Événements de journaux Chrome

Afficher les événements Chrome dans la console d'administration Google

En fonction de votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation de sécurité, qui offre des fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité. En savoir plus

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches et intervenir pour régler les problèmes de sécurité liés aux événements de journaux Chrome. Par exemple, vous pouvez consulter un enregistrement des actions permettant de suivre les événements liés aux navigateurs Chrome et aux appareils ChromeOS gérés. Vous pouvez également consulter la date et l'heure de la visite d'un site non sécurisé.

Avant de commencer

Pour afficher tous les événements Chrome :

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Vous pouvez lancer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Création de rapports puisAudit et enquête puisÉvénements de journaux Chrome.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur  pour supprimer le filtre de date.

  3. Cliquez sur l'onglet Filtre.
  4. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
  5. Sélectionnez un opérateur puissélectionnez une valeur puiscliquez sur Appliquer.
  6. (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez les étapes 3 à 5.
  7. Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.

Outil d'investigation sur la sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données, puis sélectionnez Événements de journaux Chrome.

  3. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur  pour supprimer le filtre de date.

  4. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  6. Sélectionnez un opérateur.
  7. Saisissez une valeur ou sélectionnez-en une dans la liste.
  8. (Facultatif) Pour ajouter d'autres critères de recherche, répétez la procédure.
  9. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puissaisissez un titre et une description puiscliquez sur Enregistrer.

Remarques

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
Nom du groupe de l'acteur

Nom du groupe auquel appartient l'acteur. Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom du groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez-le.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Unité organisationnelle de l'acteur Unité organisationnelle de l'acteur.
Nom de l'application Nom de l'extension sur le Chrome Web Store.
Version du navigateur Le numéro attribué à la version du navigateur Chrome, par exemple, 123.0.6312.59
Type de client

Surface Chrome gérée où l'événement s'est produit.
Hachage du contenu Hachage SHA256 du contenu.
Nom du contenu Le nom du contenu téléchargé, par exemple, un nom de fichier
Niveau de risque du contenu Niveau de risque global du contenu, fourni par la navigation sécurisée Google.
Taille du contenu* Taille du contenu téléchargé, en octets.
Type de contenus Le type (MIME) du contenu téléchargé, par exemple, text/html
Date La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur)
Destination Le système de fichiers de destination pour les événements de transfert de fichiers. Pour les événements de contrôle des données, le système de fichiers de destination ou l'URL de destination pour les importations de fichiers ou les actions de copier et coller.
Nom de l'appareil Nom de l'appareil.
Plate-forme de l'appareil L'OS sous lequel s'exécute le navigateur
Utilisateur de l'appareil Nom de l'utilisateur indiqué par le système d'exploitation.
ID de l'API Directory L'ID de l'appareil affiché par l'API Directory
Domaine* Le domaine où l'action s'est produite.
Type d'action de l'extension Le type d'action d'extension Chrome qui déclenche l'événement. Peut être Install, Uninstall ou Update.
Source de l'extension La source à partir de laquelle l'extension Chrome a été installée. Peut être Chrome Web Store, Externe, Composant ou Non spécifiée.
Version de l'extension Version de l'extension.
Événement L'action d'événement consignée, telle que Contenu non analysé, Visite de site non sécurisé, Réutilisation de mot de passe, Transfert de données sensibles, Transfert de logiciels malveillants ou Transfert de contenu.
Motif de l'événement Des informations sur l'action, par exemple, Le fichier est protégé par un mot de passe
Résultat de l'événement Le résultat de l'événement en fonction des règles définies (valeurs possibles : Ignoré, Bloqué, Averti, Autorisé ou Détecté).
URL de l'iFrame URL iFrame capturées lorsque l'événement s'est produit. Utilisé par les règles de protection contre la perte de données pour faire correspondre les conditions d'URL.
Remarque : Étant donné que la fonctionnalité de protection contre la perte de données pour les iFrames n'est pas compatible avec le déclencheur URL visitée, les règles de protection contre la perte de données qui contrôlent la navigation sur les sites (par exemple, le blocage/l'autorisation des visites de sites) n'utilisent pas cet attribut.
Catégorie d'URL iFrame Catégories de contenu des URL iFrame. Plusieurs catégories peuvent avoir généré l'événement. Utilisé par les règles de protection contre la perte de données pour faire correspondre les conditions de catégorie d'URL.
Remarque : Étant donné que la fonctionnalité de protection contre la perte de données pour les iFrames n'est pas compatible avec le déclencheur URL visitée, les règles de protection contre la perte de données qui contrôlent la navigation sur les sites (par exemple, le blocage/l'autorisation des visites de sites) n'utilisent pas cet attribut.

ASN de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro ASN (Autonomous System Number), subdivision et région de l'adresse IP associés à l'entrée de journal.

Pour examiner l'ASN et le code de subdivision et de région de l'adresse IP où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
Est chiffré Si le contenu est chiffré.
Adresse IP locale Adresse IP de l'appareil.
Hachage PE SHA-256 Hachage SHA-256 des données PE basé sur le hachage PE de la navigation sécurisée Google.
Profil utilisateur Le nom d'utilisateur du profil du navigateur Chrome
URL de provenance Liste des URL de provenance ayant déclenché l'événement.
Adresse IP distante L'adresse IP publique du serveur avec lequel l'appareil communique
ID de la numérisation L'ID de l'analyse de contenu qui a déclenché l'événement
Source

Source associée à l'événement :

  • Événements de transfert de fichiers : système de fichiers source.
  • Pour les événements de contrôle des données, l'URL source des importations de fichiers ou des actions de copier et coller.
  • Événements d'importation de contenu Web : source à partir de laquelle les données ont été copiées. Il peut s'agir d'une URL ou d'un type de source, comme le mode navigation privée, un autre profil Chrome ou le presse-papiers d'un ordinateur.
Compte connecté pour l'application Web source Adresse e-mail de l'utilisateur connecté à l'application Web contenant la source du contenu (l'application à partir de laquelle l'utilisateur a copié le contenu). Cela ne s'applique qu'aux événements Contenu collé. Actuellement disponible uniquement pour les comptes Google personnels et gérés.
URL de l'onglet

URL vers laquelle l'onglet redirige lors du téléchargement d'un fichier.

Cette URL peut déclencher la règle de protection contre la perte de données Fichier téléchargé. Par exemple, lorsqu'un utilisateur télécharge un fichier depuis Google Drive, l'URL de l'onglet (drive.google.com) ou l'URL de téléchargement (googleusercontent.com) peuvent déclencher la règle.

Remarque : L'URL de l'onglet et l'URL sont identiques, sauf pour les téléchargements.
Type de déclencheur L'action utilisateur qui a déclenché l'événement, par exemple Inconnu, Page imprimée, Importation de fichier, Téléchargement de fichier, Importation de contenu Web ou Transfert de fichiers.
Utilisateur déclencheur Nom d'utilisateur associé à l'événement :
  • Réutilisation des mots de passe : nom d'utilisateur auquel appartient le mot de passe
  • Réinitialisation du mot de passe : le nom d'utilisateur pour lequel le mot de passe est réinitialisé
URL URL qui a généré l'événement.
Catégorie d'URL Catégorie de contenus de l'URL qui a généré l'événement.
Niveau de risque de l'URL Niveau de risque global de l'URL, fourni par la navigation sécurisée Google.
User-agent La chaîne user-agent du navigateur utilisé pour accéder au contenu. par exemple, Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36.
ID de l'appareil virtuel* ID de l'appareil. (valeur spécifique à la plate-forme)
Compte connecté pour l'application Web Adresse e-mail du compte utilisateur connecté de manière active à l'application Web (Gmail ou Drive, par exemple) au moment de l'événement utilisateur. Cela s'applique aux événements Coller, URL visitée, Téléchargement de fichier, Importation de fichier et Imprimer. Disponible uniquement pour les comptes Google personnels et gérés pour le moment.
* Vous ne pouvez pas créer de règles de création de rapports avec ces filtres. En savoir plus sur les différences entre les règles de reporting et les règles d'activité

Filtrer les données selon les événements concernant la prévention des menaces ou la protection des données

  1. Ouvrez les événements de journaux comme décrit précédemment dans la section Outil d'audit et d'investigation.
  2. Cliquez sur l'onglet Filtre.
  3. Cliquez sur Ajouter un filtre. puis Événement.
  4. Dans la fenêtre pop-up, sélectionnez un opérateur puissélectionnez un événement puiscliquez sur Appliquer.
  5. (Facultatif) Pour créer plusieurs filtres, répétez les étapes 2 à 4.

Descriptions des événements concernant les menaces Chrome

Valeur de l'événement Description Compatibilité des connecteurs de reporting
Événements de plantage Un plantage est détecté pour un onglet ou le navigateur. Compatible avec le navigateur Chrome 112 ou version ultérieure
Installation d'une extension Une extension de navigateur a été installée, soit par un utilisateur, soit par l'administrateur. Compatible avec le navigateur Chrome 110 ou version ultérieure
Transfert de logiciels malveillants Le contenu importé ou téléchargé par l'utilisateur est considéré comme malveillant, dangereux ou indésirable. Compatible avec le navigateur Chrome 104 ou version ultérieure
Événements de connexion

Remarque : Pour que cet événement soit signalé, le Gestionnaire de mots de passe doit être activé.

Un utilisateur a réussi à se connecter à un domaine avec l'URL spécifiée dans les paramètres du connecteur de reporting. Vous pouvez voir l'événement dans le Centre de sécurité Google. Les connexions infructueuses ne sont pas signalées.

 Compatible avec le navigateur Chrome 105 ou version ultérieure
Violation du mot de passe

Remarque : Pour que cet événement soit signalé, le Gestionnaire de mots de passe doit être activé.

Lorsqu'un utilisateur saisit son nom d'utilisateur et son mot de passe sur un site Web, Chrome l'avertit s'ils ont été compromis lors d'une violation des données sur un autre site ou une application. Pour en savoir plus, consultez Modifier les mots de passe non sécurisés dans votre compte Google.

Chrome suggère également que l'utilisateur modifie son mot de passe sur chaque site Web ou application. Si le mot de passe a été enregistré dans le Gestionnaire de mots de passe, vous pouvez consulter les URL dans le centre de sécurité, dans le rapport récapitulatif sur la protection contre les menaces de Chrome. Chaque URL s'affiche sous la forme d'un enregistrement distinct.

 Compatible avec le navigateur Chrome 105 ou version ultérieure
Mot de passe modifié

L'utilisateur réinitialise son mot de passe pour sa première connexion à son compte.

 Compatible avec le navigateur Chrome 104 ou version ultérieure
Réutilisation des mots de passe L'utilisateur a saisi un mot de passe dans une URL qui ne figure pas dans la liste des URL de connexion autorisées par l'entreprise. Compatible avec le navigateur Chrome 104 ou version ultérieure
Événements d'URL suspectes L'URL à laquelle a accédé l'utilisateur est considérée comme présentant un risque moyen ou élevé. Compatible avec le navigateur Chrome 138 ou version ultérieure
Visite de site non sécurisé L'URL à laquelle a accédé l'utilisateur est considérée comme trompeuse ou malveillante. Compatible avec le navigateur Chrome 104 ou version ultérieure

Descriptions des événements liés à la protection des données Chrome

Les événements de protection des données Chrome ne sont disponibles que pour les clients Chrome Enterprise Premium.

Pour en savoir plus sur Chrome Enterprise Premium et sa configuration, consultez Protéger les utilisateurs de Chrome grâce à la prévention des menaces et la protection des données de Chrome Enterprise Premium.

Valeur de l'événement Description Compatibilité des connecteurs de reporting
Transfert de contenu Contenu importé, téléchargé ou imprimé depuis Chrome, puis envoyé pour recherche de logiciels malveillants ou de données sensibles.

Compatible avec le navigateur Chrome 104 ou version ultérieure

Nécessite Chrome Enterprise Premium
Contenu non analysé Plusieurs raisons peuvent expliquer pourquoi un fichier n'a pas été analysé, par exemple :
  • Le fichier est protégé par un mot de passe.
  • Le fichier est trop volumineux.
  • L'analyse DLP a échoué.
  • La recherche de logiciels malveillants a échoué.
  • Type de fichier non compatible avec l'analyse de logiciels malveillants
  • Service indisponible

Compatible avec le navigateur Chrome 104 ou version ultérieure

Nécessite Chrome Enterprise Premium
Transfert de données sensibles Le contenu importé, téléchargé, imprimé ou collé par l'utilisateur est considéré comme contenant des données sensibles, selon les règles de protection des données.

Compatible avec le navigateur Chrome 104 ou version ultérieure

Nécessite Chrome Enterprise Premium
Filtrage des URL L'utilisateur a tenté d'accéder à une URL correspondant à une règle de protection des données définie par l'administrateur.

Compatible avec le navigateur Chrome 113 ou version ultérieure

Nécessite Chrome Enterprise Premium
Important : Les tentatives d'importation de contenu, et non les importations terminées, sont consignées dans les événements de protection des données Chrome. Les importations peuvent échouer en raison de défaillances du serveur, d'erreurs réseau, de l'annulation de l'importation par l'utilisateur ou de sites Web qui n'acceptent pas l'importation de fichiers ou de dossiers.

Descriptions des événements liés à la sécurité de ChromeOS

Valeur de l'événement Description Compatibilité des connecteurs de reporting Règle obligatoire
Échec de la connexion à ChromeOS L'utilisateur n'a pas réussi à se connecter à son appareil ChromeOS. Compatible Envoyer les données télémétriques de l'appareil puisÉtat de connexion/déconnexion
Connexion à ChromeOS réussie L'utilisateur s'est bien connecté à son appareil ChromeOS. Compatible
Déconnexion de ChromeOS L'utilisateur s'est bien déconnecté de son appareil ChromeOS. Compatible
Utilisateur ChromeOS ajouté Un compte utilisateur a été ajouté à un appareil ChromeOS. Compatible
Utilisateur ChromeOS supprimé Un compte utilisateur a été supprimé d'un appareil ChromeOS. Compatible
Verrouillage de ChromeOS réussi L'écran d'un appareil ChromeOS a été verrouillé. Non compatible
Déverrouillage de ChromeOS réussi L'écran d'un appareil ChromeOS a été déverrouillé. Non compatible
Échec du déverrouillage de ChromeOS Échec du déverrouillage d'un appareil ChromeOS. Non compatible
Changement de l'état de démarrage d'un appareil ChromeOS

L'état de démarrage d'un appareil ChromeOS est passé en mode développeur ou en mode validé.

  • Les appareils doivent être enregistrés dans un domaine géré avant et après le changement d'état de démarrage pour générer un événement de changement d'état de démarrage.
 Non compatible Envoyer des informations sur l'OS de l'appareil puisMode de démarrage de l'OS
Périphérique USB ChromeOS ajouté

Un périphérique USB a été ajouté à un appareil ChromeOS. Cet événement n'est consigné que pour les utilisateurs affiliés.

 Compatible Envoyer des informations sur l'OS de l'appareil puisÉtat des périphériques USB
Périphérique USB ChromeOS retiré Un périphérique USB a été retiré d'un appareil ChromeOS. Cet événement n'est consigné que pour les utilisateurs affiliés. Compatible
Modification de l'état USB ChromeOS Lorsqu'un utilisateur affilié se connecte à l'appareil, toutes les connexions USB existantes sont signalées. Compatible
Hôte du bureau à distance ChromeOS démarré Un utilisateur affilié a lancé une session hôte Chrome Report Desktop (CRD) sur un appareil géré. Compatible Envoyer des informations sur l'OS de l'appareil puisSessions CRD
Client du bureau à distance ChromeOS connecté

Un utilisateur s'est connecté à la session Chrome Report Desktop (CRD).

 Compatible
Client du bureau à distance ChromeOS déconnecté Un utilisateur s'est déconnecté de la session Chrome Report Desktop (CRD). Compatible
Hôte du bureau à distance ChromeOS arrêté Un utilisateur affilié a arrêté une session hôte Chrome Report Desktop (CRD) sur un appareil géré. Compatible
Le rollback de ChromeOS a réussi Un rollback d'OS a été effectué sur un appareil ChromeOS. Non compatible Envoyer des informations sur l'OS de l'appareil puisIndiquer l'état de la mise à jour du système
Mise à jour de la version de ChromeOS réussie Un utilisateur a mis à jour un appareil ChromeOS vers la version ChromeOS cible. Non compatible
Échec de la mise à jour de la version de ChromeOS Échec de la mise à jour d'un appareil ChromeOS vers la version ChromeOS cible. Non compatible
Powerwash de l'appareil ChromeOS lancé Un appareil ChromeOS a effectué un Powerwash. Non compatible
Contrôle de l'accès aux données Un utilisateur a déclenché les règles de contrôle des données ChromeOS appliquées par l'administrateur. Compatible Rapports sur les paramètres de traitement des données

Gérer les données d'événement des journaux

Gérer les données des colonnes de résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes  .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
  3. (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter les données des résultats de recherche

Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.

  1. En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
  2. Saisissez un nom puis cliquez sur Exporter.
    L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action.
  3. Pour afficher les données, cliquez sur le nom de votre exportation.
    L'exportation s'ouvre dans Sheets.

Les limites d'exportation varient :

  • Le total des résultats de l'exportation est limité à 100 000 lignes.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.

Pour en savoir plus, consultez Exporter les résultats de recherche.

Quand et pendant combien de temps les données sont-elles disponibles ?

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes

  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Gérer vos investigations

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos enquêtes enregistrées sous Accès rapide, juste au-dessus de votre liste d'enquêtes.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activez ou désactivez l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activez ou désactivez Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activez ou désactivez l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Enregistrer, partager, supprimer et dupliquer des enquêtes

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des enquêtes.

Données de télémétrie des extensions Chrome

Disponible uniquement pour les clients ayant souscrit une licence Google Security Operations.

Vous pouvez capturer les données de télémétrie des extensions Chrome dans Google Security Operations. Collectez les données de télémétrie des extensions Chrome et envoyez-les à Google Security Operations pour obtenir une analyse instantanée et le contexte des activités à risque.

  1. Accédez à Menu  puis Navigateur Chrome > Paramètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Vous devez disposer du droit d'administrateur Gestion des appareils mobiles.

  2. Accédez à Reporting sur le navigateur.
  3. Cliquez sur Rapports sur les événements, puis sélectionnez Activer les rapports sur les événements.
  4. Cliquez sur Paramètres supplémentaires, puis cochez la case Rapports de télémétrie des extensions.
  5. Cliquez sur Enregistrer.
  6. Accédez à Menu  puis Navigateur Chrome > Connecteurs.

    Le droit d'administrateur Chrome est requis.

  7. Ouvrez une configuration Google Security Operations. puiscliquez sur Détails. puisModifier.
  8. Accédez à Événements liés aux utilisateurs et navigateurs, puis cochez la case Rapports de télémétrie des extensions sous Types d'événements facultatifs. Vous pouvez également cliquer sur Configuration d'un nouveau fournisseur pour créer une configuration dans laquelle vous souhaitez recevoir des événements liés à la télémétrie des extensions.
  9. Cliquez sur Enregistrer.

Pour en savoir plus sur Google Security Operations et la façon de le configurer, contactez Google Cloud Security.

Données de télémétrie des extensions du navigateur Chrome

Pour toutes les valeurs d'extension du tableau suivant :

  • L'appel d'API est compatible avec le navigateur Chrome 129 ou version ultérieure.
  • Une licence Google Security Operations est requise pour afficher les données de télémétrie.
Valeur de l'extension du navigateur Chrome Description
chrome.cookies.get

Récupère des informations sur un seul cookie.

API permettant de manipuler les cookies. Le service de télémétrie suit les appels d'API et les arguments pour détecter le vol de cookies.
chrome.cookies.get(All)

Signal de télémétrie d'une extension Chrome. Récupère tous les cookies d'un même magasin de cookies qui correspondent aux informations données.

API permettant de manipuler les cookies. Le service de télémétrie suit les appels d'API et les arguments pour détecter le vol de cookies.
chrome.tabs Signal de télémétrie d'une extension Chrome. Cette API fournit des commandes pour les onglets. Le service de télémétrie suit l'utilisation des méthodes API de création, de mise à jour et de suppression pour détecter le piratage de recherche ou de navigateur.
Hôtes distants contactés Signal de télémétrie d'une extension Chrome. Le service de télémétrie enregistre la liste de tous les hôtes distants contactés à l'aide des protocoles HTTP(S) et WebSocket.
Extensions hors plates-formes de téléchargement Signal de télémétrie d'une extension Chrome. Le service de télémétrie suit les noms de fichiers et les hachages des extensions qui ne sont pas installées à partir du Chrome Web Store.