視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情
組織管理員可以執行搜尋,並對與 Chrome 記錄事件相關的安全性問題採取行動。舉例來說,您可以查看動作記錄,追蹤與受管理 Chrome 瀏覽器和 ChromeOS 裝置相關的事件,也可以查看何時有人造訪不安全的網站。
事前準備
如要查看所有 Chrome 事件,請注意以下事項:
- 瀏覽器必須由 Chrome 瀏覽器雲端管理服務、貴機構所註冊的 ChromeOS 裝置,或 Chrome 瀏覽器中管理的使用者設定檔來管理。
- 您必須設定 Chrome 安全性事件的報表。詳情請參閱「管理 Chrome Enterprise 報告連接器」。
- 如要查看 Chrome 資料保護事件,您必須設定 Chrome Enterprise Premium。詳情請參閱「透過 Chrome Enterprise Premium 威脅與資料保護措施保護 Chrome 使用者」。
針對 Chrome 記錄事件執行搜尋
能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。
稽核與調查工具
如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。
-
在 Google 管理控制台中,依序點選「選單」圖示
「報告」
「稽核與調查」「Chrome 記錄事件」。必須具備稽核與調查管理員權限。
-
如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下
移除日期篩選器。 - 按一下「篩選器」分頁標籤。
-
按一下「新增篩選器」
選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」。
-
選取運算子
選取值
按一下「套用」。
- (選用) 如要建立多個搜尋篩選器,請重複步驟 3 至 5。
- 按一下「搜尋」。 注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
安全調查工具
如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「安全中心」「調查工具」。必須具備安全中心管理員權限。
- 按一下「資料來源」,然後選取「Chrome 記錄事件」。
-
如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下
移除日期篩選器。 -
按一下 [Add Condition]。
提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 -
按一下「屬性」
選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」。
如需完整的屬性清單,請參閱「屬性說明」一節。 - 選取運算子。
- 輸入值或從清單中選取值。
- (選用) 如要新增更多搜尋條件,請重複以上步驟。
-
按一下「搜尋」。
您可以在頁面底部的表格中,查看調查工具的搜尋結果。 -
(選用) 如要儲存調查,請按一下「儲存」
輸入標題和說明
按一下「儲存」。
附註
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
- 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
- 您只能搜尋尚未從垃圾桶刪除的郵件資料。
屬性說明
搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:
| 屬性 | 說明 |
|---|---|
| 執行者群組名稱 |
執行者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。 如要將群組新增至篩選條件群組許可清單,請按照下列步驟操作:
|
| 執行者機構單位 | 執行者的機構單位。 |
| 應用程式名稱 | Chrome 線上應用程式商店中的擴充功能名稱。 |
| 瀏覽器版本 | 指派給 Chrome 瀏覽器版本的編號,例如「123.0.6312.59」。 |
| 用戶端類型 |
事件發生所在的受管理 Chrome 介面。
|
| 內容雜湊 | 內容的 SHA256 雜湊。 |
| 內容名稱 | 下載內容的名稱,例如檔案名稱。 |
| 內容風險等級 | 整體內容風險等級,由 Google 安全瀏覽功能判定。 |
| 內容大小* | 下載內容的大小 (以位元組為單位)。 |
| 內容類型 | 下載內容的媒體 (MIME) 類型,例如「text/html」。 |
| 日期 | 事件發生的日期和時間,以瀏覽器預設時區為準。 |
| 目標位置 | 檔案傳輸事件的目的地檔案系統。如為資料控管事件,則是檔案上傳/複製及貼上動作的目的地檔案系統或到達網頁網址。 |
| 裝置名稱 | 裝置名稱。 |
| 裝置平台 | 執行瀏覽器的 OS。 |
| 裝置使用者 | OS 回報的使用者名稱。 |
| Directory API ID | 由 Directory API 傳回的裝置 ID。 |
| 網域* | 動作發生的網域。 |
| 擴充功能動作類型 | 觸發事件的 Chrome 擴充功能動作類型,可能是「安裝」、「解除安裝」或「更新」。 |
| 擴充功能來源 | Chrome 擴充功能的安裝來源,可能是「Chrome 線上應用程式商店」、「外部」、「元件」或「未指定」。 |
| 擴充功能版本 | 擴充功能版本。 |
| 活動 | 系統記錄的事件動作,例如「未掃描內容」、「造訪不安全的網站」、「密碼重複使用」、「機密資料移轉」、「轉移惡意軟體」或「內容轉移」。 |
| 事件原因* | 動作的詳細資訊,例如「檔案受密碼保護」。 |
| 活動結果 | 根據所設政策和規則產生的事件結果,可能是「已略過」、「已封鎖」、「已警告」、「已允許」或「已偵測」。 |
| Iframe 網址 | 事件發生時擷取的 iframe 網址,用於供資料遺失防護規則比對網址條件。 注意:由於 iframe 資料遺失防護功能不支援「造訪過的網址」觸發條件,因此控管網站導覽的資料遺失防護規則 (例如封鎖/允許造訪網站) 不會使用這項屬性。 |
| iframe 網址類別 | iframe 網址的內容類別。可能有多個產生事件的類別。用於供資料遺失防護規則比對網址類別條件。 注意:由於 iframe 資料遺失防護功能不支援「造訪過的網址」觸發條件,因此控管網站導覽的資料遺失防護規則 (例如封鎖/允許造訪網站) 不會使用這項屬性。 |
|
IP ASN 您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。 |
與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。 如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。 |
| 已加密 | 內容是否加密。 |
| 本機 IP | 裝置的 IP 位址。 |
| Pehash Sha256 | PEdata 的 SHA-256 雜湊值 (根據 Google 安全瀏覽功能的 peHash)。 |
| 設定檔使用者 | Chrome 瀏覽器設定檔的使用者名稱。 |
| 推薦網址 | 觸發事件的參照連結網址清單。 |
| 遠端 IP | 與裝置通訊之伺服器的公開 IP 位址。 |
| 掃描 ID | 觸發事件之內容分析掃描作業的掃描 ID |
| 資料來源 |
與下列事件相關的來源:
|
| 來源網頁應用程式登入帳戶 | 使用者在內容來源的網頁應用程式 (即複製內容的應用程式) 中登入的電子郵件地址。這項屬性只能用於「貼上內容」事件。目前僅支援個人和受管理的 Google 帳戶。 |
| 分頁網址 |
下載檔案時,分頁重新導向的網址。 這個網址可能會觸發「已下載檔案」資料遺失防護 (DLP) 規則。舉例來說,當使用者從 Google 雲端硬碟下載檔案時,分頁網址 (drive.google.com) 或下載網址 (googleusercontent.com) 可能會觸發規則。 注意:除了下載情況外,分頁網址和網址皆相同。 |
| 觸發條件類型 | 觸發事件的使用者動作,例如「不明」、「已列印網頁」、「上傳檔案」、「下載檔案」、「上傳網頁內容」或「檔案傳輸」。 |
| 觸發者 | 與下列事件相關的使用者名稱:
|
| 網址 | 產生事件的網址。 |
| 網址類別 | 產生事件網址的內容類別。 |
| 網址風險等級 | 整體網址風險等級,由 Google 安全瀏覽功能判定。 |
| 使用者代理程式 | 用來存取內容的瀏覽器使用者代理程式字串,例如「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36」。 |
| 虛擬裝置 ID* | 裝置的 ID,這個值會因平台而有所不同。 |
| 網頁應用程式登入帳戶 | 使用者事件發生時,使用者在網頁應用程式 (例如 Gmail 或雲端硬碟) 所登入帳戶的電子郵件地址。這項屬性可用於「貼上」、「造訪網址」、「下載檔案」、「上傳檔案」和「列印」事件。目前僅支援個人和受管理的 Google 帳戶 |
依威脅或資料保護事件篩選資料
- 按照上方「稽核與調查工具」一節的說明,開啟記錄事件。
- 按一下「篩選器」分頁標籤。
- 按一下「新增篩選器」
「事件」。
- 在彈出式視窗中選取運算子
選取所需事件
按一下「套用」。
- (選用) 如要建立多個篩選器,請重複步驟 2 至 4。
Chrome Threat 事件說明
| 事件價值 | 說明 | 報告連接器支援 |
|---|---|---|
| 當機事件 | 偵測到分頁或瀏覽器停止運作。 | 適用於 Chrome 瀏覽器 112 以上版本 |
| 安裝擴充功能 | 因使用者或管理員操作而安裝了瀏覽器擴充功能。 | 適用於 Chrome 瀏覽器 110 以上版本 |
| 傳輸惡意軟體 | 使用者上傳或下載惡意、危險或垃圾內容。 | 適用於 Chrome 瀏覽器 104 以上版本 |
| 登入事件 |
注意:您必須啟用密碼管理工具,系統才會回報此類事件。 使用者透過報告連接器設定中指定的網址,成功登入了網域。您可以在 Google 安全中心查看該事件。如果使用者未成功登入,則系統不會回報。 |
適用於 Chrome 瀏覽器 105 以上版本 |
| 密碼外洩 |
注意:您必須啟用密碼管理工具,系統才會回報此類事件。 當使用者在網站中輸入使用者名稱和密碼時,如果這些資訊因資料侵害事件,已經在某些網站或應用程式上遭到外洩,Chrome 即會發出警告。詳情請參閱「變更 Google 帳戶中的低安全性密碼」。 Chrome 也會建議使用者在每個網站或應用程式上變更密碼。如果密碼已儲存在密碼管理工具中,您可以在「Chrome 威脅防護摘要報表」一文中,透過安全中心查看網址。而且每個網址都會顯示為獨立的記錄。 |
適用於 Chrome 瀏覽器 105 以上版本 |
| 密碼已變更 |
使用者在首次登入使用者帳戶後即重設密碼。 |
適用於 Chrome 瀏覽器 104 以上版本 |
| 重複使用密碼 | 使用者在未列於企業登入網址許可清單的網址中輸入密碼。 | 適用於 Chrome 瀏覽器 104 以上版本 |
| 可疑網址事件 | 使用者造訪的網址有中等或更高風險。 | 適用於 Chrome 瀏覽器 138 以上版本 |
| 造訪不安全的網站 | 使用者造訪的網址屬於詐騙或惡意網址。 | 適用於 Chrome 瀏覽器 104 以上版本 |
Chrome 資料保護事件說明
只有 Chrome Enterprise Premium 客戶能查看 Chrome 資料保護事件。
如要進一步瞭解 Chrome Enterprise 進階版和設定方式,請參閱「透過 Chrome Enterprise 進階版保護 Chrome 使用者,防範威脅並保護資料」。
| 事件價值 | 說明 | 報告連接器支援 |
|---|---|---|
| 內容轉移 | 內容已透過 Chrome 上傳、下載或列印,並送交掃描,檢查是否含有惡意軟體或機密資料 |
適用於 Chrome 瀏覽器 104 以上版本 需要 Chrome Enterprise 進階版 |
| 內容未掃描 | 導致檔案未掃描的原因有很多,包括:
|
適用於 Chrome 瀏覽器 104 以上版本 需要 Chrome Enterprise 進階版 |
| 機密資料移轉 | 資料保護規則偵測到使用者上傳、下載、列印或貼上的內容含有機密資料。 |
適用於 Chrome 瀏覽器 104 以上版本 需要 Chrome Enterprise 進階版 |
| 網址篩選 | 使用者嘗試存取的網址符合管理員所設的資料保護規則。 |
適用於 Chrome 瀏覽器 113 以上版本 需要 Chrome Enterprise 進階版 |
ChromeOS 安全性事件說明
- 系統不會針對受管理的訪客、資訊站或非關聯使用者工作階段,收集使用者的電子郵件地址。如要進一步瞭解使用者關聯,請參閱「瞭解使用者關聯」。
- 如要收集這些事件資料,必須啟用所有報告功能,或本頁後續詳述的特定選項。詳情請參閱「設定 ChromeOS 裝置政策」一文中的「回報裝置遙測資訊」和「回報裝置 OS 資訊」,以及「為使用者或瀏覽器設定 Chrome 政策」一文中的「資料控管報告」。
| 事件價值 | 說明 | 報告連接器支援 | 必要政策 |
|---|---|---|---|
| ChromeOS 登入失敗 | 使用者無法登入 ChromeOS 裝置。 | 有權限 | 回報裝置遙測資訊
登入/登出狀態 |
| ChromeOS 登入成功 | 使用者成功登入 ChromeOS 裝置。 | 有權限 | |
| 登出 ChromeOS | 使用者成功登出 ChromeOS 裝置。 | 有權限 | |
| 已新增 ChromeOS 使用者 | 已將使用者帳戶新增至 ChromeOS 裝置。 | 有權限 | |
| 已移除 ChromeOS 使用者 | 已將使用者帳戶從 ChromeOS 裝置移除。 | 有權限 | |
| ChromeOS 鎖定成功 | 已鎖定 ChromeOS 裝置螢幕。 | 不支援 | |
| ChromeOS 解鎖成功 | 已解鎖 ChromeOS 裝置螢幕。 | 不支援 | |
| ChromeOS 解鎖失敗 | 嘗試解鎖 ChromeOS 裝置失敗。 | 不支援 | |
| ChromeOS 裝置啟動狀態變更 |
ChromeOS 裝置的啟動狀態已切換為「開發人員」或「已驗證模式」。
|
不支援 | 回報裝置 OS 資訊
OS 啟動模式 |
| 已新增 ChromeOS USB 裝置 |
已將 USB 裝置加入 ChromeOS 裝置。此事件只會回報給關聯使用者。 |
有權限 | 回報裝置 OS 資訊
USB 周邊裝置狀態 |
| 已移除 ChromeOS USB 裝置 | 已將 USB 裝置從 ChromeOS 裝置中移除。此事件只會回報給關聯使用者。 | 有權限 | |
| ChromeOS USB 狀態變更 | 關聯使用者登入裝置時,系統會回報所有現有的 USB 連線。 | 有權限 | |
| ChromeOS CRD 主機已啟動 | 關聯使用者在受管理的裝置上啟動了 Chrome Report Desktop (CRD) 主機工作階段。 | 有權限 | 回報裝置 OS 資訊
CRD 工作階段 |
| ChromeOS CRD 用戶端已連線 |
使用者連線至 Chrome Report Desktop (CRD) 工作階段。 |
有權限 | |
| ChromeOS CRD 用戶端已中斷連線 | 使用者中斷了與 Chrome Report Desktop (CRD) 工作階段的連線。 | 有權限 | |
| ChromeOS CRD 主機已停止 | 關聯使用者在受管理的裝置上停止了 Chrome Report Desktop (CRD) 主機工作階段。 | 有權限 | |
| ChromeOS 復原成功 | ChromeOS 裝置已完成 OS 復原作業。 | 不支援 | 回報裝置 OS 資訊
回報作業系統的更新狀態 |
| ChromeOS 版本更新成功 | 使用者成功將 ChromeOS 裝置更新為目標 ChromeOS 版本。 | 不支援 | |
| ChromeOS 版本更新失敗 | ChromeOS 裝置無法更新為目標 ChromeOS 版本。 | 不支援 | |
| ChromeOS 裝置已啟動 Powerwash | ChromeOS 裝置已啟動 Powerwash。 | 不支援 | |
| 資料存取權控管 | 使用者觸發了管理員套用的 ChromeOS 資料控管規則。 | 有權限 | 資料控管報告 |
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。 - (選用) 如要移除目前的資料欄,請按一下「移除」圖示 。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下 [儲存]。
匯出搜尋結果資料
您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱
按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目會在試算表中開啟。
匯出上限因情況而異:
- 匯出結果總上限為 100,000 列。
-
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。
版本比較
如果您使用安全調查工具,匯出結果總上限為 3, 000 萬列。
詳情請參閱「匯出搜尋結果」。
資料要處理多久?保留時間有多長?
請參閱「資料保留和延遲時間」。
依據搜尋結果採取行動
建立活動規則及設定快訊
- 您可以透過報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
-
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。
版本比較
為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。
依據搜尋結果採取行動
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較
使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。
管理調查項目
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較
查看調查清單
如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 
。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁的方塊,然後按一下「動作」。
注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。
配置調查設定
超級管理員可以點選「設定」圖示 
,執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「請啟用動作執行原因」設定。
詳情請參閱「進行調查設定」。
儲存、共用、刪除及複製調查項目
如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。
詳情請參閱「儲存、共用、刪除及複製調查項目」。
Chrome 擴充功能遙測資料
僅供購買 Google Security Operations 授權的客戶使用。
您可以在 Google Security Operations 擷取 Chrome 擴充功能遙測資料。從 Chrome 中收集擴充功能遙測資料,並傳送至 Google Security Operations,可即時分析及掌握有風險的活動。
-
依序點選「選單」圖示
「Chrome 瀏覽器」>「設定」。根據預設,「使用者與瀏覽器設定」頁面會隨即開啟。
必須具備行動裝置管理管理員權限。
- 前往「瀏覽器報告功能」。
- 按一下「事件回報功能」,然後選取「啟用事件回報功能」。
- 按一下「其他設定」,然後勾選「擴充功能遙測報表」方塊。
- 按一下 [儲存]。
-
依序點選「選單」圖示
「Chrome 瀏覽器」>「連接器」。
必須擁有 Chrome 管理員權限。
- 開啟「Google Security Operations」設定
點選「詳細資料」
「編輯」。
- 前往「使用者和瀏覽器事件」,勾選「選用事件類型」中的「擴充功能遙測報表」方塊。您也可以按一下「新增供應商設定」建立新設定,指定要接收擴充功能遙測事件的位置。
- 按一下 [儲存]。
如要進一步瞭解 Google Security Operations 及其設定方式,請與 Google Cloud 安全團隊聯絡。
Chrome 瀏覽器擴充功能遙測資料
如要查看下表中的擴充功能資料值:
- 必須使用 Chrome 瀏覽器 129 以上版本 (支援相關 API 呼叫)。
- 必須具備 Google Security Operations 授權,才能查看遙測資料。
| Chrome 瀏覽器擴充功能資料值 | 說明 |
|---|---|
| chrome.cookies.get |
擷取單一 Cookie 的資訊。 這個 API 可操控 Cookie。遙測服務會追蹤 API 呼叫和引數,揭露 Cookie 竊取行為。 |
| chrome.cookies.get(All) |
Chrome 擴充功能遙測信號。從單一 Cookie 儲存庫中,擷取與指定資訊相符的所有 Cookie。 這個 API 可操控 Cookie。遙測服務會追蹤 API 呼叫和引數,揭露 Cookie 竊取行為。 |
| chrome.tabs | Chrome 擴充功能遙測信號。這個 API 可控制分頁。遙測服務會追蹤建立、更新和移除 API 等方法的使用情形,揭露搜尋引擎或瀏覽器中的駭客行為。 |
| Remote hosts contacted | Chrome 擴充功能遙測信號。遙測服務會記錄使用 http(s) 和 websocket(s) 連線的所有遠端主機清單。 |
| Off-store extensions | Chrome 擴充功能遙測信號。當擴充功能並非從 Chrome 線上應用程式商店安裝,遙測服務會追蹤其檔案名稱和雜湊。 |