Événements de journaux des navigateurs Chrome

Éditions compatibles avec cette fonctionnalité : Frontline Starter, Frontline Standard et Frontline Plus ; Enterprise Plus ; Education Plus. Comparer votre édition

En tant qu'administrateur, vous pouvez afficher et examiner les données d'état en direct des navigateurs Chrome de votre organisation à l'aide de l'outil d'investigation de sécurité.

Exemple :

  • Déterminez si une mise à jour du navigateur a été déployée sur tous les appareils de votre organisation.
  • Examinez les détails des appareils avec navigateur sur lesquels les événements d'hameçonnage se produisent souvent. Le rapport peut vous aider à déterminer si une extension malveillante est à l'origine des événements dangereux.
  • Voyez quels appareils sont connectés au compte d'un utilisateur spécifique, et évaluez les éventuels dommages subis par différents appareils et navigateurs.

Exécuter une recherche portant sur les données des navigateurs Chrome

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Vous pouvez lancer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données, puis sélectionnez Navigateurs Chrome.
  3. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  4. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  5. Sélectionnez un opérateur.
  6. Saisissez une valeur ou sélectionnez-en une dans la liste.
  7. (Facultatif) Pour ajouter d'autres critères de recherche, répétez la procédure.
  8. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  9. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puissaisissez un titre et une description puiscliquez sur Enregistrer.

Remarques

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
ID du navigateur ID du navigateur Chrome
Version de Chrome Numéro attribué à la version du navigateur Chrome, par exemple 69.0.3497.23
ID de l'appareil ID de l'appareil ou de l'ordinateur, par exemple l'UUID du matériel sur un ordinateur Mac
Nom de l'appareil Nom de l'appareil
Version de l'OS de l'appareil Numéro de version du système d'exploitation de l'appareil
Type d'appareil Type d'appareil, par exemple Linux, Mac ou Windows

ASN de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro de système autonome (ASN) de l'adresse IP, subdivision et région associés à l'entrée de journal.

Pour examiner le numéro de système autonome de l'adresse IP, le code correspondant à la subdivision et le code régional où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
Utilisateur machine Adresse e-mail de l'utilisateur de l'appareil
Date et heure d'enregistrement Date et heure d'enregistrement du navigateur. Saisissez une date et une heure, puis un opérateur Avant ou Après.

Effectuer des actions en fonction des résultats de recherche

Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus sur les actions disponibles dans l'outil d'investigation sur la sécurité, consultez Intervenir en fonction des résultats de recherche.

Gérer vos investigations

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.

Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activez ou désactivez l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activez ou désactivez Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activez ou désactivez l'option Activer la justification des actions.

Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos investigations.

Gérer les colonnes dans vos résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes  .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément  .
  3. (Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter des données à partir des résultats de recherche

Vous pouvez exporter les résultats d'une recherche dans l'outil d'investigation de sécurité vers Google Sheets ou un fichier CSV. Pour savoir comment procéder, consultez Exporter les résultats de recherche.

Partager, supprimer et dupliquer des investigations

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des enquêtes.

Quand et pendant combien de temps les données sont-elles disponibles ?

Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.