Поддерживаемые версии для этой функции: Frontline Starter, Frontline Standard и Frontline Plus; Enterprise Plus; Education Plus. Сравните вашу версию.
Как администратор, вы можете использовать инструмент расследования инцидентов безопасности для просмотра и анализа данных о текущем состоянии браузеров Chrome в вашей организации.
Например:
- Проверьте, достигло ли обновление браузера всех устройств в вашей организации.
- Изучите данные о браузерах устройств, на которых часто происходят фишинговые атаки. Отчет поможет определить, является ли причиной опасных событий вредоносное расширение.
- Просмотрите, на каких устройствах выполнен вход конкретного пользователя, и оцените потенциальный ущерб, нанесенный различным устройствам и браузерам.
Выполните поиск данных браузера Chrome.
Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.
Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .
В консоли администратора Google перейдите в меню.
Безопасность Центр безопасности Инструмент расследования .Для этого требуются права администратора центра безопасности .
- Нажмите «Источник данных» и выберите браузер Chrome .
- Нажмите «Добавить условие» .
Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» . - Атрибут клика Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
Полный список атрибутов см. в разделе «Описание атрибутов» . - Выберите оператора.
- Введите значение или выберите значение из списка.
- (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
- Нажмите «Поиск» .
Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы. - (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить».
Введите заголовок и описание. Нажмите « Сохранить ».
Примечания
- На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
- Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
- Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.
Описание атрибутов
Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.
| Атрибут | Описание |
|---|---|
| Идентификатор браузера | Идентификатор браузера Chrome |
| версия для Chrome | Номер, присвоенный версии браузера Chrome, например, 69.0.3497.23 |
| Идентификатор устройства | Идентификатор устройства/компьютера — например, аппаратный UUID на компьютере Mac. |
| Название устройства | Название устройства |
| Версия ОС устройства | Номер версии операционной системы устройства |
| Тип устройства | Тип устройства — например, Linux , Mac или Windows. |
IP ASN Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» . | Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале. Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска. |
| Пользователь машины | Адрес электронной почты пользователя устройства |
| Время регистрации | Время регистрации браузера. Введите дату и время, а также оператор «До» или «После» . |
Принимайте меры на основе результатов поиска.
После выполнения поиска в инструменте анализа безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Более подробную информацию о действиях в инструменте анализа безопасности см. в разделе «Действия на основе результатов поиска» .
Управляйте своими расследованиями
Просмотрите список ваших расследований
Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». 
Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.
Из этого списка вы можете выполнить действия с любыми расследованиями, которые находятся в вашем ведении, например, удалить расследование. Установите флажок для нужного расследования, а затем нажмите «Действия» .
Примечание: Непосредственно над списком ваших расследований, в разделе «Быстрый доступ» , Вы можете просмотреть недавно сохраненные расследования.
Настройте параметры для ваших расследований.
От имени суперадминистратора нажмите «Настройки». 
к :
- Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
- Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
- Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
- Включить или выключить обоснование действий .
Инструкции и подробная информация доступны в разделе «Настройка параметров расследования» .
Управление столбцами в результатах поиска
Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.
- В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами».
. - (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить элемент».
. - (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец» нажмите стрелку вниз.
и выберите столбец с данными.
Повторять по мере необходимости. - (Необязательно) Чтобы изменить порядок столбцов, перетащите название столбца.
- Нажмите « Сохранить ».
Экспорт данных из результатов поиска
Результаты поиска в инструменте анализа безопасности можно экспортировать в Google Таблицы или в CSV-файл. Инструкции см. в разделе «Экспорт результатов поиска» .
Делиться, удалять и дублировать расследования.
Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.
Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .
Когда и как долго доступны данные?
Для получения дополнительной информации об источниках данных перейдите в раздел «Сохранение данных и сроки задержки» .
Связанные темы
- Начните расследование на основе диаграммы на панели управления.
- Создайте пользовательскую диаграмму на основе проведенного исследования.
- Начните расследование из центра оповещения.
- Расследуйте сообщения о вредоносных электронных письмах.
- Изучите вопрос обмена файлами.
- Проведите исследование пользователей по различным источникам данных.