به عنوان مدیر سازمان خود، میتوانید جستجوهای مربوط به رویدادهای ثبت وقایع Gmail را اجرا کنید و بر اساس نتایج جستجو اقداماتی انجام دهید. میتوانید اقداماتی را برای بررسی فعالیت کاربر و مدیر سازمان خود در Gmail مشاهده کنید - به عنوان مثال، وقتی ایمیلها به عنوان هرزنامه طبقهبندی میشوند، از قرنطینه خارج میشوند یا به قرنطینه مدیر ارسال میشوند. سپس میتوانید از ابزار بررسی امنیتی برای انجام اقدامات استفاده کنید - به عنوان مثال، پیامهای خاصی را حذف کنید، پیامها را به عنوان هرزنامه یا فیشینگ علامتگذاری کنید، پیامها را به قرنطینه ارسال کنید یا پیامها را به صندوق ورودی کاربران ارسال کنید.
درباره مشاهده محتوای پیام Gmail
اگر در ابزار تحقیق و نسخه مورد نیاز Google Workspace از امتیازات لازم برخوردار باشید، میتوانید محتوای یک پیام Gmail را نیز به عنوان بخشی از یک تحقیق مشاهده کنید. برای جزئیات بیشتر، به «استفاده از ابزار تحقیق برای مشاهده محتوای حساس» مراجعه کنید.
جستجوی رویدادهای ثبتشده را اجرا کنید
توانایی شما برای انجام جستجو به نسخه گوگل، امتیازات مدیریتی و منبع داده شما بستگی دارد. میتوانید جستجو را روی همه کاربران، صرف نظر از نسخه Google Workspace آنها، انجام دهید.
ابزار حسابرسی و تحقیق
برای جستجوی رویدادهای لاگ، ابتدا یک منبع داده انتخاب کنید. سپس یک یا چند فیلتر برای جستجوی خود انتخاب کنید.
در کنسول مدیریت گوگل، به منو بروید
گزارشدهی حسابرسی و تحقیق ثبت وقایع جیمیلمستلزم داشتن امتیاز مدیر حسابرسی و تحقیقات است.
برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ دادهاند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیشفرض، رویدادهای ۷ روز گذشته نمایش داده میشوند. میتوانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی
برای حذف فیلتر تاریخ.- روی افزودن فیلتر کلیک کنید یک ویژگی را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
- انتخاب اپراتور یک مقدار را انتخاب کنید روی اعمال کلیک کنید.
- (اختیاری) برای ایجاد چندین فیلتر برای جستجوی خود، این مرحله را تکرار کنید.
- (اختیاری) برای افزودن یک اپراتور جستجو، در بالای «افزودن فیلتر» ، AND یا OR را انتخاب کنید.
- روی جستجو کلیک کنید. با استفاده از برگه فیلتر ، میتوانید جفتهای پارامتر و مقدار ساده را برای فیلتر کردن نتایج جستجو وارد کنید. همچنین میتوانید از برگه سازنده شرط استفاده کنید، جایی که فیلترها به صورت شرطهایی با عملگرهای AND/OR نمایش داده میشوند.
ابزار بررسی امنیتی
برای انجام جستجو در ابزار بررسی امنیتی، ابتدا یک منبع داده انتخاب کنید. سپس، یک یا چند شرط برای جستجوی خود انتخاب کنید. برای هر شرط، یک ویژگی ، یک عملگر و یک مقدار انتخاب کنید.
در کنسول مدیریت گوگل، به منو بروید
امنیت مرکز امنیتی ابزار تحقیق .نیاز به داشتن امتیاز مدیر مرکز امنیت دارد.
- روی منبع داده کلیک کنید و رویدادهای ثبت وقایع Gmail را انتخاب کنید.
برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ دادهاند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیشفرض، رویدادهای ۷ روز گذشته نمایش داده میشوند. میتوانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی
برای حذف فیلتر تاریخ.- روی افزودن شرط کلیک کنید.
نکته : میتوانید یک یا چند شرط را در جستجوی خود بگنجانید یا جستجوی خود را با پرسوجوهای تو در تو سفارشی کنید. برای جزئیات بیشتر، به سفارشیسازی جستجوی خود با پرسوجوهای تو در تو بروید. - روی ویژگی کلیک کنید یک گزینه را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
برای مشاهده لیست کامل ویژگیها، به بخش توضیحات ویژگیها مراجعه کنید. - یک اپراتور انتخاب کنید.
- یک مقدار وارد کنید یا یک مقدار از لیست انتخاب کنید.
- (اختیاری) برای افزودن شرایط جستجوی بیشتر، مراحل را تکرار کنید.
- روی جستجو کلیک کنید.
میتوانید نتایج جستجو از ابزار بررسی را در جدولی در پایین صفحه مرور کنید. - (اختیاری) برای ذخیره تحقیقات خود، روی ذخیره کلیک کنید
عنوان و توضیحات را وارد کنید روی ذخیره کلیک کنید.
یادداشتها
- در تب Condition builder ، فیلترها به صورت شرطهایی با عملگرهای AND/OR نمایش داده میشوند. همچنین میتوانید از تب Filter برای اضافه کردن جفتهای پارامتر و مقدار ساده برای فیلتر کردن نتایج جستجو استفاده کنید.
- اگر به یک کاربر نام جدیدی بدهید، نتایج پرسوجو با نام قبلی کاربر را مشاهده نخواهید کرد. برای مثال، اگر OldName@example.com را به NewName@example.com تغییر نام دهید، نتایج رویدادهای مربوط به OldName@example.com را مشاهده نخواهید کرد.
- فقط میتوانید دادههای موجود در پیامهایی را جستجو کنید که هنوز از سطل زباله حذف نشدهاند.
توضیحات ویژگی
برای این منبع داده، میتوانید هنگام جستجوی دادههای رویداد لاگ از ویژگیهای زیر استفاده کنید.
| ویژگی | توضیحات |
|---|---|
| اطلاعات درخواست بازیگری | جزئیات مربوط به برنامهای که برای انجام عمل استفاده شده است. برای جستجو بر اساس دادههای خاص برنامه، اطلاعات برنامهی بازیگر را از منو انتخاب کنید، سپس یک ستون تو در تو را انتخاب کنید: نام برنامهی بازیگر ، شناسهی کلاینت OAuth بازیگر ، یا جعل هویت . نتایج جستجو در ستون نام برنامه بازیگر نشان داده میشود. توجه: ممکن است لازم باشد این ستون را به نتایج جستجوی خود اضافه کنید. برای مراحل، به مدیریت دادههای ستون نتایج جستجو بروید. برای باز کردن پنل جزئیات گزارش و نمایش موارد زیر، روی یک ورودی در نتایج جستجو کلیک کنید:
|
| افزونه پیوست | شناسه مرورگر کروم |
| هش پیوست | هش SHA256 فایل پیوست |
| خانواده بدافزار پیوست | دسته بدافزار، در صورت شناسایی هنگام پردازش پیام - برای مثال، محتوا ممکن است مضر باشد، برنامه مخرب شناخته شده یا ویروس/کرم |
| نام پیوست | نام فایل پیوست |
| نوع مشتری | نوع کلاینت جیمیل—مثلاً وب، اندروید، iOS یا POP3. |
| تاریخ | تاریخ و زمان رویداد (در منطقه زمانی پیشفرض مرورگر شما نمایش داده میشود) |
| نماینده | آدرس ایمیل کاربر نماینده که از طرف مالک اقدام را انجام داده است |
| شناسه جلسه دستگاه | شناسه منحصر به فرد ایجاد شده برای جلسه کاربر سرویس گیرنده ایمیل |
| دامنه DKIM | دامنه با مکانیزم DKIM (ایمیل شناساییشده با کلیدهای دامنه) احراز هویت شده است. |
| دامنه | دامنهای که عمل در آن رخ داده است |
| رویداد | عمل رویداد ثبتشده، مانند دانلود پیوست، کلیک روی لینک ، ارسال یا مشاهده. |
| از (پاکت) | آدرس پاکت فرستنده |
| از (آدرس هدر) | آدرس هدر فرستنده همانطور که در هدرهای پیام ظاهر میشود، برای مثال، user@example.com |
| از (نام سربرگ) | نام فرستنده در سربرگ پیام، همانطور که در سربرگ پیام نمایش داده میشود، نمایش داده میشود |
| موقعیت جغرافیایی | کد کشور ISO بر اساس IP رله |
| پیوست دارد | ایمیل شامل پیوست است |
| نماینده دارد | اینکه آیا یک کاربر نماینده وجود داشته که عمل را از طرف مالک انجام داده باشد یا خیر |
| آدرس آیپی | آدرس IP سرویس گیرنده ایمیلی که پیام را شروع کرده یا با آن تعامل داشته است |
آیپی ASN شما باید این ستون را به نتایج جستجو اضافه کنید. برای مراحل، به مدیریت دادههای ستون نتایج جستجو بروید . | شماره سامانه خودمختار IP (ASN)، زیربخش و منطقه مرتبط با ورودی گزارش. برای بررسی IP ASN و کد منطقه و زیرمجموعهای که فعالیت در آن رخ داده است، روی نام در نتایج جستجو کلیک کنید. |
| دامنه لینک | دامنه(های) استخراجشده از URLهای لینک در متن پیام |
| شناسه پیام | شناسه منحصر به فرد پیام که در سربرگ پیام قرار دارد |
| شناسه پروژه OAuth | شناسه پروژه کنسول ابری توسعهدهندهای که با OAuth احراز هویت کرده است |
| مالک | مالک پیام ایمیل. برای پیامهای ورودی، گیرنده و برای پیامهای خروجی، فرستنده. |
| منابع | جزئیات مربوط به فایلها، پوشهها یا قوانین مرتبط با اقدام. برای جستجو بر اساس این جزئیات، از منو، گزینه منابع (Resources) را انتخاب کنید، سپس یک ستون تو در تو را انتخاب کنید: شناسه منبع (Resource ID )، عنوان منبع (Resource title ) یا نوع منبع (Resource type ). نتایج در ستون منابع نشان داده میشوند. برای باز کردن پنل جزئیات گزارش ، روی یک ورودی کلیک کنید تا موارد زیر نمایش داده شوند:
|
| برچسب منبع | جزئیات مربوط به برچسبهای طبقهبندی اختصاص داده شده به یک منبع. برای جستجو بر اساس این اطلاعات، از منو، گزینه Resource label را انتخاب کنید، سپس یک ستون تو در تو را انتخاب کنید: Resource label ID یا Resource label title . نتایج در ستون منابع نشان داده میشوند. برای باز کردن پنل جزئیات گزارش ، روی یک ورودی کلیک کنید. |
| فیلد برچسب منبع | جزئیات مربوط به فیلدهای خاص در یک برچسب طبقهبندی. برای جستجو بر اساس این فیلدها، فیلد برچسب منبع را از منو انتخاب کنید، سپس یک ستون تو در تو را انتخاب کنید: شناسه فیلد برچسب ، نام فیلد برچسب ، یا نوع فیلد برچسب . نتایج در ستون منابع نشان داده میشوند. برای باز کردن پنل جزئیات گزارش ، روی یک ورودی کلیک کنید. |
| مقدار فیلد برچسب منبع | جزئیات مربوط به دادههای وارد شده در یک فیلد برچسب خاص. برای جستجو بر اساس این مقادیر، از منو گزینه Resource label field value را انتخاب کنید، سپس یک ستون تو در تو را انتخاب کنید: تاریخ ، شماره ، انتخاب ، لیست انتخاب ، متن ، کاربر یا لیست کاربر . نتایج در ستون منابع نشان داده میشوند. برای باز کردن پنل جزئیات گزارش ، روی یک ورودی کلیک کنید. |
| دامنه فرستنده | دامنه فرستنده |
| طبقهبندی هرزنامه | طبقهبندی هرزنامه پیام ایمیل - برای مثال، هرزنامه، بدافزار، فیشینگ، مشکوک یا پاک (غیر هرزنامه) |
| دلیل طبقهبندی هرزنامه | دلیل طبقهبندی پیام به عنوان هرزنامه - برای مثال، هرزنامه آشکار، قانون سفارشی، اعتبار فرستنده یا پیوست مشکوک |
| دامنه SPF | نام دامنه مورد استفاده برای احراز هویت چارچوب سیاست فرستنده (SPF) |
| موضوع | خط موضوع ایمیل |
| هش پیوست هدف | اطلاعات مربوط به هش پیوست SHA256 در صورت تعامل کاربر با پیوست پیام |
| خانواده بدافزار پیوست هدف | اطلاعات مربوط به خانواده بدافزار پیوست در صورت تعامل کاربران با پیوست پیام - برای مثال، محتوا ممکن است مضر باشد، برنامه مخرب شناخته شده یا ویروس/کرم |
| نام پیوست هدف | اطلاعات مربوط به نام پیوست در صورتی که کاربران با پیوست پیام تعامل داشته باشند |
| شناسه درایو هدف | اطلاعات مربوط به شناسه درایو در صورتی که کاربران با آیتم درایو یک پیام تعامل داشته باشند |
| آدرس لینک هدف | اطلاعات مربوط به URL لینک، در صورتی که کاربران با لینک یک پیام تعامل داشته باشند |
| به (پاکت) | آدرس پاکت گیرنده |
| منبع ترافیک | نشان میدهد که آیا ایمیل به صورت داخلی (درون دامنه شما) ارسال/دریافت میشود یا خارجی |
بر اساس نتایج جستجو اقدام کنید
پس از انجام جستجو در ابزار بررسی امنیتی، میتوانید بر اساس نتایج جستجو، اقداماتی انجام دهید. برای مثال، میتوانید بر اساس رویدادهای گزارش جیمیل، جستجو انجام دهید و سپس از این ابزار برای حذف پیامهای خاص، ارسال پیام به قرنطینه یا ارسال پیام به صندوق ورودی کاربران استفاده کنید. برای جزئیات بیشتر در مورد اقدامات در ابزار بررسی امنیتی، به «اقدام بر اساس نتایج جستجو» مراجعه کنید.
تحقیقات خود را مدیریت کنید
فهرست تحقیقات خود را مشاهده کنید
برای مشاهده فهرستی از تحقیقاتی که متعلق به شماست و با شما به اشتراک گذاشته شده است، روی «مشاهده تحقیقات» کلیک کنید.
فهرست تحقیقات شامل نامها، توضیحات و صاحبان تحقیقات و تاریخ آخرین اصلاح است.
از این لیست، میتوانید در مورد هر تحقیقی که متعلق به شماست، اقدام کنید - برای مثال، یک تحقیق را حذف کنید. کادر مربوط به تحقیق را علامت بزنید و سپس روی اقدامات کلیک کنید.
توجه: مستقیماً بالای لیست تحقیقات شما، در قسمت دسترسی سریع ، میتوانید تحقیقات ذخیره شده اخیر را مشاهده کنید.
تنظیمات مربوط به تحقیقات خود را پیکربندی کنید
به عنوان مدیر ارشد ، روی تنظیمات کلیک کنید
به:
- منطقه زمانی تحقیقات خود را تغییر دهید. منطقه زمانی برای شرایط و نتایج جستجو اعمال میشود.
- روشن یا خاموش کردن «نیاز به بررسیکننده» . برای جزئیات بیشتر، به «نیاز به بررسیکننده برای اقدامات انبوه» بروید.
- فعال یا غیرفعال کردن مشاهده محتوا . این تنظیم به مدیرانی که دارای امتیازات مربوطه هستند اجازه میدهد محتوا را مشاهده کنند.
- فعال یا غیرفعال کردن توجیه عمل .
برای دستورالعملها و جزئیات، به پیکربندی تنظیمات برای تحقیقات خود بروید.
مدیریت ستونها در نتایج جستجو
شما میتوانید کنترل کنید که کدام ستونهای داده در نتایج جستجوی شما نمایش داده شوند.
- در بالا سمت راست جدول نتایج جستجو، روی مدیریت ستونها کلیک کنید
. - (اختیاری) برای حذف ستونهای فعلی، روی «حذف مورد» کلیک کنید .
- (اختیاری) برای افزودن ستونها، در کنار «افزودن ستون جدید»، روی پیکان رو به پایین کلیک کنید
و ستون داده را انتخاب کنید.
در صورت نیاز تکرار کنید. - (اختیاری) برای تغییر ترتیب ستونها، نام ستون را بکشید.
- روی ذخیره کلیک کنید.
استخراج دادهها از نتایج جستجو
میتوانید نتایج جستجو را در ابزار بررسی امنیتی به Google Sheets یا به یک فایل CSV صادر کنید. برای دستورالعملها، به بخش «صادر کردن نتایج جستجو» مراجعه کنید.
اشتراکگذاری، حذف و کپی کردن تحقیقات
برای ذخیره معیارهای جستجوی خود یا به اشتراک گذاری آن با دیگران، میتوانید یک تحقیق ایجاد و ذخیره کنید و سپس آن را به اشتراک بگذارید، کپی کنید یا حذف کنید.
برای جزئیات بیشتر، به ذخیره، اشتراکگذاری، حذف و کپی کردن تحقیقات بروید.
دادهها چه زمانی و تا چه مدت در دسترس هستند؟
برای اطلاعات بیشتر در مورد منابع داده، به بخش «نگهداری دادهها و زمانهای تأخیر» مراجعه کنید.