Zdarzenia z dziennika Gmaila

Jako administrator organizacji możesz przeprowadzać wyszukiwania związane ze zdarzeniami z dziennika Gmaila oraz podejmować działania na podstawie wyników wyszukiwania. Możesz wyświetlać działania, aby sprawdzać aktywność użytkowników i administratorów organizacji w Gmailu – na przykład, kiedy e-maile są klasyfikowane jako spam, zwalniane z kwarantanny lub wysyłane do kwarantanny administracyjnej. Następnie możesz za pomocą narzędzia do analizy zagrożeń na przykład usunąć określone wiadomości, oznaczyć je jako spam lub wiadomości wyłudzające informacje albo wysłać je do kwarantanny bądź skrzynek odbiorczych użytkowników.

Wyświetlanie treści wiadomości w Gmailu

Jeśli masz odpowiednie uprawnienia w narzędziu do analizy zagrożeń i wymaganą wersję Google Workspace, możesz też wyświetlić treść wiadomości w Gmailu w ramach analizy zagrożeń. Szczegółowe informacje znajdziesz w artykule Wyświetlanie treści o charakterze kontrowersyjnym za pomocą narzędzia do analizy zagrożeń.

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potem Kontrola i analiza zagrożeń a potem Zdarzenia z dziennika Gmaila.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  3. Kliknij Dodaj filtr a potem wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
  4. Wybierz operatora a potem wybierz wartość a potem kliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operatorwartość.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika Gmaila.

  3. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
  9. Kliknij Szukaj.
    Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwagi

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
  • Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Informacje o aplikacji, która wykonała czynność Szczegóły dotyczące aplikacji użytej do wykonania czynności.

Aby wyszukać dane dotyczące aplikacji, w menu kliknij Informacje o aplikacji użytkownika, a następnie wybierz kolumnę zagnieżdżoną: Nazwa aplikacji użytkownika, Identyfikator klienta OAuth użytkownika lub Podszywanie się.

Wyniki wyszukiwania są wyświetlane w kolumnie Nazwa aplikacji, która wykonała czynność.
Uwaga: może być konieczne dodanie tej kolumny do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania.

Kliknij wpis w wynikach wyszukiwania, aby otworzyć panel Szczegóły dziennika, w którym zobaczysz:

  • Nazwa aplikacji, która wykonała czynność – nazwa aplikacji użytej do wykonania czynności.
  • Identyfikator klienta OAuth, który wykonał czynność – identyfikator aplikacji innej firmy.
  • Podszywanie się pod inne osoby – informacja, czy aplikacja podszywała się pod użytkownika.

Jeśli wyeksportujesz informacje do pliku CSV lub Arkuszy Google, zostaną one zapisane jako pojedynczy blok tekstu w komórce.
Rozszerzenie z załącznikiem Identyfikator przeglądarki Chrome.
Hash załącznika Identyfikator SHA256 załącznika
Rodzina złośliwego oprogramowania załączników Kategoria złośliwego oprogramowania wykrytego podczas obsługi wiadomości, na przykład Potencjalnie szkodliwa treść, Znane złośliwe oprogramowanie lub Wirus/robak.
Nazwa załącznika Nazwa załącznika
Typ klienta Typ klienta Gmaila – na przykład Web, Android, iOS lub POP3.
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Przekaż dostęp Adres e-mail użytkownika z przekazanym dostępem, który wykonał czynność w imieniu właściciela.
Identyfikator sesji na urządzeniu Unikalny identyfikator wygenerowany na potrzeby sesji użytkownika klienta poczty
Domena DKIM Domena uwierzytelniona za pomocą mechanizmu DKIM (Domain Keys Identified Mail).
Domena Domena, w której wykonano czynność
Wydarzenie Zarejestrowane zdarzenie, np. pobieranie załącznika, kliknięcie linku, wysyłanie lub wyświetlanie.
Od (koperta) Adres nadawcy w danych koperty
Od (adres nagłówka) Adres nagłówka nadawcy widoczny w nagłówkach wiadomości, na przykład user@example.com.
Od (nazwa nagłówka) Wyświetlana nazwa nadawcy widoczna w nagłówku wiadomości
Geolokalizacja Kod kraju ISO na podstawie adresu IP usługi przekaźnika.
Zawiera załącznik E-mail zawiera załącznik.
Ma przedstawiciela Określa, czy w imieniu właściciela osoba z przekazanym dostępem wykonała czynność.
Adres IP Adres IP klienta poczty, który rozpoczął wiadomość lub wszedł z nią w interakcję.

Identyfikator ASN adresu IP

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Numer systemu autonomicznego adresu IP (ASN), pododdział i region powiązane z wpisem logu.

Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania.
Domena linku Domeny wyodrębnione z adresów URL linków w treści wiadomości.
Identyfikator wiadomości Unikalny identyfikator wiadomości, który znajduje się w jej nagłówku.
Identyfikator projektu OAuth Identyfikator projektu w konsoli Cloud dewelopera, który uwierzytelnił się za pomocą protokołu OAuth.
Właściciel Właściciel wiadomości e-mail. W przypadku wiadomości przychodzących jest to odbiorca. W przypadku wiadomości wychodzących jest to nadawca.
Materiały Szczegóły dotyczące plików, folderów lub reguł powiązanych z działaniem.

Aby wyszukać według tych szczegółów, w menu kliknij Zasoby, a potem wybierz kolumnę zagnieżdżoną: Identyfikator zasobu, Tytuł zasobu lub Typ zasobu.

Wyniki są widoczne w kolumnie Zasoby. Kliknij wpis, aby otworzyć panel Szczegóły dziennika i wyświetlić:
  • Identyfikator zasobu;
  • Tytuł zasobu;
  • Typ zasobu – kategoria zasobu (np. Dysk Google, e-mail lub reguła).
  • Powiązanie zasobu – powiązanie zasobu ze zdarzeniem;
  • Etykieta zasobu – etykiety klasyfikacji zastosowane do zasobu.
  • Pole etykiety zasobu – konkretne pola i typy danych w etykiecie.

Jeśli wyeksportujesz informacje do pliku CSV lub Arkuszy Google, zostaną one zapisane jako pojedynczy blok tekstu w komórce.
Etykieta zasobu Szczegóły etykiet klasyfikacji przypisanych do zasobu.

Aby wyszukać według tych informacji, w menu wybierz Etykieta zasobu, a następnie wybierz zagnieżdżoną kolumnę: Identyfikator etykiety zasobu lub Tytuł etykiety zasobu.

Wyniki są widoczne w kolumnie Zasoby. Kliknij wpis, aby otworzyć panel Szczegóły dziennika.
Pole etykiety zasobu Szczegółowe informacje o poszczególnych polach w etykiecie klasyfikacji.

Aby wyszukiwać według tych pól, w menu wybierz Pole etykiety zasobu, a potem wybierz zagnieżdżoną kolumnę: Identyfikator pola etykiety, Nazwa pola etykiety lub Typ pola etykiety.

Wyniki są widoczne w kolumnie Zasoby. Kliknij wpis, aby otworzyć panel Szczegóły dziennika.
Wartość pola etykiety zasobu Szczegóły danych wprowadzonych w określonym polu etykiety.

Aby wyszukać według tych wartości, w menu wybierz Wartość pola etykiety zasobu, a następnie wybierz zagnieżdżoną kolumnę: Data, Liczba, Wybór, Lista wyboru, Tekst, Użytkownik lub Lista użytkowników.

Wyniki są widoczne w kolumnie Zasoby. Kliknij wpis, aby otworzyć panel Szczegóły dziennika.
Domena nadawcy Domena nadawcy
Klasyfikacja spamu Klasyfikacja wiadomości e-mail jako spamu, na przykład Spam, Złośliwe oprogramowanie, Phishing, Podejrzane lub Bezpiecznie (nie spam).
Przyczyna klasyfikacji spamu Przyczyna sklasyfikowania wiadomości jako spamu, na przykład Oczywisty spam, Reguła niestandardowa, Reputacja nadawcy lub Podejrzany załącznik.
Domena SPF Nazwa domeny używana do uwierzytelniania Sender Policy Framework (SPF).
Subject Temat e-maila
Wartość hash załącznika docelowego Informacje o identyfikatorze załącznika SHA256, gdy użytkownik wchodzi w interakcję z załącznikiem do wiadomości.
Rodzina złośliwego oprogramowania docelowych załączników Informacje o rodzinie złośliwego oprogramowania załączników, gdy użytkownicy wchodzą w interakcje z załącznikiem wiadomości, na przykład Potencjalnie szkodliwa treść, Znane złośliwe oprogramowanie lub Wirus/robak.
Nazwa załącznika docelowego Informacje o nazwie załącznika, gdy użytkownicy wchodzą w interakcję z załącznikiem wiadomości.
Identyfikator dysku docelowego Informacje o identyfikatorze Dysku, jeśli użytkownicy wchodzą w interakcję z elementem wiadomości na Dysku.
Docelowy adres URL linku Informacje o adresie URL linku, gdy użytkownicy wchodzą w interakcję z linkiem w wiadomości.
Do (koperta) Adres odbiorcy w danych koperty
Źródło wizyt Wskazuje, czy e-maile są wysyłane/odbierane wewnętrznie (w domenie) bądź wewnętrznie.

Podejmowanie działań na podstawie wyników wyszukiwania

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji o działaniach dostępnych w narzędziu do analizy zagrożeń znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: ostatnio zapisane analizy zagrożeń możesz wyświetlić bezpośrednio nad listą analiz w sekcji Szybki dostęp.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby :

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj recenzenta. Więcej informacji znajdziesz w artykule Wymaganie zatwierdzania działań zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Odpowiednie informacje i instrukcje znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Zarządzanie kolumnami w wynikach wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń element .
  3. (Opcjonalnie) Aby dodać kolumny, obok opcji Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
    Powtórz w razie potrzeby.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij ich nazwę.
  5. Kliknij Zapisz.

Eksportowanie danych z wyników wyszukiwania

Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz wyeksportować do Arkuszy Google lub do pliku CSV. Instrukcje znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Udostępnianie, usuwanie i powielanie analiz zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.

Kiedy i jak długo dane są dostępne?

Więcej informacji o źródłach danych znajdziesz w artykule Czas przechowywania danych i opóźnienia.