Supported editions for this feature: Frontline Starter, Frontline Standard, and Frontline Plus; Enterprise Plus; Education Plus. Compare your edition
Как администратор, вы можете использовать инструмент расследования инцидентов безопасности для просмотра и анализа данных о текущем состоянии браузеров Chrome в вашей организации.
Например:
- Проверьте, достигло ли обновление браузера всех устройств в вашей организации.
- Изучите данные о браузерах устройств, на которых часто происходят фишинговые атаки. Отчет поможет определить, является ли причиной опасных событий вредоносное расширение.
- Просмотрите, на каких устройствах выполнен вход конкретного пользователя, и оцените потенциальный ущерб, нанесенный различным устройствам и браузерам.
Run a search for Chrome browser data
Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
To run a search in the security investigation tool, first choose a data source. Then, choose one or more conditions for your search. For each condition, choose an attribute , an operator , and a value .
В консоли администратора Google перейдите в меню.
БезопасностьЦентр безопасностиИнструмент расследования .Для этого требуются права администратора центра безопасности .
- Click Data source and select Chrome browsers .
- Нажмите «Добавить условие» .
Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» . - Click Attribute Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
Полный список атрибутов см. в разделе «Описание атрибутов» . - Выберите оператора.
- Enter a value or select a value from the list.
- (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
- Нажмите «Поиск» .
Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы. - (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить».
enter a title and description Нажмите « Сохранить ».
Примечания
- In the Condition builder tab, filters are represented as conditions with AND/OR operators. You can also use the Filter tab to include simple parameter and value pairs to filter the search results.
- If you give a user a new name, you will not see query results with the user's old name. For example, if you rename OldName@example.com to NewName@example.com , you will not see results for events related to OldName@example.com .
- Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.
Attribute descriptions
Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.
| Атрибут | Описание |
|---|---|
| Идентификатор браузера | ID of the Chrome browser |
| версия для Chrome | Номер, присвоенный версии браузера Chrome, например, 69.0.3497.23 |
| Идентификатор устройства | Идентификатор устройства/компьютера — например, аппаратный UUID на компьютере Mac. |
| Название устройства | Название устройства |
| Версия ОС устройства | Version number for the device's operating system |
| Тип устройства | Type of device—for example, Linux , Mac , or Windows |
IP ASN Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» . | Номер автономной системы IP (ASN), подразделение и регион, связанные с записью в журнале. Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска. |
| Machine user | Email address of the device user |
| Время регистрации | Время регистрации браузера. Введите дату и время, а также оператор «До» или «После» . |
Принимайте меры на основе результатов поиска.
After you run a search in the security investigation tool, you can act on your search results. For example, you can run a search based on Gmail log events, and then use the tool to delete specific messages, send messages to quarantine, or send messages to users' inboxes. For more details about actions in the security investigation tool, go to Take action based on search results .
Manage your investigations
View your list of investigations
Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования».
. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
Из этого списка вы можете выполнить действия с любыми расследованиями, которые находятся в вашем ведении, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .
Примечание: Непосредственно над списком ваших расследований, в разделе «Быстрый доступ» , you can view recently saved investigations.
Настройте параметры для ваших расследований.
As a super administrator , click Settings
к :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
- Turn on or off View content . This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification .
Инструкции и подробная информация доступны в разделе «Настройка параметров расследования» .
Manage columns in your search results
Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.
- В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами».
. - (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить элемент».
. - (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец» нажмите стрелку вниз.
and select the data column.
Повторять по мере необходимости. - (Необязательно) Чтобы изменить порядок столбцов, перетащите название столбца.
- Нажмите « Сохранить ».
Export data from search results
Результаты поиска в инструменте анализа безопасности можно экспортировать в Google Таблицы или в CSV-файл. Инструкции см. в разделе «Экспорт результатов поиска» .
Share, delete, and duplicate investigations
Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.
Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .
When and how long is data available?
Для получения дополнительной информации об источниках данных перейдите в раздел «Срок хранения данных и задержки» .
Связанные темы
- Начните расследование на основе диаграммы на панели управления.
- Создайте пользовательскую диаграмму на основе проведенного исследования.
- Начните расследование из центра оповещения.
- Расследуйте сообщения о вредоносных электронных письмах.
- Изучите вопрос обмена файлами.
- Проведите исследование пользователей по различным источникам данных.