Поиск и анализ событий в журналах пользователей.

Инструмент для проведения расследований в сфере безопасности
Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

С помощью инструмента расследования вы можете искать и анализировать события в журналах пользователей и принимать меры на основе результатов расследования. Например, вы можете сделать следующее:

  • Выявляйте и расследуйте попытки взлома учетных записей пользователей в вашей организации.
  • Отслеживайте, какие методы 2SV используют пользователи в вашей организации.
  • Узнайте больше о неудачных попытках входа в систему пользователей вашей организации.
  • Восстановить или приостановить доступ пользователей.

Поиск и анализ событий в журналах пользователей.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. В качестве источника данных для поиска выберите «События журнала пользователя» .

  3. Нажмите «Добавить условие» . Вы можете включить одно или несколько условий в свой поиск. Подробную информацию о доступных условиях для событий журнала пользователя см. в разделе «Настройка поиска в инструменте расследования» > «Условия для событий журнала пользователя». Например, вы можете сузить поиск на основе даты события, имени пользователя или типа события, такого как изменение пароля, регистрация 2SV или неудачная попытка входа в систему.

  4. Нажмите кнопку «Поиск» . Результаты поиска отобразятся внизу страницы.

Принимайте меры на основе результатов поиска.

На странице результатов поиска выберите одного или нескольких пользователей. Затем в раскрывающемся меню «Действия» нажмите «Восстановить пользователя» или «Приостановить действие учетной записи пользователя» .

Отображение подробной информации об отдельных пользователях в результатах поиска.

На странице результатов поиска выберите только одного пользователя. В раскрывающемся меню «Действия» нажмите « Просмотреть подробности» . После этого отобразится страница с информацией для входа в систему, названием организационного подразделения, сведениями о безопасности, членством в группах и другой информацией.

На этой же странице вы также можете выполнять действия с пользователем; например, сбросить пароль пользователя или переименовать его.