เหตุการณ์ในบันทึกของ Gmail

ในฐานะผู้ดูแลระบบขององค์กร คุณสามารถเรียกใช้การค้นหาที่เกี่ยวข้องกับเหตุการณ์ในบันทึกของ Gmail และดำเนินการตามผลการค้นหาได้ คุณสามารถดูการดำเนินการเพื่อตรวจสอบกิจกรรมของผู้ใช้และผู้ดูแลระบบขององค์กรใน Gmail ได้ เช่น เมื่อมีจัดประเภทอีเมลว่าเป็นจดหมายขยะ ปล่อยอีเมลจากเขตกักเก็บ หรือส่งอีเมลไปยังเขตกักเก็บของผู้ดูแลระบบ จากนั้นคุณสามารถใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อดำเนินการได้ เช่น ลบข้อความที่ต้องการ ทำเครื่องหมายข้อความว่าเป็นจดหมายขยะหรือฟิชชิง ส่งข้อความไปที่เขตกักเก็บ หรือส่งข้อความไปที่กล่องจดหมายของผู้ใช้

เกี่ยวกับการดูเนื้อหาข้อความ Gmail

หากมีสิทธิ์ที่เหมาะสมในเครื่องมือตรวจสอบและ Google Workspace รุ่นที่จำเป็น คุณจะดูเนื้อหาของอีเมลใน Gmail เพื่อเป็นการตรวจสอบได้ด้วย โปรดดูรายละเอียดที่หัวข้อใช้เครื่องมือตรวจสอบเพื่อดูเนื้อหาที่ละเอียดอ่อน

ความสามารถในการค้นหาจะขึ้นอยู่กับรุ่นของ Google, สิทธิ์ของผู้ดูแลระบบ และแหล่งข้อมูล คุณสามารถค้นหาผู้ใช้ทุกคนได้ ไม่ว่าผู้ใช้จะใช้ Google Workspace รุ่นใดก็ตาม

เครื่องมือตรวจสอบ

หากต้องการค้นหาเหตุการณ์ในบันทึก ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกตัวกรองอย่างน้อย 1 รายการสำหรับการค้นหา

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น การรายงาน จากนั้นการตรวจสอบและการสืบสวน จากนั้นเหตุการณ์ในบันทึกของ Gmail

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการตรวจสอบและการสืบสวน

  2. หากต้องการกรองกิจกรรมที่เกิดขึ้นก่อนหรือหลังวันใดวันหนึ่ง ให้เลือกก่อนหรือหลังสำหรับวันที่ โดยค่าเริ่มต้น ระบบจะแสดงเหตุการณ์ในช่วง 7 วันที่ผ่านมา คุณสามารถเลือกช่วงวันที่อื่นหรือคลิก เพื่อนำตัวกรองวันที่ออก

  3. คลิกเพิ่มตัวกรอง จากนั้นเลือกแอตทริบิวต์ เช่น หากต้องการกรองตามประเภทเหตุการณ์ที่เฉพาะเจาะจง ให้เลือกเหตุการณ์
  4. เลือกโอเปอเรเตอร์ จากนั้นเลือกค่า จากนั้นคลิกใช้
    • (ไม่บังคับ) หากต้องการสร้างตัวกรองหลายรายการสำหรับการค้นหา ให้ทำขั้นตอนนี้ซ้ำ
    • (ไม่บังคับ) หากต้องการเพิ่มโอเปอเรเตอร์การค้นหา ให้เลือก AND หรือ OR เหนือเพิ่มตัวกรอง
  5. คลิกค้นหา หมายเหตุ: คุณใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และค่าคู่ที่เรียบง่ายเพื่อกรองผลการค้นหาได้ และยังใช้แท็บเครื่องมือสร้างเงื่อนไข ซึ่งมีตัวกรองที่แสดงเงื่อนไขเป็นโอเปอเรเตอร์ AND/OR ได้ด้วย

เครื่องมือตรวจสอบความปลอดภัย

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

หากต้องการเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัย ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกเงื่อนไขสำหรับการค้นหาอย่างน้อย 1 รายการ สำหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้นศูนย์ความปลอดภัย จากนั้นเครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. คลิกแหล่งข้อมูล แล้วเลือกเหตุการณ์ในบันทึกของ Gmail

  3. หากต้องการกรองกิจกรรมที่เกิดขึ้นก่อนหรือหลังวันใดวันหนึ่ง ให้เลือกก่อนหรือหลังสำหรับวันที่ โดยค่าเริ่มต้น ระบบจะแสดงเหตุการณ์ในช่วง 7 วันที่ผ่านมา คุณสามารถเลือกช่วงวันที่อื่นหรือคลิก เพื่อนำตัวกรองวันที่ออก

  4. คลิกเพิ่มเงื่อนไข
    เคล็ดลับ: คุณจะกำหนดเงื่อนไขในการค้นหาได้มากกว่า 1 รายการ หรือปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน โปรดดูรายละเอียดที่หัวข้อปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน
  5. คลิกแอตทริบิวต์ จากนั้นเลือกตัวเลือกที่ต้องการ เช่น หากต้องการกรองตามประเภทเหตุการณ์ที่เฉพาะเจาะจง ให้เลือกเหตุการณ์
    หากต้องการดูรายการแอตทริบิวต์ทั้งหมด ให้ไปที่ส่วนคําอธิบายแอตทริบิวต์
  6. เลือกโอเปอเรเตอร์
  7. ป้อนค่าหรือเลือกค่าจากรายการ
  8. (ไม่บังคับ) หากต้องการเพิ่มเงื่อนไขการค้นหา ให้ทำตามขั้นตอนอีกครั้ง
  9. คลิกค้นหา
    คุณดูผลการค้นหาจากเครื่องมือตรวจสอบได้ในตารางที่ด้านล่างของหน้า
  10. (ไม่บังคับ) หากต้องการบันทึกการตรวจสอบ ให้คลิกบันทึก จากนั้นป้อนชื่อและคำอธิบาย จากนั้นคลิกบันทึก

หมายเหตุ

  • ในแท็บเครื่องมือสร้างเงื่อนไข ตัวกรองจะแสดงเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย
  • หากคุณมอบชื่อใหม่ให้กับผู้ใช้ คุณจะมองไม่เห็นผลการค้นหาหากใช้ชื่อเก่าของผู้ใช้ เช่น หากคุณเปลี่ยนชื่อ OldName@example.com เป็น NewName@example.com คุณจะไม่เห็นผลการค้นหาสำหรับเหตุการณ์ที่เกี่ยวข้องกับ OldName@example.com
  • คุณจะค้นหาข้อมูลได้เฉพาะในข้อความที่ยังไม่ได้ลบออกจากถังขยะ

คำอธิบายแอตทริบิวต์

สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้

แอตทริบิวต์ คำอธิบาย

ชื่อแอปพลิเคชันของผู้ดำเนินการ

คุณต้องเพิ่มคอลัมน์นี้ลงในผลการค้นหา โปรดดูขั้นตอนที่หัวข้อจัดการข้อมูลคอลัมน์ผลการค้นหา

รายละเอียดเกี่ยวกับแอปพลิเคชันที่ใช้ในการดำเนินการ หากต้องการดูข้อมูลต่อไปนี้ ให้คลิกชื่อในผลการค้นหาดังนี้

  • ชื่อแอปพลิเคชันของผู้ดำเนินการ - ชื่อของแอปพลิเคชันที่ใช้ดำเนินการ (ระบุไว้สำหรับแอปของบุคคลที่สาม และสำหรับแอปของบุคคลที่หนึ่งบางแอป เช่น Gmail)
  • รหัสไคลเอ็นต์ OAuth ของผู้ดำเนินการ - ตัวระบุสำหรับแอปของบุคคลที่สามที่ใช้ดำเนินการ
  • การแอบอ้างเป็นบุคคลอื่น - แอปแอบอ้างเป็นผู้ใช้หรือไม่

หากส่งออกข้อมูลไปยังไฟล์ค่าที่คั่นด้วยคอมมา (CSV) หรือ Google ชีต ระบบจะบันทึกข้อมูลเป็นบล็อกข้อความเดียวภายในเซลล์
ส่วนขยายไฟล์แนบ รหัสของเบราว์เซอร์ Chrome
แฮชของไฟล์แนบ แฮช SHA256 ของไฟล์แนบ
กลุ่มมัลแวร์ไฟล์แนบ หมวดหมู่มัลแวร์ หากตรวจพบเมื่อมีการจัดการข้อความ เช่น เนื้อหาอาจเป็นอันตราย, โปรแกรมอันตรายที่รู้จัก หรือไวรัส/เวิร์ม
ชื่อไฟล์แนบ ชื่อของไฟล์แนบ
ประเภทไคลเอ็นต์ ประเภทไคลเอ็นต์ Gmail เช่น เว็บ, Android, iOS หรือ POP3
วันที่ วันที่และเวลาของเหตุการณ์ (แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์)
มอบสิทธิ์ อีเมลของผู้รับมอบสิทธิ์ซึ่งดำเนินการในนามของเจ้าของ
ตัวระบุเซสชันของอุปกรณ์ รหัสที่ไม่ซ้ำกันที่สร้างไว้สำหรับเซสชันผู้ใช้โปรแกรมรับส่งอีเมล
โดเมน DKIM โดเมนที่ตรวจสอบสิทธิ์ด้วยกลไก DKIM (Domain Keys Identified Mail)
โดเมน โดเมนที่มีการดำเนินการ
เหตุการณ์ การดำเนินการของเหตุการณ์ที่บันทึกไว้ เช่น การดาวน์โหลดไฟล์แนบ, การคลิกลิงก์, การส่ง หรือการดู
จาก (ซองจดหมาย) อีเมลเอนเวโลปของผู้ส่ง
จาก (อีเมลส่วนหัว) อีเมลส่วนหัวของผู้ส่งตามที่ปรากฏในส่วนหัวของข้อความ เช่น user@example.com
จาก (ชื่อส่วนหัว) ชื่อที่แสดงของส่วนหัวของผู้ส่งตามที่ปรากฏในส่วนหัวของข้อความ
สถานที่ตั้งทางภูมิศาสตร์ รหัสประเทศ ISO ตาม IP การส่งต่อ
มีไฟล์แนบ อีเมลมีไฟล์แนบ
ได้รับสิทธิ์ มีผู้รับมอบสิทธิ์ที่ดำเนินการในนามของเจ้าของหรือไม่
ที่อยู่ IP ที่อยู่ IP ของโปรแกรมรับส่งอีเมลที่เริ่มต้นหรือโต้ตอบกับข้อความ

IP ASN

คุณต้องเพิ่มคอลัมน์นี้ลงในผลการค้นหา โปรดดูขั้นตอนที่หัวข้อจัดการข้อมูลคอลัมน์ผลการค้นหา

หมายเลขระบบเครือข่ายอัตโนมัติ (ASN), เขตย่อย และภูมิภาคของ IP ที่เชื่อมโยงกับรายการบันทึก

หากต้องการตรวจสอบ ASN ของ IP รวมถึงรหัสเขตย่อยและรหัสภูมิภาคที่เกิดกิจกรรม ให้คลิกชื่อในผลการค้นหา
โดเมนลิงก์ โดเมนที่ดึงข้อมูลจาก URL ของลิงก์ในเนื้อความ
รหัสข้อความ รหัสข้อความที่ไม่ซ้ำกันที่อยู่ในส่วนหัวของข้อความ
รหัสโปรเจ็กต์ OAuth รหัสโปรเจ็กต์ในคอนโซลระบบคลาวด์ของนักพัฒนาแอปที่ตรวจสอบสิทธิ์ด้วย OAuth
เจ้าของ เจ้าของข้อความอีเมล หากเป็นข้อความขาเข้า เจ้าของคือผู้รับ หากเป็นข้อความขาออก เจ้าของคือผู้ส่ง
แหล่งข้อมูล

รายการทรัพยากรที่เชื่อมโยงกับการดำเนินการ คลิกทรัพยากรเพื่อดูรายละเอียดต่อไปนี้

  • รหัสทรัพยากร - ตัวระบุของทรัพยากร
  • ชื่อทรัพยากร - ชื่อของทรัพยากร
  • ประเภททรัพยากร - รายการใน Google ไดรฟ์, อีเมล, การแจ้งเตือน, กฎ และอื่นๆ
  • ความสัมพันธ์กับทรัพยากร - ความสัมพันธ์ของทรัพยากรกับเหตุการณ์นั้นๆ

  • ป้ายกำกับทรัพยากร - รายการป้ายกำกับการแยกประเภทสำหรับทรัพยากร รวมถึงรหัสป้ายกำกับทรัพยากร ชื่อป้ายกำกับทรัพยากร และช่องป้ายกำกับทรัพยากร

    ช่องป้ายกำกับทรัพยากรประกอบด้วยข้อมูลต่อไปนี้

    • รหัสช่องป้ายกำกับ
    • ชื่อช่องป้ายกำกับ
    • ประเภทช่องป้ายกำกับ - ประเภทข้อมูลของช่องป้ายกำกับ เช่น
      • Text
      • Number
      • การเลือก - ประกอบด้วย: รหัส ชื่อที่แสดง มีป้ายหรือไม่
      • รายการที่เลือก
      • ผู้ใช้ - รวม: อีเมล
      • รายชื่อผู้ใช้
      • วันที่

หากส่งออกข้อมูลไปยังไฟล์ค่าที่คั่นด้วยคอมมา (CSV) หรือ Google ชีต ระบบจะบันทึกข้อมูลเป็นบล็อกข้อความเดียวภายในเซลล์
โดเมนผู้ส่ง โดเมนของผู้ส่ง
การจัดประเภทจดหมายขยะ การจัดประเภทจดหมายขยะของข้อความอีเมล เช่น จดหมายขยะ, มัลแวร์, ฟิชชิง, น่าสงสัย หรือปลอดภัย (ไม่ใช่จดหมายขยะ)
เหตุผลการจัดประเภทจดหมายขยะ สาเหตุที่ข้อความถูกจัดประเภทว่าเป็นจดหมายขยะ เช่น จดหมายขยะที่ทราบแน่ชัด, กฎที่กำหนดเอง, ชื่อเสียงของผู้ส่ง หรือไฟล์แนบที่น่าสงสัย
โดเมน SPF ชื่อโดเมนที่ใช้สำหรับการตรวจสอบสิทธิ์ Sender Policy Framework (SPF)
เรื่อง บรรทัดเรื่องของอีเมล
แฮชของไฟล์แนบเป้าหมาย ข้อมูลเกี่ยวกับแฮช SHA256 ของไฟล์แนบ หากผู้ใช้โต้ตอบกับไฟล์แนบของข้อความ
กลุ่มมัลแวร์ไฟล์แนบเป้าหมาย ข้อมูลเกี่ยวกับกลุ่มมัลแวร์จากไฟล์แนบในกรณีที่ผู้ใช้โต้ตอบกับไฟล์แนบของข้อความ เช่น เนื้อหาอาจเป็นอันตราย, โปรแกรมอันตรายที่รู้จัก หรือไวรัส/เวิร์ม
ชื่อไฟล์แนบเป้าหมาย ข้อมูลเกี่ยวกับชื่อไฟล์แนบในกรณีที่ผู้ใช้โต้ตอบกับไฟล์แนบของข้อความ
รหัสไดรฟ์เป้าหมาย ข้อมูลเกี่ยวกับรหัสไดรฟ์ในกรณีที่ผู้ใช้โต้ตอบกับรายการในไดรฟ์ของข้อความ
URL ของลิงก์เป้าหมาย ข้อมูลเกี่ยวกับ URL ของลิงก์ในกรณีที่ผู้ใช้โต้ตอบกับลิงก์ของข้อความ
ถึง (ซองจดหมาย) อีเมลเอนเวโลปของผู้รับ
แหล่งที่มาของการเข้าชม ระบุว่ามีการส่ง/รับอีเมลภายใน (ภายในโดเมน) หรือภายนอก

ดำเนินการตามผลการค้นหา

หลังจากเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัยแล้ว คุณจะดําเนินการกับผลการค้นหาได้ เช่น คุณสามารถค้นหาตามเหตุการณ์ในบันทึกของ Gmail แล้วใช้เครื่องมือเพื่อลบข้อความที่ต้องการ ส่งข้อความไปยังเขตกักเก็บ หรือส่งข้อความไปยังกล่องจดหมายของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการดำเนินการต่างๆ ในเครื่องมือตรวจสอบความปลอดภัยที่หัวข้อดำเนินการตามผลการค้นหา

จัดการการตรวจสอบ

ดูรายการการตรวจสอบ

หากต้องการดูรายการการตรวจสอบที่คุณเป็นเจ้าของและรายการที่ผู้อื่นแชร์กับคุณ ให้คลิกดูการตรวจสอบ รายการการตรวจสอบประกอบด้วยชื่อ คำอธิบาย และเจ้าของการตรวจสอบ และวันที่แก้ไขล่าสุด

จากรายการนี้ คุณจะดำเนินการกับการตรวจสอบที่คุณเป็นเจ้าของได้ เช่น ลบการตรวจสอบ เลือกช่องสำหรับการตรวจสอบแล้วคลิกการดำเนินการ

หมายเหตุ: ที่ด้านบนของรายการการตรวจสอบ ใต้ส่วนการเข้าถึงด่วน คุณจะดูการตรวจสอบที่บันทึกไว้ล่าสุดได้

กำหนดการตั้งค่าสำหรับการตรวจสอบ

ในฐานะผู้ดูแลระบบขั้นสูง ให้คลิกการตั้งค่า เพื่อดำเนินการดังนี้

  • เปลี่ยนเขตเวลาสําหรับการตรวจสอบ โดยเขตเวลาจะมีผลกับเงื่อนไขการค้นหาและผลการค้นหา
  • การเปิดหรือปิดต้องมีผู้ตรวจสอบ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อต้องมีผู้ตรวจสอบสำหรับการดำเนินการหลายรายการพร้อมกัน
  • เปิดหรือปิดการดูเนื้อหา การตั้งค่านี้จะอนุญาตให้ผู้ดูแลระบบที่มีสิทธิ์ในระดับที่เหมาะสมดูเนื้อหาได้
  • เปิดหรือปิดเปิดใช้เหตุผลรองรับการดำเนินการ

โปรดดูวิธีการและรายละเอียดที่หัวข้อกำหนดการตั้งค่าสำหรับการตรวจสอบ

จัดการคอลัมน์ในผลการค้นหา

คุณควบคุมได้ว่าจะให้คอลัมน์ข้อมูลใดปรากฏในผลการค้นหา

  1. คลิกจัดการคอลัมน์ ที่ด้านขวาบนของตารางผลการค้นหา
  2. (ไม่บังคับ) หากต้องการนำคอลัมน์ปัจจุบันออก ให้คลิกนำรายการออก
  3. (ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ ให้คลิกลูกศรลง ถัดจาก "เพิ่มคอลัมน์ใหม่" แล้วเลือกคอลัมน์ข้อมูล
    ทำซ้ำตามที่จำเป็น
  4. (ไม่บังคับ) หากต้องการเปลี่ยนลำดับของคอลัมน์ ให้ลากชื่อคอลัมน์
  5. คลิกบันทึก

ส่งออกข้อมูลจากผลการค้นหา

คุณสามารถส่งออกผลการค้นหาในเครื่องมือตรวจสอบความปลอดภัยไปยัง Google ชีตหรือไฟล์ CSV ได้ โปรดดูวิธีการที่หัวข้อส่งออกผลการค้นหา

แชร์ ลบ และทำซ้ำการตรวจสอบ

หากต้องการบันทึกเกณฑ์การค้นหาหรือแชร์กับคนอื่นๆ คุณสามารถสร้างและบันทึกการตรวจสอบ จากนั้นก็แชร์ ทำซ้ำ หรือลบออกได้

โปรดดูรายละเอียดที่หัวข้อบันทึก แชร์ ลบ และทำซ้ำการตรวจสอบ

ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแหล่งข้อมูลที่หัวข้อการเก็บรักษาข้อมูลและเวลาล่าช้า