En fonction de votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation de sécurité, qui offre des fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité. En savoir plus
En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches sur les événements de journaux LDAP et agir en conséquence. Deux types d'événements de journaux sont disponibles pour le service LDAP sécurisé :
- Événements du journal d'administration (pour en savoir plus, consultez Événements du journal d'administration)
- Événements de journaux LDAP
Rechercher des événements de journaux
Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Vous pouvez lancer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.
Outil d'audit et d'investigation
Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.
- À gauche, cliquez sur Création de rapports
Audit et enquêtes
Événements de journaux LDAP sécurisé. -
Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur
pour supprimer le filtre de date. -
Cliquez sur Ajouter un filtre
sélectionnez un attribut. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
-
Sélectionnez un opérateur
sélectionnez une valeur
cliquez sur Appliquer.
- (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
- (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez ET ou OU au-dessus de Ajouter un filtre.
- Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.
Outil d'investigation sur la sécurité
Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.
-
Dans la console d'administration Google, accédez à Menu
Sécurité
Centre de sécurité
Outil d'investigation.Vous devez disposer du droit d'administrateur Centre de sécurité.
- Cliquez sur Source de données, puis sélectionnez Événements de journaux LDAP sécurisé.
-
Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur
pour supprimer le filtre de date. -
Cliquez sur Ajouter une condition.
Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées. -
Cliquez sur Attribut
sélectionnez une option. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs. - Sélectionnez un opérateur.
- Saisissez une valeur ou sélectionnez-en une dans la liste.
- (Facultatif) Pour ajouter d'autres critères de recherche, répétez la procédure.
-
Cliquez sur Rechercher.
Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page. -
(Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer
saisissez un titre et une description
cliquez sur Enregistrer.
Remarques
- Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
- Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
- Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.
| Attribut | Description |
|---|---|
| Acteur | Adresse e-mail de l'utilisateur ayant réalisé l'action |
| Nom du groupe de l'acteur |
Nom du groupe auquel appartient l'acteur. Pour en savoir plus, consultez Filtrer les résultats par groupe Google. Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :
|
| Unité organisationnelle de l'acteur | Unité organisationnelle de l'acteur |
| ID de l'application | ID de l'application LDAP à laquelle la requête de protocole LDAP sécurisé est associée |
| Nom de l'application | Nom de l'application LDAP à laquelle la requête de protocole LDAP sécurisé est associée |
| Attributs | Attributs de requêtes de recherche LDAP sécurisé |
| Objet de base | Objet de base (unité organisationnelle) à interroger pour les utilisateurs |
| ID de connexion | ID de connexion de la requête LDAP sécurisé |
| Date | Date et heure auxquelles l'événement s'est produit (affichées dans le fuseau horaire par défaut de votre navigateur) |
| Alias déréférencés | Indicateur permettant de spécifier si les alias sont déréférencés lors d'une opération de recherche LDAP sécurisé |
| Attributs abandonnés | Liste des attributs abandonnés dans une réponse à une requête de recherche LDAP sécurisée |
| Événement | Action consignée pour l'événement, telle que Échec de la liaison, Recherche réussie ou Annuler la liaison. |
| Filtre | Filtre de requête de recherche LDAP |
| Adresse IP | Adresse du protocole Internet (IP) associée à l'action enregistrée |
|
ASN de l'adresse IP Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche. |
Numéro ASN (Autonomous System Number), subdivision et région de l'adresse IP associés à l'entrée de journal. Pour examiner l'ASN et le code de subdivision et de région de l'adresse IP où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche. |
| Types uniquement | Filtre de requête de recherche LDAP pour n'afficher que les types |
| ID du message | Filtre de requête de recherche LDAP pour n'afficher que les types |
| Nom | Nom du principe derrière une requête de liaison LDAP |
| Commandes de requête | Liste de tous les autres paramètres de requête reçus par une requête de protocole LDAP, séparés par une virgule, à l'exception de l'ID de connexion, de l'ID du message et de la requête de recherche |
| Code de résultat | Code généré à partir des résultats de recherche LDAP sécurisé |
| Paramètres de résultat | Liste de tous les paramètres envoyés dans une réponse de protocole LDAP, séparés par une virgule, à l'exception de l'ID de connexion, de l'ID du message et de la requête de recherche |
| Portée | Champ d'application des requêtes de recherche LDAP sécurisé |
| Limite de taille | Taille maximale des réponses aux requêtes de recherche LDAP sécurisé |
| Limite de temps | Délai de latence des requêtes de recherche LDAP sécurisé |
| Version | Version du protocole LDAP appelé dans l'opération d'association |
Remarque : Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
Gérer les données d'événement des journaux
Gérer les données des colonnes de résultats de recherche
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes
. - (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
- (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas
, puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
Exporter les données des résultats de recherche
Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.
- En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
- Saisissez un nom
cliquez sur Exporter.
L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action. - Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Sheets.
Les limites d'exportation varient :
- Le total des résultats de l'exportation est limité à 100 000 lignes.
-
Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium.
Comparer votre édition
Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.
Pour en savoir plus, consultez Exporter les résultats de recherche.
Quand et pendant combien de temps les données sont-elles disponibles ?
Accédez à Conservation des données et temps de latence.
Effectuer des actions en fonction des résultats de recherche
Créer des règles d'activité et configurer des alertes
- Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
-
Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium.
Comparer votre édition
Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.
Effectuer des actions en fonction des résultats de recherche
Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition
Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.
Gérer vos investigations
Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition
Afficher la liste des investigations
Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations
. La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.
Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.
Remarque : Vous pouvez afficher vos enquêtes enregistrées sous Accès rapide, juste au-dessus de votre liste d'enquêtes.
Configurer les paramètres de vos investigations
En tant que super-administrateur, cliquez sur Paramètres
pour effectuer les actions suivantes :
- Modifier le fuseau horaire de vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
- Activez ou désactivez l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
- Activez ou désactivez Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
- Activez ou désactivez l'option Activer la justification des actions.
Pour en savoir plus, consultez Configurer les paramètres de vos investigations.
Enregistrer, partager, supprimer et dupliquer des enquêtes
Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.
Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des enquêtes.
Articles associés
- Utiliser l'outil d'investigation avec le tableau de bord de sécurité
- Créer un graphique personnalisé basé sur une investigation
- Lancer une investigation à partir du centre d'alerte
- Examiner les rapports d'e-mails malveillants
- Effectuer une recherche dans le partage de fichiers
- Rechercher des utilisateurs dans différentes sources de données