ثبت وقایع جیمیل

به عنوان مدیر سازمان خود، می‌توانید جستجوهای مربوط به رویدادهای ثبت وقایع Gmail را اجرا کنید و بر اساس نتایج جستجو اقداماتی انجام دهید. می‌توانید اقداماتی را برای بررسی فعالیت کاربر و مدیر سازمان خود در Gmail مشاهده کنید - به عنوان مثال، وقتی ایمیل‌ها به عنوان هرزنامه طبقه‌بندی می‌شوند، از قرنطینه خارج می‌شوند یا به قرنطینه مدیر ارسال می‌شوند. سپس می‌توانید از ابزار بررسی امنیتی برای انجام اقدامات استفاده کنید - به عنوان مثال، پیام‌های خاصی را حذف کنید، پیام‌ها را به عنوان هرزنامه یا فیشینگ علامت‌گذاری کنید، پیام‌ها را به قرنطینه ارسال کنید یا پیام‌ها را به صندوق ورودی کاربران ارسال کنید.

درباره مشاهده محتوای پیام Gmail

اگر در ابزار تحقیق و نسخه مورد نیاز Google Workspace از امتیازات لازم برخوردار باشید، می‌توانید محتوای یک پیام Gmail را نیز به عنوان بخشی از یک تحقیق مشاهده کنید. برای جزئیات بیشتر، به «استفاده از ابزار تحقیق برای مشاهده محتوای حساس» مراجعه کنید.

توانایی شما برای انجام جستجو به نسخه گوگل، امتیازات مدیریتی و منبع داده شما بستگی دارد. می‌توانید جستجو را روی همه کاربران، صرف نظر از نسخه Google Workspace آنها، انجام دهید.

ابزار حسابرسی و تحقیق

برای جستجوی رویدادهای لاگ، ابتدا یک منبع داده انتخاب کنید. سپس یک یا چند فیلتر برای جستجوی خود انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس گزارش‌دهی و سپس حسابرسی و تحقیق و سپس ثبت وقایع جیمیل

    مستلزم داشتن امتیاز مدیر حسابرسی و تحقیقات است.

  2. برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ داده‌اند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیش‌فرض، رویدادهای ۷ روز گذشته نمایش داده می‌شوند. می‌توانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی برای حذف فیلتر تاریخ.

  3. روی افزودن فیلتر کلیک کنید و سپس یک ویژگی را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
  4. انتخاب اپراتور و سپس یک مقدار را انتخاب کنید و سپس روی اعمال کلیک کنید.
    • (اختیاری) برای ایجاد چندین فیلتر برای جستجوی خود، این مرحله را تکرار کنید.
    • (اختیاری) برای افزودن یک اپراتور جستجو، در بالای «افزودن فیلتر» ، AND یا OR را انتخاب کنید.
  5. روی جستجو کلیک کنید. با استفاده از برگه فیلتر ، می‌توانید جفت‌های پارامتر و مقدار ساده را برای فیلتر کردن نتایج جستجو وارد کنید. همچنین می‌توانید از برگه سازنده شرط استفاده کنید، جایی که فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند.

ابزار بررسی امنیتی

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

برای انجام جستجو در ابزار بررسی امنیتی، ابتدا یک منبع داده انتخاب کنید. سپس، یک یا چند شرط برای جستجوی خود انتخاب کنید. برای هر شرط، یک ویژگی ، یک عملگر و یک مقدار انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس مرکز امنیتی و سپس ابزار تحقیق .

    نیاز به داشتن امتیاز مدیر مرکز امنیت دارد.

  2. روی منبع داده کلیک کنید و رویدادهای ثبت وقایع Gmail را انتخاب کنید.

  3. برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ داده‌اند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیش‌فرض، رویدادهای ۷ روز گذشته نمایش داده می‌شوند. می‌توانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی برای حذف فیلتر تاریخ.

  4. روی افزودن شرط کلیک کنید.
    نکته : می‌توانید یک یا چند شرط را در جستجوی خود بگنجانید یا جستجوی خود را با پرس‌وجوهای تو در تو سفارشی کنید. برای جزئیات بیشتر، به سفارشی‌سازی جستجوی خود با پرس‌وجوهای تو در تو بروید.
  5. روی ویژگی کلیک کنید و سپس یک گزینه را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
    برای مشاهده لیست کامل ویژگی‌ها، به بخش توضیحات ویژگی‌ها مراجعه کنید.
  6. یک اپراتور انتخاب کنید.
  7. یک مقدار وارد کنید یا یک مقدار از لیست انتخاب کنید.
  8. (اختیاری) برای افزودن شرایط جستجوی بیشتر، مراحل را تکرار کنید.
  9. روی جستجو کلیک کنید.
    می‌توانید نتایج جستجو از ابزار بررسی را در جدولی در پایین صفحه مرور کنید.
  10. (اختیاری) برای ذخیره تحقیقات خود، روی ذخیره کلیک کنید و سپس عنوان و توضیحات را وارد کنید و سپس روی ذخیره کلیک کنید.

یادداشت‌ها

  • در تب Condition builder ، فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند. همچنین می‌توانید از تب Filter برای اضافه کردن جفت‌های پارامتر و مقدار ساده برای فیلتر کردن نتایج جستجو استفاده کنید.
  • اگر به یک کاربر نام جدیدی بدهید، نتایج پرس‌وجو با نام قبلی کاربر را مشاهده نخواهید کرد. برای مثال، اگر OldName@example.com را به NewName@example.com تغییر نام دهید، نتایج رویدادهای مربوط به OldName@example.com را مشاهده نخواهید کرد.
  • فقط می‌توانید داده‌های موجود در پیام‌هایی را جستجو کنید که هنوز از سطل زباله حذف نشده‌اند.

توضیحات ویژگی

برای این منبع داده، می‌توانید هنگام جستجوی داده‌های رویداد لاگ از ویژگی‌های زیر استفاده کنید.

ویژگی توضیحات

نام درخواست بازیگر

شما باید این ستون را به نتایج جستجو اضافه کنید. برای مراحل، به مدیریت داده‌های ستون نتایج جستجو بروید .

جزئیات مربوط به برنامه‌ای که برای انجام عمل مورد استفاده قرار گرفته است. برای بررسی اطلاعات زیر، روی نام در نتایج جستجو کلیک کنید:

  • نام برنامه‌ی عامل — نام برنامه‌ای که برای انجام عمل استفاده می‌شود (برای برنامه‌های شخص ثالث و برخی از برنامه‌های شخص ثالث، مانند Gmail، وارد می‌شود)
  • شناسه کلاینت OAuth مربوط به بازیگر - شناسه برنامه شخص ثالثی که برای انجام عمل استفاده می‌شود
  • جعل هویت - اینکه آیا برنامه خود را به جای کاربر جا زده است یا خیر

اگر اطلاعات را به یک فایل مقادیر جدا شده با کاما (CSV) یا Google Sheets صادر کنید، اطلاعات به عنوان یک بلوک متنی واحد در یک سلول ذخیره می‌شوند.

افزونه پیوست شناسه مرورگر کروم
هش پیوست هش SHA256 فایل پیوست
خانواده بدافزار پیوست دسته بدافزار، در صورت شناسایی هنگام پردازش پیام - برای مثال، محتوا ممکن است مضر باشد، برنامه مخرب شناخته شده یا ویروس/کرم
نام پیوست نام فایل پیوست
نوع مشتری نوع کلاینت جیمیل—مثلاً وب، اندروید، iOS یا POP3.
تاریخ تاریخ و زمان رویداد (در منطقه زمانی پیش‌فرض مرورگر شما نمایش داده می‌شود)
نماینده آدرس ایمیل کاربر نماینده که از طرف مالک اقدام را انجام داده است
شناسه جلسه دستگاه شناسه منحصر به فرد ایجاد شده برای جلسه کاربر سرویس گیرنده ایمیل
دامنه DKIM دامنه با مکانیزم DKIM (ایمیل شناسایی‌شده با کلیدهای دامنه) احراز هویت شده است.
دامنه دامنه‌ای که عمل در آن رخ داده است
رویداد عمل رویداد ثبت‌شده، مانند دانلود پیوست، کلیک روی لینک ، ارسال یا مشاهده.
از (پاکت) آدرس پاکت فرستنده
از (آدرس هدر) آدرس هدر فرستنده همانطور که در هدرهای پیام ظاهر می‌شود، برای مثال، user@example.com
از (نام سربرگ) نام فرستنده در سربرگ پیام، همانطور که در سربرگ پیام نمایش داده می‌شود، نمایش داده می‌شود
موقعیت جغرافیایی کد کشور ISO بر اساس IP رله
پیوست دارد ایمیل شامل پیوست است
نماینده دارد اینکه آیا یک کاربر نماینده وجود داشته که عمل را از طرف مالک انجام داده باشد یا خیر
آدرس آی‌پی آدرس IP سرویس گیرنده ایمیلی که پیام را شروع کرده یا با آن تعامل داشته است

آی‌پی ASN

شما باید این ستون را به نتایج جستجو اضافه کنید. برای مراحل، به مدیریت داده‌های ستون نتایج جستجو بروید .

شماره سامانه خودمختار IP (ASN)، زیربخش و منطقه مرتبط با ورودی گزارش.

برای بررسی IP ASN و کد منطقه و زیرمجموعه‌ای که فعالیت در آن رخ داده است، روی نام در نتایج جستجو کلیک کنید.

دامنه لینک دامنه(های) استخراج‌شده از URLهای لینک در متن پیام
شناسه پیام شناسه منحصر به فرد پیام که در سربرگ پیام قرار دارد
شناسه پروژه OAuth شناسه پروژه کنسول ابری توسعه‌دهنده‌ای که با OAuth احراز هویت کرده است
مالک مالک پیام ایمیل. برای پیام‌های ورودی، گیرنده و برای پیام‌های خروجی، فرستنده.
منابع

فهرست منابع مرتبط با اقدام. برای مشاهده جزئیات زیر، روی یک منبع کلیک کنید:

  • شناسه منبع - شناسه منبع
  • عنوان منبع — عنوان منبع
  • نوع منبع — آیتم گوگل درایو، ایمیل، هشدار، قانون و غیره
  • رابطه منبع - رابطه منبع با رویداد

  • برچسب منبع — فهرستی از برچسب‌های طبقه‌بندی برای یک منبع، شامل شناسه برچسب منبع ، عنوان برچسب منبع و فیلد برچسب منبع .

    فیلد برچسب منبع شامل موارد زیر است:

    • شناسه فیلد برچسب
    • نام فیلد برچسب
    • نوع فیلد برچسب - نوع داده فیلد برچسب، مانند:
      • متن
      • شماره
      • انتخاب — شامل: شناسه، نام نمایشی، دارای نشان
      • فهرست انتخاب
      • کاربر - شامل: ایمیل
      • فهرست کاربران
      • تاریخ

اگر اطلاعات را به یک فایل مقادیر جدا شده با کاما (CSV) یا Google Sheets صادر کنید، اطلاعات به عنوان یک بلوک متنی واحد در یک سلول ذخیره می‌شوند.

دامنه فرستنده دامنه فرستنده
طبقه‌بندی هرزنامه طبقه‌بندی هرزنامه پیام ایمیل - برای مثال، هرزنامه، بدافزار، فیشینگ، مشکوک یا پاک (غیر هرزنامه)
دلیل طبقه‌بندی هرزنامه دلیل طبقه‌بندی پیام به عنوان هرزنامه - برای مثال، هرزنامه آشکار، قانون سفارشی، اعتبار فرستنده یا پیوست مشکوک
دامنه SPF نام دامنه مورد استفاده برای احراز هویت چارچوب سیاست فرستنده (SPF)
موضوع خط موضوع ایمیل
هش پیوست هدف اطلاعات مربوط به هش پیوست SHA256 در صورت تعامل کاربر با پیوست پیام
خانواده بدافزار پیوست هدف اطلاعات مربوط به خانواده بدافزار پیوست در صورت تعامل کاربران با پیوست پیام - برای مثال، محتوا ممکن است مضر باشد، برنامه مخرب شناخته شده یا ویروس/کرم
نام پیوست هدف اطلاعات مربوط به نام پیوست در صورتی که کاربران با پیوست پیام تعامل داشته باشند
شناسه درایو هدف اطلاعات مربوط به شناسه درایو در صورتی که کاربران با آیتم درایو یک پیام تعامل داشته باشند
آدرس لینک هدف اطلاعات مربوط به URL لینک، در صورتی که کاربران با لینک یک پیام تعامل داشته باشند
به (پاکت) آدرس پاکت گیرنده
منبع ترافیک نشان می‌دهد که آیا ایمیل به صورت داخلی (درون دامنه شما) ارسال/دریافت می‌شود یا خارجی

بر اساس نتایج جستجو اقدام کنید

پس از انجام جستجو در ابزار بررسی امنیتی، می‌توانید بر اساس نتایج جستجو، اقداماتی انجام دهید. برای مثال، می‌توانید بر اساس رویدادهای گزارش جیمیل، جستجو انجام دهید و سپس از این ابزار برای حذف پیام‌های خاص، ارسال پیام به قرنطینه یا ارسال پیام به صندوق ورودی کاربران استفاده کنید. برای جزئیات بیشتر در مورد اقدامات در ابزار بررسی امنیتی، به «اقدام بر اساس نتایج جستجو» مراجعه کنید.

تحقیقات خود را مدیریت کنید

فهرست تحقیقات خود را مشاهده کنید

برای مشاهده فهرستی از تحقیقاتی که متعلق به شماست و با شما به اشتراک گذاشته شده است، روی «مشاهده تحقیقات» کلیک کنید. فهرست تحقیقات شامل نام‌ها، توضیحات و صاحبان تحقیقات و تاریخ آخرین اصلاح است.

از این لیست، می‌توانید در مورد هر تحقیقی که متعلق به شماست، اقدام کنید - برای مثال، یک تحقیق را حذف کنید. کادر مربوط به تحقیق را علامت بزنید و سپس روی اقدامات کلیک کنید.

توجه: مستقیماً بالای لیست تحقیقات شما، در قسمت دسترسی سریع ، می‌توانید تحقیقات ذخیره شده اخیر را مشاهده کنید.

تنظیمات مربوط به تحقیقات خود را پیکربندی کنید

به عنوان مدیر ارشد ، روی تنظیمات کلیک کنید به:

  • منطقه زمانی تحقیقات خود را تغییر دهید. منطقه زمانی برای شرایط و نتایج جستجو اعمال می‌شود.
  • روشن یا خاموش کردن «نیاز به بررسی‌کننده» . برای جزئیات بیشتر، به «نیاز به بررسی‌کننده برای اقدامات انبوه» بروید.
  • فعال یا غیرفعال کردن مشاهده محتوا . این تنظیم به مدیرانی که دارای امتیازات مربوطه هستند اجازه می‌دهد محتوا را مشاهده کنند.
  • فعال یا غیرفعال کردن توجیه عمل .

برای دستورالعمل‌ها و جزئیات، به پیکربندی تنظیمات برای تحقیقات خود بروید.

مدیریت ستون‌ها در نتایج جستجو

شما می‌توانید کنترل کنید که کدام ستون‌های داده در نتایج جستجوی شما نمایش داده شوند.

  1. در بالا سمت راست جدول نتایج جستجو، روی مدیریت ستون‌ها کلیک کنید .
  2. (اختیاری) برای حذف ستون‌های فعلی، روی «حذف مورد» کلیک کنید .
  3. (اختیاری) برای افزودن ستون‌ها، در کنار «افزودن ستون جدید»، روی پیکان رو به پایین کلیک کنید و ستون داده را انتخاب کنید.
    در صورت نیاز تکرار کنید.
  4. (اختیاری) برای تغییر ترتیب ستون‌ها، نام ستون را بکشید.
  5. روی ذخیره کلیک کنید.

استخراج داده‌ها از نتایج جستجو

می‌توانید نتایج جستجو را در ابزار بررسی امنیتی به Google Sheets یا به یک فایل CSV صادر کنید. برای دستورالعمل‌ها، به بخش «صادر کردن نتایج جستجو» مراجعه کنید.

اشتراک‌گذاری، حذف و کپی کردن تحقیقات

برای ذخیره معیارهای جستجوی خود یا به اشتراک گذاری آن با دیگران، می‌توانید یک تحقیق ایجاد و ذخیره کنید و سپس آن را به اشتراک بگذارید، کپی کنید یا حذف کنید.

برای جزئیات بیشتر، به ذخیره، اشتراک‌گذاری، حذف و کپی کردن تحقیقات بروید.

داده‌ها چه زمانی و تا چه مدت در دسترس هستند؟

برای اطلاعات بیشتر در مورد منابع داده، به بخش «نگهداری داده‌ها و زمان‌های تأخیر» مراجعه کنید.