אירועים ביומן של מכסת Google Workspace

כדי להריץ חיפוש של אירועים ביומן, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור מסנן אחד או יותר לחיפוש.

1. נכנסים לתפריט דיווח > ביקורת וחקירה > אירועים ביומן של מכסת Google Workspace.

   כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

3. לוחצים על הוספת מסנן בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
4. בוחרים אופרטור בוחרים ערך לוחצים על החלת השינויים.
   • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
   • (אופציונלי) כדי להוסיף אופרטור חיפוש, מעל הוספת מסנן, בוחרים באפשרות AND או OR.
5. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך, ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם אופרטורים של AND/OR.

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

1. במסוף Google Admin, נכנסים לתפריט אבטחה מרכז האבטחה כלי חקירה.

   לכלי החקירה

   כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של מכסת Google Workspace.

3. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

4. לוחצים על הוספת תנאי.
   הערה: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. מידע נוסף מופיע במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
5. לוחצים על מאפיין בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
   רשימה מלאה של מאפיינים מופיעה בקטע תיאורים של המאפיינים.
6. בוחרים אופרטור.
7. מציינים ערך או בוחרים ערך מהרשימה.
8. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
9. לוחצים על חיפוש.
   בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
10. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה מזינים שם ותיאור לוחצים על שמירה.

הערות

• בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
• אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם תשנו את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
• אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
   חוזרים על הפעולה לפי הצורך.
4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
5. לוחצים על שמירה.

אתם יכולים לייצא את תוצאות החיפוש ל-Sheets או לקובץ CSV.

1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
2. מזינים שם לוחצים על ייצוא.
   קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
3. כדי לראות את הנתונים, לוחצים על שם הייצוא.
   הייצוא נפתח ב-Sheets.

מגבלות הנתונים שאפשר לייצא משתנות לפי:

• מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות.
• התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

  אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ.

מידע נוסף מופיע במאמר בנושא ייצוא תוצאות חיפוש.

ראו שמירת נתונים וזמני השהיה.

• אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מופיעות במאמר בנושא יצירה וניהול של כללי דיווח.
• התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

  כדי לסייע במניעה, זיהוי ותיקון יעילים של בעיות אבטחה, אפשר להפוך פעולות לאוטומטיות בכלי חקירת האבטחה ולהגדיר התראות על ידי יצירת כללי פעילות. כדי להגדיר כלל, מגדירים תנאים לכלל ואז מציינים את הפעולות שצריך לבצע כשהתנאים מתקיימים. פרטים נוספים מופיעים במאמר בנושא יצירה וניהול של כללי פעילות.

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים מופיעים במאמר בנושא טיפול באירועים על סמך תוצאות החיפוש.

כדי לראות את רשימת החקירות שבבעלותכם וששותפו איתכם, אתם יכולים ללחוץ על "צפייה בפרטי החקירות" . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

אתם יכולים להתחבר בתפקיד סופר-אדמין, וללחוץ על סמל ההגדרות כדי:

• לשנות את אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
• להפעיל או להשבית את האפשרות דרישה לבודק פעולות. פרטים נוספים מופיעים בקטע דרישה לבודקים בשביל פעולות בכמות גדולה.
• להפעיל או להשבית את ההגדרה צפייה בתוכן. ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
• להפעיל או להשבית את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים מופיעים בקטע קביעת הגדרות של החקירות.

כדי לשמור את הקריטריונים של החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים מופיעים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.