Zdarzenia z dziennika Gmaila

Jako administrator organizacji możesz przeprowadzać wyszukiwania związane ze zdarzeniami z dziennika Gmaila oraz podejmować działania na podstawie wyników wyszukiwania. Możesz wyświetlać działania, aby sprawdzać aktywność użytkowników i administratorów organizacji w Gmailu – na przykład, kiedy e-maile są klasyfikowane jako spam, zwalniane z kwarantanny lub wysyłane do kwarantanny administracyjnej. Następnie możesz za pomocą narzędzia do analizy zagrożeń na przykład usunąć określone wiadomości, oznaczyć je jako spam lub wiadomości wyłudzające informacje albo wysłać je do kwarantanny bądź skrzynek odbiorczych użytkowników.

Wyświetlanie treści wiadomości w Gmailu

Jeśli masz odpowiednie uprawnienia w narzędziu do analizy zagrożeń i wymaganą wersję Google Workspace, możesz też wyświetlić treść wiadomości w Gmailu. Szczegółowe informacje znajdziesz w artykule Wyświetlanie poufnych treści za pomocą narzędzia do analizy zagrożeń.

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potemKontrola i analiza zagrożeń a potemZdarzenia z dziennika Gmaila.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  3. Kliknij Dodaj filtr a potem wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
  4. Wybierz operatora a potemwybierz wartość a potemkliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty Narzędzie do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potemCentrum bezpieczeństwa a potemNarzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika Gmaila.

  3. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
  9. Kliknij Szukaj.
    Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwagi

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
  • Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis

Nazwa aplikacji, która wykonała czynność

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Szczegóły dotyczące aplikacji użytej do wykonania czynności. Aby sprawdzić te informacje, kliknij nazwę w wynikach wyszukiwania:

  • Nazwa aplikacji, która wykonała czynność – nazwa aplikacji użytej do wykonania czynności (wypełniana w przypadku aplikacji innych firm i niektórych aplikacji własnych, np. Gmaila).
  • Identyfikator klienta OAuth, który wykonał czynność – identyfikator aplikacji innej firmy użytej do wykonania czynności.
  • Podszywanie się pod inne osoby – informacja, czy aplikacja podszywała się pod użytkownika.

Jeśli wyeksportujesz informacje do pliku CSV lub Arkuszy Google, zostaną one zapisane jako pojedynczy blok tekstu w komórce.
Rozszerzenie z załącznikiem Identyfikator przeglądarki Chrome.
Hash załącznika Identyfikator SHA256 załącznika
Rodzina złośliwego oprogramowania załączników Kategoria złośliwego oprogramowania wykrytego podczas obsługi wiadomości, na przykład Potencjalnie szkodliwa treść, Znane złośliwe oprogramowanie lub Wirus/robak.
Nazwa załącznika Nazwa załącznika
Typ klienta Typ klienta Gmaila – na przykład Web, Android, iOS lub POP3.
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Delegowanie Adres e-mail użytkownika z przekazanym dostępem, który wykonał czynność w imieniu właściciela.
Identyfikator sesji na urządzeniu Unikalny identyfikator wygenerowany na potrzeby sesji użytkownika klienta poczty.
Domena DKIM Domena uwierzytelniona za pomocą mechanizmu DKIM (Domain Keys Identified Mail).
Domena Domena, w której wykonano czynność
Wydarzenie Zarejestrowane zdarzenie, np. pobieranie załącznika, kliknięcie linku, wysyłanie lub wyświetlanie.
Od (koperta) Adres nadawcy w danych koperty
Od (adres nagłówka) Adres nagłówka nadawcy widoczny w nagłówkach wiadomości, na przykład użytkownik@example.com.
Od (nazwa nagłówka) Wyświetlana nazwa nadawcy widoczna w nagłówku wiadomości
Geolokalizacja Kod kraju ISO na podstawie adresu IP usługi przekaźnika.
Zawiera załącznik E-mail zawiera załącznik.
Ma przedstawiciela Określa, czy w imieniu właściciela osoba z przekazanym dostępem wykonała czynność.
Adres IP Adres IP klienta poczty, który rozpoczął wiadomość lub wszedł z nią w interakcję.

ASN IP

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Numer systemu autonomicznego adresu IP (ASN), pododdział i region powiązane z wpisem logu.

Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania.
Domena linku Domeny wyodrębnione z adresów URL linków w treści wiadomości.
Identyfikator wiadomości Unikalny identyfikator wiadomości, który znajduje się w jej nagłówku.
Identyfikator projektu OAuth Identyfikator projektu w konsoli Cloud dewelopera, który uwierzytelnił się za pomocą protokołu OAuth.
Właściciel Właściciel wiadomości e-mail. W przypadku wiadomości przychodzących jest to odbiorca. W przypadku wiadomości wychodzących jest to nadawca.
Materiały

Lista zasobów powiązanych z czynnością. Kliknij zasób, aby wyświetlić te szczegóły:

  • Identyfikator zasobu;
  • Tytuł zasobu;
  • Typ zasobu – element na Dysku Google, e-mail, alert, reguła itp.;
  • Powiązanie zasobu – powiązanie zasobu ze zdarzeniem;

  • Etykieta zasobu – lista etykiet klasyfikacji zasobu, w tym Identyfikator etykiety zasobu, Tytuł etykiety zasobu i Pole etykiety zasobu.

    Pole etykiety zasobu zawiera te elementy:

    • Identyfikator pola etykiety
    • Nazwa pola etykiety
    • Typ pola etykiety – typ danych pola etykiety, np.:
      • Text
      • Number
      • Wybór – obejmuje właściwości: „Identyfikator”, „Wyświetlana nazwa” i „Ma plakietkę”.
      • Lista wyboru
      • Użytkownik – obejmuje właściwość „E-mail”.
      • Lista użytkowników
      • Data

Jeśli wyeksportujesz informacje do pliku CSV lub Arkuszy Google, zostaną one zapisane jako pojedynczy blok tekstu w komórce.
Domena nadawcy Domena nadawcy
Klasyfikacja spamu Klasyfikacja wiadomości e-mail jako spamu, na przykład Spam, Złośliwe oprogramowanie, Phishing, Podejrzane lub Bezpiecznie (nie spam).
Przyczyna klasyfikacji spamu Przyczyna sklasyfikowania wiadomości jako spamu, na przykład Oczywisty spam, Reguła niestandardowa, Reputacja nadawcy lub Podejrzany załącznik.
Domena SPF Nazwa domeny używana do uwierzytelniania Sender Policy Framework (SPF).
Subject Temat e-maila
Wartość hash załącznika docelowego Informacje o identyfikatorze załącznika SHA256, gdy użytkownik wchodzi w interakcję z załącznikiem do wiadomości.
Rodzina złośliwego oprogramowania docelowych załączników Informacje o rodzinie złośliwego oprogramowania załączników, gdy użytkownicy wchodzą w interakcje z załącznikiem wiadomości, na przykład Potencjalnie szkodliwa treść, Znane złośliwe oprogramowanie lub Wirus/robak.
Nazwa załącznika docelowego Informacje o nazwie załącznika, gdy użytkownicy wchodzą w interakcję z załącznikiem wiadomości.
Identyfikator dysku docelowego Informacje o identyfikatorze Dysku, jeśli użytkownicy wchodzą w interakcję z elementem wiadomości na Dysku.
Docelowy adres URL linku Informacje o adresie URL linku, gdy użytkownicy wchodzą w interakcję z linkiem w wiadomości.
Do (koperta) Adres odbiorcy w danych koperty
Źródło wizyt Wskazuje, czy e-maile są wysyłane/odbierane wewnętrznie (w domenie) bądź wewnętrznie.

Podejmowanie działań na podstawie wyników wyszukiwania

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji o działaniach dostępnych w narzędziu do analizy zagrożeń znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: ostatnio zapisane analizy zagrożeń możesz wyświetlić bezpośrednio nad listą analiz w sekcji Szybki dostęp.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby :

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie zatwierdzania działań zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Odpowiednie informacje i instrukcje znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Zarządzanie kolumnami w wynikach wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń element .
  3. (Opcjonalnie) Aby dodać kolumny, obok opcji Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
    Powtórz w razie potrzeby.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij ich nazwę.
  5. Kliknij Zapisz.

Eksportowanie danych z wyników wyszukiwania

Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz wyeksportować do Arkuszy Google lub do pliku CSV. Instrukcje znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Udostępnianie, usuwanie i powielanie analiz zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.

Kiedy i jak długo dane są dostępne?

Więcej informacji o źródłach danych znajdziesz w artykule Czas przechowywania danych i opóźnienia.