectie
  • Google Workspace reactie op AVG-verzoek / eDiscovery-procedure
  • Beheerder-wachtwoord gewijzigd
  • Apparaat-compromis gedetecteerd
  • Policy violation bij data-export

Voor elke alert zie je: tijd, betrokken gebruiker, ernst (low/medium/high/critical) en een Investigate knop die je direct naar de security investigation tool brengt.

Custom alert-regels aanmaken

Naast de default-alerts kun je eigen regels definieren:

Admin Console > Security > Alert center > Rules
Create rule

Voorbeeld-regel 1: Mass-data-export

Trigger: Drive activity > File shared externally
Condition: More than 50 files shared by same user within 1 hour
Action: Send alert to: security@bedrijf.nl
Severity: High

Voorbeeld-regel 2: Admin-login buiten kantooruren

Trigger: Admin console login
Condition: Time between 22:00 and 06:00 OR country != NL
Action: Email + SMS via third-party webhook
Severity: Critical

Voorbeeld-regel 3: OAuth-token nieuw aangemaakt met Gmail.readonly scope

Trigger: User authorized application
Condition: Scope contains "gmail.readonly"
Action: Alert + require admin approval
Severity: Medium

Integratie met incident response

Alerts in een portaal zijn niet bruikbaar; ze moeten je team daadwerkelijk bereiken. Integreer:

E-mailnotificaties naar distributie-groep:

Alert rule > Action > Send email to distribution group: it-security@bedrijf.nl

Integratie met Slack/Chat:

Via een webhook-ontvanger in Slack of Google Chat. In Alert Center configureer je een custom webhook-endpoint:

Alert rule > Action > Send webhook
URL: https://hooks.slack.com/services/...
Payload: { "text": "Alert: {{rule_name}} triggered for {{user}}" }

Integratie met PagerDuty / Opsgenie:

Via custom integraties op GCP-niveau. Kan technisch complex zijn; overweeg een security orchestration-tool zoals Chronicle SOAR voor grotere organisaties.

Security Investigation Tool

Elke alert heeft een Investigate knop die opent in de Security Investigation Tool:

Admin Console > Security > Security investigation tool

In de tool kun je:

  • Gmail log zoeken: toon alle mails die een bepaalde gebruiker heeft ontvangen met specifieke headers
  • Phishing-bulk-delete: verwijder een phishing-mail uit alle inboxen tegelijk
  • Drive log: volg wie wat met welk bestand heeft gedaan
  • Admin log: elke admin-actie retroactief bekijken
  • User logs: login-historie per gebruiker

Voorbeeld-workflow: Alert toont dat 50 mensen een phishing-mail hebben ontvangen. Je klikt Investigate > Delete messages from all inboxes > Confirm. In één actie is de threat uit alle inboxen.

Minimale alert-set voor Nederlandse MKB

Als je niet veel tijd hebt maar wel bescherming wil, stel minimaal deze alerts in:

  1. Super admin login vanaf nieuw IP (critical)
  2. Massale verwijdering van gebruikers (high)
  3. Vault retention policy gewijzigd (high)
  4. Mass external sharing (medium, threshold 50 bestanden/uur)
  5. Nieuwe OAuth-app goedgekeurd met gevoelige scopes (medium)
  6. Government-backed attack warning (critical, standaard al aan)
  7. Phishing meldingen van gebruikers (medium)

Dashboard en rapportage

Admin Console > Security > Dashboard

Geeft een overview van:

  • Actieve alerts afgelopen 7 dagen
  • Trend van phishing-rapportages
  • Spam-volumes
  • Apparaten zonder MDM

Bekijk dit kwartaal en neem trends mee in je security-planning.

Terug naar blog Vraag advies aan

Veelgestelde vragen

Is het Alert Center hetzelfde als het Security Center?
Security Center is de bredere dashboard en analytics-laag (in Enterprise). Alert Center is specifiek de alerts-feed. In Business-edities zie je Alert Center alleen; in Enterprise zit Alert Center binnen het bredere Security Center.
Moet ik betalen voor het Alert Center?
Nee, het is inbegrepen bij alle Workspace-edities zonder extra kosten.
Hoeveel alerts per dag is normaal?
Voor een MKB met 50 users: 0-5 per dag na de eerste rule-tuning. Meer betekent dat je regels te breed zijn of dat er echt iets aan de hand is.
Hoe reageer ik op een "Government-backed attack"-alert?
Serieus nemen. Reset het betrokken account, rotate credentials, check audit-log op afwijkingen. Overweeg externe forensisch onderzoek als je in een gevoelige sector zit.
Integreert Alert Center met SIEM-tools zoals Splunk of Elastic?
Ja, via de Reports API. Configureer via **Admin Console > Security > BigQuery export**; vandaar kun je streamen naar jouw SIEM.
Kan een custom admin-role toegang krijgen tot alleen het Alert Center zonder super admin?
Ja. Create custom role met alleen **Security > Alert Center** privilege.
Hoe test ik of mijn alert-rules werken?
Trigger een conditie bewust: log in van een VPN in ander land, deel 100 bestanden met externe tester-account, etc. Alert moet binnen 5-15 minuten verschijnen. Documenteer deze tests.
Werkt Alert Center ook op Cloud Identity Free?
Beperkt. Alleen de default Google-genereerde alerts; geen custom rules of Security Investigation Tool. Upgrade naar Business Plus voor volle functionaliteit.

Andere artikelen

Vraag over dit onderwerp?

Wij reageren binnen 1 werkdag met een eerlijk en concreet antwoord.

1
Aanvraag
2
Specificatie
3
Uw gegevens

Waarmee kunnen wij u helpen?

Informatie & advies

Vraag over het artikel.

Offerte aanvragen

Prijsindicatie ontvangen.

Implementatie

Hulp bij toepassing.

Bestaande klant

Vraag of melding indienen.

Kunt u dit specificeren?

Verdieping op dit onderwerp
Toepassing in onze situatie
Algemeen Workspace-advies
Prijsindicatie
Vast projecttarief
Doorlopend support / SLA
Nieuwe implementatie
Uitbreiding bestaande setup
Migratie vanuit ander platform
Technisch probleem
Factuur of contract
Aanvullende wens