Журнал событий Gmail

Как администратор вашей организации, вы можете выполнять поиск по событиям журналов Gmail и принимать меры на основе результатов поиска. Вы можете просматривать действия по анализу активности пользователей и администраторов вашей организации в Gmail — например, когда электронные письма классифицируются как спам, выводятся из карантина или отправляются в административный карантин. Затем вы можете использовать инструмент расследования инцидентов безопасности для принятия мер — например, для удаления определенных сообщений, пометки сообщений как спам или фишинг, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей.

О просмотре содержимого сообщений Gmail

Если у вас есть соответствующие права доступа к инструменту расследования и необходимая версия Google Workspace, вы также можете просматривать содержимое сообщений Gmail в рамках расследования. Подробнее см. раздел «Использование инструмента расследования для просмотра конфиденциальной информации» .

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом События журнала Gmail .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Нажмите «Источник данных» и выберите «События журнала Gmail» .

  3. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  4. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  5. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  6. Выберите оператора.
  7. Введите значение или выберите значение из списка.
  8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  9. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание

Название приложения актёра

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Подробная информация о приложении, использованном для выполнения действия. Чтобы просмотреть следующую информацию, щелкните по названию в результатах поиска:

  • Название приложения-объекта — Название приложения, используемого для выполнения действия (заполняется для сторонних приложений и для некоторых собственных приложений, таких как Gmail).
  • Идентификатор клиента Actor OAuth — идентификатор стороннего приложения, используемого для выполнения действия.
  • Выдача себя за другого пользователя — выдавало ли приложение себя за другого пользователя.

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Расширение вложения Идентификатор браузера Chrome
Хэш вложения Хэш SHA256 вложения
Семейство вредоносных программ, вложенных в файлы. Категория вредоносного ПО, если она обнаружена при обработке сообщения — например, «Содержание может быть вредоносным», «Известная вредоносная программа» или «Вирус/червь».
Название вложения Название вложения
Тип клиента Тип почтового клиента Gmail — например, веб-версия, Android, iOS или POP3.
Дата Дата и время мероприятия (отображаются в часовом поясе по умолчанию вашего браузера)
Делегат Адрес электронной почты пользователя-делегата, выполнившего действие от имени владельца.
Идентификатор сеанса устройства Уникальный идентификатор, генерируемый для сеанса пользователя почтового клиента.
Домен DKIM Домен аутентифицирован с помощью механизма DKIM (Domain Keys Identified Mail).
Домен Область, где произошло действие
Событие Зарегистрированное действие события, например, загрузка вложения, клик по ссылке , отправка или просмотр.
Из (Конверта) Адрес отправителя на конверте
От (адрес заголовка) Адрес отправителя, как он указан в заголовках сообщения, например, user@example.com.
От (название заголовка) Имя отправителя, отображаемое в заголовке сообщения.
Геолокация Код страны ISO, основанный на IP-адресе ретранслятора.
Имеет крепление В электронном письме содержится вложение.
Имеет делегата Было ли или не было ли пользователя-делегата, выполнившего действие от имени владельца?
IP-адрес IP-адрес почтового клиента, который инициировал отправку сообщения или взаимодействовал с ним.

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Домен ссылки Домен(ы), извлеченные из URL-адресов ссылок в теле сообщения.
Идентификатор сообщения Уникальный идентификатор сообщения, расположенный в заголовке сообщения.
Идентификатор проекта OAuth Идентификатор проекта в облачной консоли разработчика, прошедшего аутентификацию с помощью OAuth.
Владелец Владелец электронного письма. Для входящего сообщения это получатель. Для исходящего сообщения это отправитель.
Ресурсы

Список ресурсов, связанных с действием. Щелкните по ресурсу, чтобы просмотреть следующие сведения:

  • Идентификатор ресурса — идентификатор ресурса
  • Название ресурса — Заголовок ресурса
  • Тип ресурса — элемент Google Drive, электронное письмо, оповещение, правило и т. д.
  • Ресурсная связь — отношение ресурса к событию.

  • Метка ресурса — Список классификационных меток для ресурса, включая идентификатор метки ресурса , заголовок метки ресурса и поле метки ресурса .

    Поле «Метка ресурса» содержит:

    • Идентификатор поля метки
    • Название поля метки
    • Тип поля метки — Тип данных поля метки, например:
      • Текст
      • Число
      • Выбор — Включено: ID, Отображаемое имя, Наличие бейджа
      • Список выбора
      • Пользователь — Включено: Электронная почта
      • Список пользователей
      • Дата

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Домен отправителя Домен отправителя
классификация спама Классификация электронного письма как спам — например, спам, вредоносное ПО, фишинг, подозрительное сообщение или чистое сообщение (не спам).
Причина классификации как спама Причина классификации сообщения как спама — например, явный спам, пользовательское правило, репутация отправителя или подозрительное вложение.
Домен SPF Доменное имя, используемое для аутентификации в рамках Sender Policy Framework (SPF).
Предмет Тема электронного письма
Хэш целевого вложения Информация о хеше SHA256 вложения, если пользователь взаимодействует с вложением сообщения.
семейство вредоносных программ, вставляемых в целевое хранилище Информация о семействе вредоносных программ, вложенных в сообщение, предоставляется пользователям при взаимодействии с ним, например: «Содержание может быть опасным», «Известная вредоносная программа » или «Вирус/червь».
Название целевого вложения Информация об имени вложения, если пользователи взаимодействуют с вложением в сообщении.
Идентификатор целевого диска Информация об идентификаторе диска, если пользователи взаимодействуют с элементом сообщения на диске.
Целевая ссылка URL Информация об URL-адресе ссылки, если пользователи взаимодействуют со ссылкой в ​​сообщении.
Кому (Конверт) Адрес получателя на конверте
Источник трафика Указывает, отправлено/получено ли электронное письмо внутри вашей доменной сети или извне.

Принимайте меры на основе результатов поиска.

После выполнения поиска в инструменте анализа безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Более подробную информацию о действиях в инструменте анализа безопасности см. в разделе «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми расследованиями, которые находятся в вашем ведении, например, удалить расследование. Установите флажок для нужного расследования, а затем нажмите «Действия» .

Примечание: Непосредственно над списком ваших расследований, в разделе «Быстрый доступ» , Вы можете просмотреть недавно сохраненные расследования.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к :

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Инструкции и подробная информация доступны в разделе «Настройка параметров расследования» .

Управление столбцами в результатах поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить элемент». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец» нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите название столбца.
  5. Нажмите « Сохранить ».

Экспорт данных из результатов поиска

Результаты поиска в инструменте анализа безопасности можно экспортировать в Google Таблицы или в CSV-файл. Инструкции см. в разделе «Экспорт результатов поиска» .

Делиться, удалять и дублировать расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .

Когда и как долго доступны данные?

Для получения дополнительной информации об источниках данных перейдите в раздел «Сохранение данных и сроки задержки» .