Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Enterprise Essentials Plus; Enterprise Essentials Plus. Сравните вашу версию.
Как администратор, вы можете использовать инструмент расследования инцидентов безопасности для просмотра и анализа данных о текущем состоянии устройств в вашей организации. Например:
- Проверьте, достигло ли обновление браузера всех устройств в вашей организации.
- Выясните, не скомпрометированы ли какие-либо устройства в данный момент.
- Узнайте дату последнего обновления операционной системы устройства.
- Узнайте статус устройства — например, деактивировано оно или данные на нем удалены.
Выполните поиск данных устройства.
Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.
Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .
В консоли администратора Google перейдите в меню.
Безопасность Центр безопасности Инструмент расследования .Для этого требуются права администратора центра безопасности .
- Щелкните «Источник данных» и выберите «Устройства» .
- Нажмите «Добавить условие» .
Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» . - Атрибут клика Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
Полный список атрибутов см. в разделе «Описание атрибутов» . - Выберите оператора.
- Введите значение или выберите значение из списка.
- (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
- Нажмите «Поиск» .
Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы. - (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить».
Введите заголовок и описание. Нажмите « Сохранить ».
Примечания
- На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
- Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
- Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.
Описание атрибутов
Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.
| Атрибут | Описание |
|---|---|
| Перевозчик | Мобильный оператор для устройства |
| Устройство находится в скомпрометированном состоянии | Указывается, рутировано ли устройство или взломано (jailbroken) — процессы, снимающие ограничения с устройства. Возможные значения:
|
| Идентификатор устройства | Идентификатор присваивается устройству при его регистрации в системе управления устройствами. Если устройство регистрируется несколько раз, ему может быть присвоено несколько идентификаторов. |
| модель устройства | Модель устройства |
| Владелец устройства | Имя пользователя, выполнившего событие на устройстве. Примечание: Для корпоративных устройств iOS изменения в регистрации устройства в Apple Business Manager или Apple School Manager вносятся учетной записью службы, которая указана как «Анонимный пользователь». |
| Тип устройства | Тип устройства, на котором произошло событие — например, Android , Chrome OS , iOS , Linux , Mac или Windows. |
| Дата последней синхронизации | Последняя дата и время синхронизации корпоративных данных устройством. |
| Тип управления | Тип управления, применяемый к устройству. Значения включают:
|
| статус пароля | Указывает, установлен ли пароль на устройстве. Значение «Вкл.» , если пароль установлен. |
| Дата регистрации | Дата и время первой синхронизации корпоративных данных устройством. |
| дата обновления безопасности | Дата последнего обновления безопасности ОС в формате ГГГГ-ММ-ДД. (Только для Android 6.0 и более поздних версий) |
| Статус | Статус устройства — например, «Учетная запись удалена» , «Одобрено» , «Заблокировано» или «Деактивировано». |
| Электронная почта пользователя | Адрес электронной почты пользователя устройства |
Принимайте меры на основе результатов поиска.
После выполнения поиска в инструменте анализа безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Более подробную информацию о действиях в инструменте анализа безопасности см. в разделе «Действия на основе результатов поиска» .
Управляйте своими расследованиями
Просмотрите список ваших расследований
Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». 
Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.
Из этого списка вы можете выполнить действия с любыми расследованиями, которые находятся в вашем ведении, например, удалить расследование. Установите флажок для нужного расследования, а затем нажмите «Действия» .
Примечание: Непосредственно над списком ваших расследований, в разделе «Быстрый доступ» , Вы можете просмотреть недавно сохраненные расследования.
Настройте параметры для ваших расследований.
От имени суперадминистратора нажмите «Настройки». 
к :
- Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
- Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
- Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
- Включить или выключить обоснование действий .
Инструкции и подробная информация доступны в разделе «Настройка параметров расследования» .
Управление столбцами в результатах поиска
Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.
- В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами».
. - (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить элемент».
. - (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец» нажмите стрелку вниз.
и выберите столбец с данными.
Повторять по мере необходимости. - (Необязательно) Чтобы изменить порядок столбцов, перетащите название столбца.
- Нажмите « Сохранить ».
Экспорт данных из результатов поиска
Результаты поиска в инструменте анализа безопасности можно экспортировать в Google Таблицы или в CSV-файл. Инструкции см. в разделе «Экспорт результатов поиска» .
Делиться, удалять и дублировать расследования.
Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.
Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .
Когда и как долго доступны данные?
Для получения дополнительной информации об источниках данных перейдите в раздел «Сохранение данных и сроки задержки» .
Связанные темы
- Начните расследование на основе диаграммы на панели управления.
- Создайте пользовательскую диаграмму на основе проведенного исследования.
- Начните расследование из центра оповещения.
- Расследуйте сообщения о вредоносных электронных письмах.
- Изучите вопрос обмена файлами.
- Проведите исследование пользователей по различным источникам данных.