Gmail-logboekgebeurtenissen

Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren met betrekking tot gebeurtenissen in het Gmail-logboek en actie ondernemen op basis van de zoekresultaten. U kunt acties bekijken om de gebruikers- en beheerdersactiviteit van uw organisatie in Gmail te controleren, bijvoorbeeld wanneer e-mails als spam worden geclassificeerd, uit quarantaine worden gehaald of naar beheerdersquarantaine worden verzonden. Vervolgens kunt u de tool voor beveiligingsonderzoek gebruiken om actie te ondernemen, bijvoorbeeld om specifieke berichten te verwijderen, berichten als spam of phishing te markeren, berichten naar quarantaine te verzenden of berichten naar de inbox van gebruikers te sturen.

Over het bekijken van de inhoud van Gmail-berichten

Als u de juiste machtigingen in de onderzoekstool en de vereiste Google Workspace-editie hebt, kunt u ook de inhoud van een Gmail-bericht bekijken als onderdeel van een onderzoek. Ga naar De onderzoekstool gebruiken om gevoelige inhoud te bekijken voor meer informatie.

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Gmail-logboekgebeurtenissen .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  3. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  4. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  5. Klik op Zoeken . Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Gmail-logboekgebeurtenissen .

  3. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  4. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  5. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  6. Selecteer een operator.
  7. Voer een waarde in of selecteer een waarde uit de lijst.
  8. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  9. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  10. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.
## Attribuutbeschrijvingen {: #Attribuutbeschrijvingen } Voor deze gegevensbron kunt u de volgende attributen gebruiken bij het zoeken in logboekgebeurtenisgegevens.
Attribuut Beschrijving
Informatie over de aanmelding voor acteurs Details over de app die gebruikt is om de actie uit te voeren.

Om te zoeken op app-specifieke gegevens, selecteer je 'Actor-applicatie-info' in het menu en vervolgens een geneste kolom: 'Actor-applicatienaam' , 'Actor OAuth-client-ID ' of 'Impersonatie '.

De zoekresultaten worden weergegeven in de kolom 'Actor-applicatienaam' .
Opmerking: mogelijk moet u deze kolom toevoegen aan uw zoekresultaten. Zie ' Kolomgegevens van zoekresultaten beheren' voor de stappen.

Klik op een item in de zoekresultaten om het paneel met logboekdetails te openen en het volgende weer te geven:

  • Naam van de uitvoerende applicatie — Naam van de app die de actie heeft uitgevoerd
  • Actor OAuth-client-ID — Identificatiecode voor de app van derden
  • Identiteitsvervalsing — Of de app zich voordeed als een andere gebruiker.

Als u deze informatie exporteert naar een CSV-bestand (comma-separated values) of Google Sheets, wordt de informatie opgeslagen als één tekstblok in een cel.

Bijlage-uitbreiding ID van de Chrome-browser
Bijlage hash SHA256-hash van de bijlage
Bijlagen-malwarefamilie Malwarecategorie, indien gedetecteerd tijdens de verwerking van het bericht — bijvoorbeeld: Inhoud kan schadelijk zijn, Bekend kwaadaardig programma of Virus/worm
Bijlagenaam Naam van de bijlage
Klanttype Het type Gmail-client, bijvoorbeeld web, Android, iOS of POP3.
Datum Datum en tijd van het evenement (weergegeven in de standaard tijdzone van uw browser)
Delegeren E-mailadres van de gemachtigde gebruiker die de actie namens de eigenaar heeft uitgevoerd
Apparaatsessie-identificatie De unieke ID die wordt gegenereerd voor een gebruikerssessie van een e-mailclient.
DKIM-domein Het domein is geverifieerd met behulp van het DKIM-mechanisme (Domain Keys Identified Mail).
Domein Het domein waar de actie plaatsvond
Evenement De geregistreerde gebeurtenisactie, zoals het downloaden van een bijlage, het klikken op een link , verzenden of bekijken.
Van (envelop) Adres op de envelop van de afzender
Van (Headeradres) Het afzenderadres zoals dat in de berichtheaders verschijnt, bijvoorbeeld user@example.com
Van (kopnaam) De weergavenaam van de afzender zoals deze in de berichtheader verschijnt.
Geografische locatie ISO-landcode gebaseerd op het IP-adres van de relay
Heeft bijlage De e-mail bevat een bijlage.
Heeft afgevaardigde Of er al dan niet een gemachtigde gebruiker was die de actie namens de eigenaar heeft uitgevoerd.
IP-adres IP-adres van de e-mailclient die het bericht heeft gestart of ermee heeft gecommuniceerd.

IP ASN

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Het IP-autonoom systeemnummer (ASN), de onderverdeling en de regio die aan de logboekvermelding zijn gekoppeld.

Om het IP-adres, het ASN en de regiocode (subdivisie en regio) te bekijken waar de activiteit plaatsvond, klikt u op de naam in de zoekresultaten.

Linkdomein Domein(en) geëxtraheerd uit link-URL's in de berichttekst
Bericht-ID De unieke bericht-ID bevindt zich in de berichtheader.
OAuth-project-ID Cloudconsole-project-ID van de ontwikkelaar die zich via OAuth heeft geauthenticeerd.
Eigenaar De eigenaar van het e-mailbericht. Bij een inkomend bericht is dat de ontvanger. Bij een uitgaand bericht is dat de afzender.
Bronnen Details over de bestanden, mappen of regels die aan de actie zijn gekoppeld.

Om op deze gegevens te zoeken, selecteert u 'Bronnen' in het menu en vervolgens een geneste kolom: Bron-ID , Brontitel , Brontype of Eigenaarsgegevens .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het paneel met logdetails te openen en de volgende informatie te bekijken:
  • Resource-ID — De resource-identificatiecode
  • Titel van de bron —Titel van de bron
  • Brontype —Categorie van de bron (zoals Google Drive, e-mail of regel)
  • Resource-relatie — De relatie tussen de resource en de gebeurtenis
  • Eigenaarsgegevens — Details over de eigenaar van de bron, inclusief het eigenaarstype en de identiteit van de eigenaar.
  • Bronlabel — De classificatielabels die op de bron van toepassing zijn.
  • Resource-labelveld — De specifieke velden en gegevenstypen binnen een label

Als u deze informatie exporteert naar een CSV-bestand (comma-separated values) of Google Sheets, wordt de informatie opgeslagen als één tekstblok in een cel.

Bronlabel Details over de classificatielabels die aan een bron zijn toegekend.

Om op deze informatie te zoeken, selecteert u 'Resource label' in het menu en vervolgens een geneste kolom: 'Resource label ID' of 'Resource label title' .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het detailvenster van het logboek te openen.
Bronlabelveld Details over de specifieke velden binnen een classificatielabel.

Om op deze velden te zoeken, selecteert u 'Bronlabelveld' in het menu en vervolgens een geneste kolom: 'Labelveld-ID' , 'Labelveldnaam ' of 'Labelveldtype' .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het detailvenster van het logboek te openen.
Waarde van het veld 'Resource label' Details over de gegevens die in een specifiek labelveld zijn ingevoerd.

Om op deze waarden te zoeken, selecteert u 'Resource label field value' in het menu en vervolgens een geneste kolom: Datum , Nummer , Selectie , Selectielijst , Tekst , Gebruiker of Gebruikerslijst .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het detailvenster van het logboek te openen.
Afzenderdomein Domein van de afzender
Spamclassificatie Spamclassificatie van het e-mailbericht, bijvoorbeeld Spam, Malware, Phishing, Verdacht of Schoon (geen spam).
Reden voor spamclassificatie Reden waarom het bericht als spam wordt geclassificeerd: bijvoorbeeld flagrante spam, aangepaste regel, reputatie van de afzender of verdachte bijlage.
SPF-domein Domeinnaam gebruikt voor Sender Policy Framework (SPF)-authenticatie
Onderwerp De onderwerpregel van de e-mail
Doelbijlage hash Informatie over de SHA256-hash van een bijlage als een gebruiker interactie heeft met een bijlage in een bericht.
Target-malwarefamilie Informatie over de malwarefamilie van bijlagen wordt weergegeven als gebruikers interactie hebben met een bijlage van een bericht, bijvoorbeeld: ' Inhoud kan schadelijk zijn', 'Bekend kwaadaardig programma' of 'Virus/worm'.
Doelbijlagenaam Informatie over de naam van de bijlage als gebruikers interactie hebben met een bijlage in een bericht.
Doelstation-ID Informatie over de Drive-ID als gebruikers interactie hebben met een Drive-item in een bericht.
Doellink-URL Informatie over de link-URL als gebruikers interactie hebben met een link in een bericht.
Aan (envelop) Adres van de ontvanger op de envelop
Verkeersbron Geeft aan of een e-mail intern (binnen uw domein) of extern wordt verzonden/ontvangen.

Onderneem actie op basis van de zoekresultaten.

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u actie ondernemen op basis van de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van gebeurtenissen in het Gmail-logboek en vervolgens de tool gebruiken om specifieke berichten te verwijderen, berichten in quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Zie Actie ondernemen op basis van zoekresultaten voor meer informatie over acties in de tool voor beveiligingsonderzoek.

Beheer uw onderzoeken

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld om een ​​onderzoek te verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking: Direct boven uw lijst met onderzoeken, onder Snelle toegang , Je kunt recent opgeslagen onderzoeken bekijken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar :

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Voor instructies en details ga naar Instellingen configureren voor uw onderzoeken .

Beheer kolommen in uw zoekresultaten

Je kunt zelf bepalen welke gegevenskolommen in je zoekresultaten worden weergegeven.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren. .
  2. (Optioneel) Om de huidige kolommen te verwijderen, klikt u op Item verwijderen. .
  3. (Optioneel) Om kolommen toe te voegen, klikt u naast 'Nieuwe kolom toevoegen' op de pijl naar beneden. en selecteer de gegevenskolom.
    Herhaal indien nodig.
  4. (Optioneel) Om de volgorde van de kolommen te wijzigen, sleept u de kolomnaam.
  5. Klik op Opslaan .

Exporteer gegevens uit zoekresultaten

U kunt zoekresultaten in de tool voor beveiligingsonderzoek exporteren naar Google Sheets of een CSV-bestand. Zie ' Zoekresultaten exporteren' voor instructies.

Onderzoeken delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .

Wanneer en hoe lang zijn de gegevens beschikbaar?

Voor meer informatie over gegevensbronnen, ga naar Gegevensbewaring en vertragingstijden .