אירועים ביומן של Gmail

אדמינים בארגונים יכולים להריץ חיפושים שקשורים לאירועים ביומן של Gmail ולבצע פעולות על סמך תוצאות החיפוש. אתם יכולים לראות פעולות כדי לבדוק את פעילות המשתמשים והאדמינים בארגון ב-Gmail – למשל, כשאימיילים מסווגים כספאם, משוחררים מהסגר או נשלחים להסגר של האדמין. אחר כך תוכלו להשתמש בכלי לחקירת אבטחה כדי לבצע פעולות – למשל, למחוק הודעות ספציפיות, לסמן הודעות כספאם או כפישינג, להעביר הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים.

מידע על הצגת תוכן של הודעות Gmail

אם יש לכם את ההרשאות המתאימות בכלי לחקירה ואת מהדורת Google Workspace הנדרשת, אתם יכולים גם להציג את התוכן של הודעה ב-Gmail כחלק מחקירה. פרטים נוספים זמינים במאמר בנושא שימוש בכלי החקירה כדי להציג תוכן רגיש.

יכולת החיפוש תלויה במהדורת Google, הרשאות האדמין שלכם ומקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, לא משנה איזו מהדורת Google Workspace יש להם.

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. ואז בוחרים מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח and then ביקורת וחקירה ואז אירועים ביומן של Gmail.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  3. לוחצים על הוספת מסנן ואז בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  4. בוחרים אופרטור ואז בוחרים ערך ואז לוחצים על החלת השינויים.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
  5. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך, ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם אופרטורים של AND/OR.

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין מהדורות

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. אחרי כן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Gmail.

  3. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  4. לוחצים על Add Condition.
    טיפ: אפשר לכלול בחיפוש תנאי אחד או יותר, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. פרטים נוספים זמינים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  5. לוחצים על מאפיין ואז בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של המאפיינים מופיעה בקטע תיאורי מאפיינים.
  6. בוחרים אופרטור.
  7. מזינים ערך או בוחרים ערך מהרשימה.
  8. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  9. לוחצים על חיפוש.
    תוצאות החיפוש מכלי החקירה מופיעות בטבלה בתחתית הדף.
  10. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואז מזינים שם ותיאור ואז לוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה Filter כדי לכלול זוגות פשוטים של פרמטר וערך, ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורי המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיין תיאור
פרטי האפליקציה של המשתמש פרטים על האפליקציה שמשמשת לביצוע הפעולה.

כדי לחפש לפי נתונים שספציפיים לאפליקציה, בוחרים באפשרות פרטי אפליקציה של משתמש בתפריט, ואז בוחרים עמודה מוטמעת: שם האפליקציה של המשתמש, מזהה לקוח OAuth של המשתמש או התחזות.

תוצאות החיפוש מוצגות בעמודה שם האפליקציה של השחקן.
הערה: יכול להיות שתצטרכו להוסיף את העמודה הזו לתוצאות החיפוש. השלבים מפורטים בקטע על ניהול עמודות הנתונים של תוצאות החיפוש.

לוחצים על רשומה בתוצאות החיפוש כדי לפתוח את החלונית פרטי היומן ולהציג:

  • שם האפליקציה של המשתמש – השם של האפליקציה ששימשה לביצוע הפעולה
  • מזהה לקוח OAuth של המשתמש – המזהה של אפליקציית הצד השלישי
  • התחזות – אם האפליקציה התחזתה למשתמש

אם מייצאים את המידע לקובץ CSV (ערכים מופרדים בפסיקים) או ל-Google Sheets, המידע נשמר כיחידת טקסט אחת בתוך תא.
תוסף קובץ מצורף מזהה של דפדפן Chrome
גיבוב (Hash) של הקובץ המצורף גיבוב SHA256 של הקובץ המצורף
משפחת תוכנות זדוניות בקבצים מצורפים הקטגוריה של התוכנה הזדונית, אם היא מתגלה בזמן הטיפול בהודעה – לדוגמה, התוכן עלול להיות מזיק, תוכנה זדונית מוכרת או וירוס/תולעת
שם הקובץ המצורף שם הקובץ המצורף
Client Type סוג לקוח Gmail – לדוגמה, אינטרנט, Android,‏ iOS או POP3.
תאריך התאריך והשעה של האירוע (מוצגים באזור הזמן שמוגדר בדפדפן כברירת מחדל)
הענקת גישה כתובת האימייל של המשתמש שביצע את הפעולה בשם הבעלים
מזהה הסשן במכשיר המזהה הייחודי שנוצר לסשן של משתמש בלקוח אימייל
דומיין DKIM הדומיין שאומת באמצעות מנגנון DKIM ‏ (Domain Keys Identified Mail)
דומיין הדומיין שבו התרחשה הפעולה
אירוע פעולת האירוע שנרשמה, למשל הורדת קובץ מצורף, לחיצה על קישור, שליחה או צפייה.
מאת (מעטפה) כתובת השולח
מאת (כתובת כותרת) כתובת הכותרת של השולח כפי שהיא מופיעה בכותרות ההודעה, למשל, user@example.com
מאת (שם הכותרת) השם המוצג של השולח בכותרת כפי שהוא מופיע בכותרת ההודעה
מיקום גיאוגרפי קוד המדינה ב-ISO, על סמך כתובת ה-IP של שרת הממסר
למשימה יש קובץ מצורף האימייל כולל קובץ מצורף
האם ניתנה גישה? האם היה משתמש עם ייפוי כוח שביצע את הפעולה בשם הבעלים
כתובת IP כתובת ה-IP של לקוח הדואר שהתחיל את ההודעה או שהייתה לו אינטראקציה איתה

כתובת IP של ASN

צריך להוסיף את העמודה הזאת לתוצאות החיפוש. השלבים מפורטים בקטע על ניהול עמודות הנתונים של תוצאות החיפוש.

מספר המערכת האוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שהפעילות התרחשה בו, לוחצים על השם בתוצאות החיפוש.
קישור דומיין הדומיינים שחולצו מכתובות ה-URL של הקישורים בגוף ההודעה
מזהה ההודעה מזהה ההודעה הייחודי שנמצא בכותרת ההודעה
מזהה פרויקט ב-OAuth מזהה הפרויקט במסוף Cloud של המפתח שביצע אימות באמצעות OAuth
בעלים הבעלים של הודעת האימייל. בהודעה נכנסת, זה הנמען. בהודעה יוצאת, זה השולח.
מקורות מידע פרטים על הקבצים, התיקיות או הכללים שמשויכים לפעולה.

כדי לחפש לפי הפרטים האלה, בוחרים באפשרות Resources בתפריט, ואז בוחרים בעמודה מקוננת: Resource ID,‏ Resource title או Resource type.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן ולראות:
  • מזהה המשאב – המזהה של המשאב
  • שם המשאב – השם של המשאב
  • סוג המשאב – קטגוריית המשאב (למשל Google Drive, אימייל או כלל)
  • יחס המשאב – הקשר שבין המשאב לאירוע
  • תווית המשאבתוויות הסיווג שהוחלו על המשאב
  • שדה התווית של המשאב – השדות הספציפיים וסוגי הנתונים בתוך תווית

אם מייצאים את המידע לקובץ CSV (ערכים מופרדים בפסיקים) או ל-Google Sheets, המידע נשמר כיחידת טקסט אחת בתוך תא.
תווית משאב פרטים על תוויות הסיווג שהוקצו למשאב.

כדי לחפש לפי המידע הזה, בוחרים באפשרות תווית משאב בתפריט, ואז בוחרים בעמודה מקוננת: מזהה תווית משאב או שם תווית משאב.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן.
שדה התווית של המשאב פרטים על השדות הספציפיים בתווית סיווג.

כדי לחפש לפי השדות האלה, בוחרים באפשרות שדה התווית של המשאב בתפריט, ואז בוחרים עמודה מקוננת: מזהה שדה התווית, שם שדה התווית או סוג שדה התווית.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן.
הערך של שדה התווית של המשאב פרטים על הנתונים שהוזנו בשדה תווית ספציפי.

כדי לחפש לפי הערכים האלה, בוחרים באפשרות ערך של שדה תווית משאב בתפריט, ואז בוחרים עמודה מקוננת: תאריך, מספר, בחירה, רשימת בחירה, טקסט, משתמש או רשימת משתמשים.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן.
דומיין השולח הדומיין של השולח
סיווג כספאם סיווג הספאם של הודעת האימייל – לדוגמה, ספאם, תוכנה זדונית, פישינג, חשוד או נקי (לא ספאם)
הסיבה לסיווג כספאם הסיבה לסיווג ההודעה כספאם – לדוגמה, ספאם בולט, כלל מותאם אישית, מוניטין השולח או קובץ מצורף חשוד
דומיין SPF שם הדומיין שמשמש לאימות של Sender Policy Framework ‏ (SPF)
נושא שורת הנושא של האימייל
גיבוב (hash) של יעד של קבצים מצורפים מידע על גיבוב SHA256 של קובץ מצורף אם משתמש מקיים אינטראקציה עם קובץ מצורף בהודעה
משפחת תוכנות זדוניות של קבצים מצורפים של יעד מידע על משפחת התוכנות הזדוניות בקובץ המצורף אם המשתמשים מקיימים אינטראקציה עם קובץ מצורף בהודעה – לדוגמה, התוכן עלול להיות מזיק, תוכנה זדונית מוכרת או וירוס/תולעת
שם של יעד של קובץ מצורף מידע על שם הקובץ המצורף אם המשתמשים יוצרים אינטראקציה עם קובץ מצורף בהודעה
מזהה יעד ב-Drive מידע על מזהה Drive אם משתמשים מבצעים אינטראקציה עם פריט מ-Drive בהודעה
כתובת היעד של הקישור מידע על כתובת ה-URL של הקישור אם משתמשים מקיימים אינטראקציה עם קישור בהודעה
אל (מעטפה) כתובת הנמען
מקור תנועה מצוין אם האימייל נשלח או התקבל באופן פנימי (בתוך הדומיין) או חיצוני

טיפול באירועים על סמך תוצאות החיפוש

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אתם יכולים להריץ חיפוש שמבוסס על אירועים ביומן של Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, להעביר אותן להסגר או לשלוח אותן לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים על פעולות בכלי לחקירת אבטחה זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

צפייה ברשימת החקירות

כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על סמל הצגת החקירות . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: מעל רשימת החקירות, בקטע גישה מהירה, אפשר לראות את החקירות שנשמרו לאחרונה.

קביעת ההגדרות של החקירות

בתור סופר-אדמין, לוחצים על סמל ההגדרות כדי :

  • שינוי אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • מפעילים או משביתים את האפשרות דרוש בודק. פרטים נוספים זמינים במאמר דרישת בודקים לפעולות בכמות גדולה.
  • מפעילים או משביתים את האפשרות הצגת תוכן. ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • מפעילים או משביתים את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

הוראות ופרטים נוספים זמינים במאמר הגדרת ההגדרות של החקירות.

ניהול העמודות בתוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד 'הוספת עמודה חדשה', לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את שם העמודה.
  5. לוחצים על שמירה.

ייצוא נתונים מתוצאות החיפוש

אתם יכולים לייצא את תוצאות החיפוש בכלי לחקירת אבטחה ל-Google Sheets או לקובץ CSV. הוראות מפורטות מופיעות במאמר ייצוא תוצאות חיפוש.

שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את קריטריוני החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים זמינים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.

מתי הנתונים הופכים לזמינים ולמשך כמה זמן הם נשמרים?

מידע נוסף על מקורות נתונים זמין במאמר שמירת נתונים וזמני השהיה.