組織管理員可以執行與 Gmail 記錄事件相關的搜尋,並根據搜尋結果採取行動。您可以查看動作,瞭解貴機構使用者和管理員在 Gmail 中的活動,例如將電子郵件歸類為垃圾郵件、從隔離區移出或傳送至管理員隔離區的時間點。接著還能透過安全調查工具採取行動,例如刪除特定郵件、將郵件標示為垃圾郵件或網路釣魚郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。
關於查看 Gmail 郵件內容
如果您具備調查工具的相應權限,並使用支援的 Google Workspace 版本,就能在調查時查看 Gmail 郵件內容。詳情請參閱「使用調查工具查看機密內容」。
針對記錄事件執行搜尋
能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。
稽核與調查工具
如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。
-
在 Google 管理控制台中,依序點選「選單」圖示
「報告」
「稽核與調查」
「Gmail 記錄事件」。
必須具備稽核與調查管理員權限。
-
如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下
移除日期篩選器。
-
按一下「新增篩選器」
選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」。
-
選取運算子
選取值
按一下「套用」。
- (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。 注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
安全調查工具
如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「安全中心」
「調查工具」。
必須具備安全中心管理員權限。
- 按一下「資料來源」,然後選取「Gmail 記錄事件」。
-
如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下
移除日期篩選器。
-
按一下 [Add Condition]。
提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 -
按一下「屬性」
選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」。
如需完整的屬性清單,請參閱「屬性說明」一節。 - 選取運算子。
- 輸入值或從清單中選取值。
- (選用) 如要新增更多搜尋條件,請重複以上步驟。
-
按一下「搜尋」。
您可以在頁面底部的表格中,查看調查工具的搜尋結果。 -
(選用) 如要儲存調查,請按一下「儲存」
輸入標題和說明
按一下「儲存」。
附註
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
- 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
- 您只能搜尋尚未從垃圾桶刪除的郵件資料。
屬性說明
搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:
| 屬性 | 說明 |
|---|---|
|
執行者應用程式名稱 您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。 |
執行動作所用應用程式的詳細資料。如要查看下列資訊,請在搜尋結果中點選應用程式名稱:
如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。 |
| 附件額外資訊 | Chrome 瀏覽器的 ID |
| 附件雜湊 | 附件的 SHA256 雜湊 |
| 附件惡意軟體系列 | 如果系統在處理郵件時偵測到惡意軟體類別,例如「內容可能有害、已知的惡意程式」或「病毒/蠕蟲」 |
| 附件名稱 | 附件名稱 |
| 用戶端類型 | Gmail 用戶端類型,例如網頁版、Android 版、iOS 版或 POP3。 |
| 日期 | 事件發生的日期和時間 (以瀏覽器的預設時區為準) |
| 委派 | 代表擁有者執行動作的委派使用者的電子郵件地址 |
| 裝置工作階段 ID | 為郵件用戶端使用者工作階段產生的專屬 ID |
| DKIM 網域 | 使用 DKIM (網域金鑰認證郵件) 機制驗證的網域 |
| 網域 | 動作發生的網域 |
| 活動 | 記錄的事件動作,例如「下載附件」、「點選連結」、「傳送」或「查看」。 |
| 寄件者 (信封) | 寄件者的信封地址 |
| 寄件者 (標頭地址) | 顯示在郵件標頭的寄件者標頭地址,例如 user@example.comuser@example.com |
| 寄件者 (標頭名稱) | 顯示在郵件標頭的寄件者標頭顯示名稱 |
| 地理位置 | 系統根據轉發 IP 顯示的 ISO 國家/地區代碼 |
| 有附件 | 電子郵件含有附件 |
| 擁有委派代表 | 是否有代表擁有者執行動作的委派使用者 |
| IP 位址 | 啟動或與郵件互動的郵件用戶端 IP 位址 |
|
IP ASN 您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。 |
與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。 如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。 |
| 連結網域 | 從郵件內文中的連結網址所擷取的網域 |
| 郵件 ID | 郵件標頭中的專屬郵件 ID |
| OAuth 專案 ID | 透過 OAuth 進行驗證的開發人員 Cloud 控制台專案 ID |
| 擁有者 | 電子郵件的擁有者。如果是內送郵件,則為收件者。如果是外寄郵件,則為寄件者。 |
| 資源 |
與動作相關的資源清單。按一下資源即可查看下列詳細資料:
如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。 |
| 寄件者網域 | 寄件者網域 |
| 垃圾郵件分類 | 電子郵件的垃圾郵件分類,例如垃圾郵件、惡意軟體、網路釣魚、可疑或安全郵件 (非垃圾郵件) |
| 垃圾郵件分類原因 | 郵件遭歸類為垃圾郵件的原因,例如明確垃圾郵件、自訂規則、寄件者信譽或可疑附件 |
| SPF 網域 | 用於寄件者政策架構 (SPF) 驗證的網域名稱 |
| 主旨 | 電子郵件主旨行 |
| 目標附件雜湊 | 使用者與郵件附件互動時,SHA256 附件雜湊的相關資訊 |
| 目標附件惡意軟體系列 | 使用者與郵件附件互動時,有關附件惡意軟體系列的資訊,例如「內容可能有害」、「已知的惡意程式」或「病毒/蠕蟲」 |
| 目標附件名稱 | 如果使用者曾與郵件的附件互動,此屬性為該附件名稱的相關資訊 |
| 目標雲端硬碟 ID | 使用者與郵件的雲端硬碟項目互動時,雲端硬碟 ID 的相關資訊 |
| 目標連結網址 | 使用者與郵件的連結互動時,連結網址的相關資訊 |
| 收件者 (信封) | 收件者的信封地址 |
| 流量來源 | 指出電子郵件是由內部 (貴機構網域內) 或外部的使用者傳送/接收 |
依據搜尋結果採取行動
使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。如要進一步瞭解可透過安全調查工具採取的行動,請參閱「依據搜尋結果採取行動」。
管理調查項目
查看調查清單
如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁邊的方塊,然後按一下「動作」。
注意:在調查清單正上方的「快速存取」底下,您可以查看近期儲存的調查項目。
配置調查設定
超級管理員可以點選「設定」圖示 並執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「請啟用動作執行原因」設定。
如需操作說明和詳細資訊,請參閱「進行調查設定」。
管理搜尋結果中的資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。
- (選用) 如要移除目前的資料欄,請按一下「移除項目」圖示
。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下 [儲存]。
從搜尋結果匯出資料
您可以將安全性調查工具中的搜尋結果匯出為 Google 試算表或 CSV 檔案。如需操作說明,請參閱「匯出搜尋結果」。
共用、刪除及複製調查項目
如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。
詳情請參閱「儲存、共用、刪除及複製調查項目」。
資料要處理多久?保留時間有多長?
如要進一步瞭解資料來源,請參閱「資料保留和延遲時間」。