Поиск и анализ событий в журналах пользователей.

Инструмент для проведения расследований в сфере безопасности
Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

С помощью инструмента расследования вы можете искать и анализировать события в журналах пользователей и принимать меры на основе результатов расследования. Например, вы можете сделать следующее:

  • Выявляйте и расследуйте попытки взлома учетных записей пользователей в вашей организации.
  • Отслеживайте, какие методы 2SV используют пользователи в вашей организации.
  • Узнайте больше о неудачных попытках входа в систему пользователей вашей организации.
  • Восстановить или приостановить доступ пользователей.

Поиск и анализ событий в журналах пользователей.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. В качестве источника данных для поиска выберите «События журнала пользователя» .

  3. Click Add Condition . You can include one or more conditions in your search. For details about which conditions are available for User log events, see Customize searches within the investigation tool > Conditions for user log events. For example, you can narrow your search based on the Date of the event, the name of the user, or an Event type such as a password change, 2SV enrollment, or a failed login.

  4. Нажмите кнопку «Поиск» . Результаты поиска отобразятся внизу страницы.

Принимайте меры на основе результатов поиска.

На странице результатов поиска выберите одного или нескольких пользователей. Затем в раскрывающемся меню «Действия» нажмите «Восстановить пользователя» или «Приостановить действие учетной записи пользователя» .

Отображение подробной информации об отдельных пользователях в результатах поиска.

На странице результатов поиска выберите только одного пользователя. В раскрывающемся меню «Действия» нажмите « Просмотреть подробности» . После этого отобразится страница с информацией для входа в систему, названием организационного подразделения, сведениями о безопасности, членством в группах и другой информацией.

На этой же странице вы также можете выполнять действия с пользователем; например, сбросить пароль пользователя или переименовать его.