เหตุการณ์ในบันทึกของ Gmail

ในฐานะผู้ดูแลระบบขององค์กร คุณสามารถเรียกใช้การค้นหาที่เกี่ยวข้องกับเหตุการณ์ในบันทึกของ Gmail และดำเนินการตามผลการค้นหาได้ คุณสามารถดูการดำเนินการเพื่อตรวจสอบกิจกรรมของผู้ใช้และผู้ดูแลระบบขององค์กรใน Gmail ได้ เช่น เมื่อมีจัดประเภทอีเมลว่าเป็นจดหมายขยะ ปล่อยอีเมลจากเขตกักเก็บ หรือส่งอีเมลไปยังเขตกักเก็บของผู้ดูแลระบบ จากนั้นคุณสามารถใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อดำเนินการได้ เช่น ลบข้อความที่ต้องการ ทำเครื่องหมายข้อความว่าเป็นจดหมายขยะหรือฟิชชิง ส่งข้อความไปที่เขตกักเก็บ หรือส่งข้อความไปที่กล่องจดหมายของผู้ใช้

เกี่ยวกับการดูเนื้อหาข้อความ Gmail

หากมีสิทธิ์ที่เหมาะสมในเครื่องมือตรวจสอบและ Google Workspace รุ่นที่จำเป็น คุณจะดูเนื้อหาของอีเมลใน Gmail เพื่อเป็นการตรวจสอบได้ด้วย โปรดดูรายละเอียดที่หัวข้อใช้เครื่องมือตรวจสอบเพื่อดูเนื้อหาที่ละเอียดอ่อน

ความสามารถในการเรียกใช้การค้นหาจะขึ้นอยู่กับรุ่นของ Google, สิทธิ์ของผู้ดูแลระบบ และแหล่งข้อมูล คุณสามารถค้นหาผู้ใช้ทุกคนได้ ไม่ว่าผู้ใช้จะใช้ Google Workspace รุ่นใดก็ตาม

เครื่องมือตรวจสอบ

หากต้องการค้นหาเหตุการณ์ในบันทึก ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกตัวกรองสำหรับการค้นหาอย่างน้อย 1 รายการ

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น การรายงาน จากนั้น การตรวจสอบและการสืบสวน จากนั้น เหตุการณ์ในบันทึกของ Gmail

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการตรวจสอบและการสืบสวน

  2. หากต้องการกรองเหตุการณ์ที่เกิดขึ้นก่อนหรือหลังวันใดวันหนึ่ง ให้เลือกก่อนหรือหลังสำหรับวันที่ โดยค่าเริ่มต้น ระบบจะแสดงเหตุการณ์ในช่วง 7 วันที่ผ่านมา คุณสามารถเลือกช่วงวันที่อื่นหรือคลิก เพื่อนำตัวกรองวันที่ออก

  3. คลิกเพิ่มตัวกรอง จากนั้น เลือกแอตทริบิวต์ เช่น หากต้องการกรองตามประเภทเหตุการณ์ที่เฉพาะเจาะจง ให้เลือกเหตุการณ์
  4. เลือกโอเปอเรเตอร์ จากนั้น เลือกค่า จากนั้น คลิกใช้
    • (ไม่บังคับ) หากต้องการสร้างตัวกรองหลายรายการสำหรับการค้นหา ให้ทำขั้นตอนนี้ซ้ำ
    • (ไม่บังคับ) หากต้องการเพิ่มโอเปอเรเตอร์การค้นหา ให้เลือก AND หรือ OR เหนือเพิ่มตัวกรอง
  5. คลิกค้นหา หมายเหตุ: คุณใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และค่าคู่ที่เรียบง่ายเพื่อกรองผลการค้นหาได้ และยังใช้แท็บเครื่องมือสร้างเงื่อนไข ซึ่งมีตัวกรองที่แสดงเงื่อนไขเป็นโอเปอเรเตอร์ AND/OR ได้ด้วย

เครื่องมือตรวจสอบความปลอดภัย

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

หากต้องการเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัย ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกเงื่อนไขสำหรับการค้นหาอย่างน้อย 1 รายการ สำหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. คลิกแหล่งข้อมูล แล้วเลือกเหตุการณ์ในบันทึกของ Gmail

  3. หากต้องการกรองเหตุการณ์ที่เกิดขึ้นก่อนหรือหลังวันใดวันหนึ่ง ให้เลือกก่อนหรือหลังสำหรับวันที่ โดยค่าเริ่มต้น ระบบจะแสดงเหตุการณ์ในช่วง 7 วันที่ผ่านมา คุณสามารถเลือกช่วงวันที่อื่นหรือคลิก เพื่อนำตัวกรองวันที่ออก

  4. คลิกเพิ่มเงื่อนไข
    เคล็ดลับ: คุณจะกำหนดเงื่อนไขในการค้นหาได้มากกว่า 1 รายการ หรือปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน โปรดดูรายละเอียดที่หัวข้อปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน
  5. คลิกแอตทริบิวต์ จากนั้น เลือกตัวเลือกที่ต้องการ เช่น หากต้องการกรองตามประเภทเหตุการณ์ที่เฉพาะเจาะจง ให้เลือกเหตุการณ์
    หากต้องการดูรายการแอตทริบิวต์ทั้งหมด ให้ไปที่ส่วนคำอธิบายแอตทริบิวต์
  6. เลือกโอเปอเรเตอร์
  7. ป้อนค่าหรือเลือกค่าจากรายการ
  8. (ไม่บังคับ) หากต้องการเพิ่มเงื่อนไขการค้นหา ให้ทำขั้นตอนเดิมซ้ำ
  9. คลิกค้นหา
    คุณดูผลการค้นหาจากเครื่องมือตรวจสอบได้ในตารางที่ด้านล่างของหน้า
  10. (ไม่บังคับ) หากต้องการบันทึกการตรวจสอบ ให้คลิกบันทึก จากนั้น ป้อนชื่อและคำอธิบาย จากนั้น คลิกบันทึก

หมายเหตุ

  • ในแท็บเครื่องมือสร้างเงื่อนไข ตัวกรองจะแสดงเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย
  • หากคุณมอบชื่อใหม่ให้กับผู้ใช้ คุณจะไม่เห็นผลการค้นหาหากใช้ชื่อเก่าของผู้ใช้ เช่น หากคุณเปลี่ยนชื่อ OldName@example.com เป็น NewName@example.com คุณจะไม่เห็นผลการค้นหาสำหรับเหตุการณ์ที่เกี่ยวข้องกับ OldName@example.com
  • คุณสามารถค้นหาได้เฉพาะข้อมูลในข้อความที่ยังไม่ได้ลบออกจากถังขยะ

คำอธิบายแอตทริบิวต์

สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้

แอตทริบิวต์ คำอธิบาย
ข้อมูลแอปพลิเคชันของผู้ดำเนินการ รายละเอียดเกี่ยวกับแอปที่ใช้ในการดำเนินการ

หากต้องการค้นหาตามข้อมูลเฉพาะของแอป ให้เลือกข้อมูลแอปพลิเคชันของผู้ดำเนินการจากเมนู แล้วเลือกคอลัมน์ที่ซ้อนกัน ได้แก่ ชื่อแอปพลิเคชันของผู้ดำเนินการ รหัสไคลเอ็นต์ OAuth ของผู้ดำเนินการ หรือการแอบอ้างเป็นบุคคลอื่น

ผลการค้นหาจะแสดงในคอลัมน์ชื่อแอปพลิเคชันของผู้ดำเนินการ
หมายเหตุ: คุณอาจต้องเพิ่มคอลัมน์นี้ลงในผลการค้นหา โปรดดูขั้นตอนที่หัวข้อจัดการข้อมูลคอลัมน์ผลการค้นหา

คลิกรายการในผลการค้นหาเพื่อเปิดแผงรายละเอียดบันทึกเพื่อแสดงข้อมูลต่อไปนี้

  • ชื่อแอปพลิเคชันของผู้ดำเนินการ - ชื่อของแอปที่ใช้ดำเนินการ
  • รหัสไคลเอ็นต์ OAuth ของผู้ดำเนินการ - ตัวระบุสำหรับแอปของบุคคลที่สาม
  • การแอบอ้างเป็นบุคคลอื่น - แอปแอบอ้างเป็นผู้ใช้หรือไม่

หากส่งออกข้อมูลไปยังไฟล์ค่าที่คั่นด้วยคอมมา (CSV) หรือ Google ชีต ระบบจะบันทึกข้อมูลเป็นบล็อกข้อความเดียวภายในเซลล์
ส่วนขยายไฟล์แนบ รหัสของเบราว์เซอร์ Chrome
แฮชของไฟล์แนบ แฮช SHA256 ของไฟล์แนบ
กลุ่มมัลแวร์ไฟล์แนบ หมวดหมู่มัลแวร์ หากตรวจพบเมื่อมีการจัดการข้อความ เช่น เนื้อหาอาจเป็นอันตราย, โปรแกรมอันตรายที่รู้จัก หรือไวรัส/เวิร์ม
ชื่อไฟล์แนบ ชื่อของไฟล์แนบ
ประเภทไคลเอ็นต์ ประเภทไคลเอ็นต์ Gmail เช่น เว็บ, Android, iOS หรือ POP3
วันที่ วันที่และเวลาของเหตุการณ์ (แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์)
มอบสิทธิ์ อีเมลของผู้รับมอบสิทธิ์ซึ่งดำเนินการในนามของเจ้าของ
ตัวระบุเซสชันของอุปกรณ์ รหัสที่ไม่ซ้ำกันที่สร้างไว้สำหรับเซสชันผู้ใช้โปรแกรมรับส่งอีเมล
โดเมน DKIM โดเมนที่ตรวจสอบสิทธิ์ด้วยกลไก DKIM (Domain Keys Identified Mail)
โดเมน โดเมนที่มีการดำเนินการ
เหตุการณ์ การดำเนินการของเหตุการณ์ที่บันทึกไว้ เช่น การดาวน์โหลดไฟล์แนบ, การคลิกลิงก์, การส่ง หรือการดู
จาก (ซองจดหมาย) อีเมลเอนเวโลปของผู้ส่ง
จาก (ที่อยู่ส่วนหัว) อีเมลส่วนหัวของผู้ส่งตามที่ปรากฏในส่วนหัวของข้อความ เช่น user@example.com
จาก (ชื่อส่วนหัว) ชื่อที่แสดงของส่วนหัวของผู้ส่งตามที่ปรากฏในส่วนหัวของข้อความ
สถานที่ตั้งทางภูมิศาสตร์ รหัสประเทศ ISO ตาม IP การส่งต่อ
มีไฟล์แนบ อีเมลมีไฟล์แนบ
ได้รับสิทธิ์ มีผู้รับมอบสิทธิ์ที่ดำเนินการในนามของเจ้าของหรือไม่
ที่อยู่ IP ที่อยู่ IP ของโปรแกรมรับส่งอีเมลที่เริ่มต้นหรือโต้ตอบกับข้อความ

IP ASN

คุณต้องเพิ่มคอลัมน์นี้ลงในผลการค้นหา โปรดดูขั้นตอนที่หัวข้อจัดการข้อมูลคอลัมน์ผลการค้นหา

หมายเลขระบบเครือข่ายอัตโนมัติ (ASN) ของ IP รวมถึงเขตย่อยและภูมิภาคที่เชื่อมโยงกับรายการบันทึก

หากต้องการตรวจสอบ ASN ของ IP รวมถึงรหัสเขตย่อยและรหัสภูมิภาคที่เกิดเหตุการณ์ ให้คลิกชื่อในผลการค้นหา
โดเมนลิงก์ โดเมนที่ดึงข้อมูลจาก URL ของลิงก์ในเนื้อความ
รหัสข้อความ รหัสข้อความที่ไม่ซ้ำกันที่อยู่ในส่วนหัวของข้อความ
รหัสโปรเจ็กต์ OAuth รหัสโปรเจ็กต์ในคอนโซลระบบคลาวด์ของนักพัฒนาแอปที่ตรวจสอบสิทธิ์ด้วย OAuth
เจ้าของ เจ้าของข้อความอีเมล หากเป็นข้อความขาเข้า เจ้าของคือผู้รับ หากเป็นข้อความขาออก เจ้าของคือผู้ส่ง
แหล่งข้อมูล รายละเอียดเกี่ยวกับไฟล์ โฟลเดอร์ หรือกฎที่เชื่อมโยงกับการดำเนินการ

หากต้องการค้นหาตามรายละเอียดเหล่านี้ ให้เลือกแหล่งข้อมูลจากเมนู แล้วเลือกคอลัมน์ที่ซ้อนกัน ได้แก่ รหัสแหล่งข้อมูล ชื่อแหล่งข้อมูล หรือ ประเภทแหล่งข้อมูล

ผลลัพธ์จะแสดงในคอลัมน์แหล่งข้อมูล คลิกรายการเพื่อเปิดแผงรายละเอียดบันทึกเพื่อแสดงข้อมูลต่อไปนี้
  • รหัสทรัพยากร - ตัวระบุของทรัพยากร
  • ชื่อทรัพยากร - ชื่อของทรัพยากร
  • ประเภททรัพยากร - หมวดหมู่ของทรัพยากร (เช่น Google ไดรฟ์ อีเมล หรือ กฎ)
  • ความสัมพันธ์กับทรัพยากร - ความสัมพันธ์ของทรัพยากรกับเหตุการณ์นั้นๆ
  • ป้ายกำกับทรัพยากร - ป้ายกำกับการแยกประเภทที่ใช้กับทรัพยากร
  • ฟิลด์ป้ายกำกับทรัพยากร - ฟิลด์และประเภทข้อมูลที่เฉพาะเจาะจง ภายในป้ายกำกับ

หากส่งออกข้อมูลไปยังไฟล์ค่าที่คั่นด้วยคอมมา (CSV) หรือ Google ชีต ระบบจะบันทึกข้อมูลเป็นบล็อกข้อความเดียวภายในเซลล์
ป้ายกำกับทรัพยากร รายละเอียดเกี่ยวกับป้ายกำกับการแยกประเภทที่กำหนดให้กับทรัพยากร

หากต้องการค้นหาตามข้อมูลนี้ ให้เลือกป้ายกำกับทรัพยากรจากเมนู แล้ว เลือกคอลัมน์ที่ซ้อนกัน ได้แก่ รหัสป้ายกำกับทรัพยากรหรือป้ายกำกับ ทรัพยากร

ผลลัพธ์จะแสดงในคอลัมน์แหล่งข้อมูล คลิกรายการเพื่อเปิดแผงรายละเอียดบันทึก
ฟิลด์ป้ายกำกับทรัพยากร รายละเอียดเกี่ยวกับช่องที่เฉพาะเจาะจงภายในป้ายกำกับการแยกประเภท

หากต้องการค้นหาตามช่องเหล่านี้ ให้เลือกฟิลด์ป้ายกำกับทรัพยากรจากเมนู จากนั้น เลือกคอลัมน์ที่ซ้อนกัน ได้แก่ รหัสฟิลด์ป้ายกำกับ ชื่อฟิลด์ป้ายกำกับ หรือประเภทฟิลด์ป้ายกำกับ

ผลลัพธ์จะแสดงในคอลัมน์แหล่งข้อมูล คลิกรายการเพื่อเปิดแผงรายละเอียดบันทึก
ค่าช่องป้ายกำกับทรัพยากร รายละเอียดเกี่ยวกับข้อมูลที่ป้อนลงในช่องป้ายกำกับที่เฉพาะเจาะจง

หากต้องการค้นหาตามค่าเหล่านี้ ให้เลือกค่าฟิลด์ป้ายกำกับทรัพยากรจากเมนู จากนั้นเลือกคอลัมน์ที่ซ้อนกัน ได้แก่ วันที่ หมายเลข การเลือก รายการการเลือก ข้อความ ผู้ใช้ หรือรายการผู้ใช้

ผลลัพธ์จะแสดงในคอลัมน์แหล่งข้อมูล คลิกรายการเพื่อเปิดแผงรายละเอียดบันทึก
โดเมนผู้ส่ง โดเมนของผู้ส่ง
การจัดประเภทจดหมายขยะ การจัดประเภทจดหมายขยะของข้อความอีเมล เช่น จดหมายขยะ, มัลแวร์, ฟิชชิง, น่าสงสัย หรือปลอดภัย (ไม่ใช่จดหมายขยะ)
เหตุผลการจัดประเภทจดหมายขยะ สาเหตุที่ข้อความถูกจัดประเภทว่าเป็นจดหมายขยะ เช่น จดหมายขยะที่ทราบแน่ชัด, กฎที่กำหนดเอง, ชื่อเสียงของผู้ส่ง หรือไฟล์แนบที่น่าสงสัย
โดเมน SPF ชื่อโดเมนที่ใช้สำหรับการตรวจสอบสิทธิ์ Sender Policy Framework (SPF)
เรื่อง บรรทัดเรื่องของอีเมล
แฮชของไฟล์แนบเป้าหมาย ข้อมูลเกี่ยวกับแฮช SHA256 ของไฟล์แนบในกรณีที่ผู้ใช้โต้ตอบกับไฟล์แนบของข้อความ
กลุ่มมัลแวร์ไฟล์แนบเป้าหมาย ข้อมูลเกี่ยวกับกลุ่มมัลแวร์จากไฟล์แนบในกรณีที่ผู้ใช้โต้ตอบกับไฟล์แนบของข้อความ เช่น เนื้อหาอาจเป็นอันตราย, โปรแกรมอันตรายที่รู้จัก หรือไวรัส/เวิร์ม
ชื่อไฟล์แนบเป้าหมาย ข้อมูลเกี่ยวกับชื่อไฟล์แนบในกรณีที่ผู้ใช้โต้ตอบกับไฟล์แนบของข้อความ
รหัสไดรฟ์เป้าหมาย ข้อมูลเกี่ยวกับรหัสไดรฟ์ในกรณีที่ผู้ใช้โต้ตอบกับรายการในไดรฟ์ของข้อความ
URL ของลิงก์เป้าหมาย ข้อมูลเกี่ยวกับ URL ของลิงก์ในกรณีที่ผู้ใช้โต้ตอบกับลิงก์ของข้อความ
ถึง (ซองจดหมาย) อีเมลเอนเวโลปของผู้รับ
แหล่งที่มาของการเข้าชม ระบุว่ามีการส่ง/รับอีเมลภายใน (ภายในโดเมน) หรือภายนอก

ดำเนินการตามผลการค้นหา

หลังจากเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัยแล้ว คุณจะดำเนินการกับผลการค้นหาได้ เช่น คุณสามารถค้นหาตามเหตุการณ์ในบันทึกของ Gmail แล้วใช้เครื่องมือเพื่อลบข้อความที่ต้องการ ส่งข้อความไปยังเขตกักเก็บ หรือส่งข้อความไปยังกล่องจดหมายของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการดำเนินการต่างๆ ในเครื่องมือตรวจสอบความปลอดภัยที่หัวข้อดำเนินการตามผลการค้นหา

จัดการการตรวจสอบ

ดูรายการการตรวจสอบ

หากต้องการดูรายการการตรวจสอบที่คุณเป็นเจ้าของและรายการที่ผู้อื่นแชร์กับคุณ ให้คลิกดูการตรวจสอบ รายการการตรวจสอบประกอบด้วยชื่อ คำอธิบาย และเจ้าของการตรวจสอบ และวันที่แก้ไขล่าสุด

จากรายการนี้ คุณจะดำเนินการกับการตรวจสอบที่คุณเป็นเจ้าของได้ เช่น ลบการตรวจสอบ เลือกช่องสำหรับการตรวจสอบแล้วคลิกการดำเนินการ

หมายเหตุ: ที่ด้านบนของรายการการตรวจสอบ ใต้ส่วนการเข้าถึงด่วน คุณจะดูการตรวจสอบที่บันทึกไว้ล่าสุดได้

กำหนดการตั้งค่าสำหรับการตรวจสอบ

ในฐานะผู้ดูแลระบบขั้นสูง ให้คลิกการตั้งค่า เพื่อดำเนินการดังนี้

  • เปลี่ยนเขตเวลาสําหรับการตรวจสอบ โดยเขตเวลาจะมีผลกับเงื่อนไขการค้นหาและผลการค้นหา
  • การเปิดหรือปิดต้องมีผู้ตรวจสอบ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อต้องมีผู้ตรวจสอบสำหรับการดำเนินการหลายรายการพร้อมกัน
  • เปิดหรือปิดการดูเนื้อหา การตั้งค่านี้จะอนุญาตให้ผู้ดูแลระบบที่มีสิทธิ์ในระดับที่เหมาะสมดูเนื้อหาได้
  • เปิดหรือปิดเปิดใช้เหตุผลรองรับการดำเนินการ

โปรดดูวิธีการและรายละเอียดที่หัวข้อกำหนดการตั้งค่าสำหรับการตรวจสอบ

จัดการคอลัมน์ในผลการค้นหา

คุณควบคุมได้ว่าจะให้คอลัมน์ข้อมูลใดปรากฏในผลการค้นหา

  1. คลิกจัดการคอลัมน์ ที่ด้านขวาบนของตารางผลการค้นหา
  2. (ไม่บังคับ) หากต้องการนำคอลัมน์ปัจจุบันออก ให้คลิกนำรายการออก
  3. (ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ ให้คลิกลูกศรลง ถัดจาก "เพิ่มคอลัมน์ใหม่" แล้วเลือกคอลัมน์ข้อมูล
    ทำซ้ำตามที่จำเป็น
  4. (ไม่บังคับ) หากต้องการเปลี่ยนลำดับของคอลัมน์ ให้ลากชื่อคอลัมน์
  5. คลิกบันทึก

ส่งออกข้อมูลจากผลการค้นหา

คุณสามารถส่งออกผลการค้นหาในเครื่องมือตรวจสอบความปลอดภัยไปยัง Google ชีตหรือไฟล์ CSV ได้ โปรดดูวิธีการที่หัวข้อส่งออกผลการค้นหา

แชร์ ลบ และทำซ้ำการตรวจสอบ

หากต้องการบันทึกเกณฑ์การค้นหาหรือแชร์กับคนอื่นๆ คุณสามารถสร้างและบันทึกการตรวจสอบ จากนั้นก็แชร์ ทำซ้ำ หรือลบออกได้

โปรดดูรายละเอียดที่หัวข้อบันทึก แชร์ ลบ และทำซ้ำการตรวจสอบ

ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแหล่งข้อมูลที่หัวข้อการเก็บรักษาข้อมูลและเวลาล่าช้า