Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Plus. Сравните вашу версию.
Как администратор, вы можете использовать инструмент расследования инцидентов безопасности для просмотра и анализа данных о текущем состоянии сообщений Gmail в вашей организации. Например, используя источник данных о сообщениях Gmail, вы можете выполнять поиск в вашей организации по именам вложений, содержимому электронных писем, идентификаторам сообщений, отправителям и получателям.
Выполните поиск данных сообщений Gmail.
Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.
Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .
В консоли администратора Google перейдите в меню.
БезопасностьЦентр безопасностиИнструмент расследования .Для этого требуются права администратора центра безопасности .
- Click Data source and select Gmail messages .
- Нажмите «Добавить условие» .
Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» . - Атрибут клика Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
Полный список атрибутов см. в разделе «Описание атрибутов» . - Выберите оператора.
- Введите значение или выберите значение из списка.
- (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
- Нажмите «Поиск» .
Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы. - (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить».
Введите заголовок и описание. Нажмите « Сохранить ».
Примечания
- На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
- Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
- Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.
{: #AttributeDescriptions }
Описание атрибутов
Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.
| Атрибут | Описание |
|---|---|
| Весь контент | Содержимое электронного письма, включая видимое содержимое текста, содержимое текстовых вложений и содержимое распространенных типов вложений, таких как DOC, XLS и PDF. Не включает URL-адреса ссылок в тексте сообщения. |
| Название вложения | Название вложения в сообщении |
| Bcc | Адреса пользователей, указанных в поле "Скрытая копия" (Bcc) в сообщении. |
| Cc | Address of users who are Cc'd in a message |
| Дата | Дата и время мероприятия (отображаются в часовом поясе по умолчанию вашего браузера) |
| Имеет крепление | Whether or not a message has an attachment |
| Этикетка | Label for the message—for example, Deleted, Inbox, Sent, Spam, Starred, Trash , or Unread |
| Идентификатор сообщения | Уникальный идентификатор сообщения, расположенный в заголовке сообщения. |
| Размер сообщения | Размер сообщения |
| Получатель | The recipient's email address |
| Отправитель | Адрес электронной почты отправителя |
| Предмет | The email subject line |
Принимайте меры на основе результатов поиска.
After you run a search in the security investigation tool, you can act on your search results. For example, you can run a search based on Gmail log events, and then use the tool to delete specific messages, send messages to quarantine, or send messages to users' inboxes. For more details about actions in the security investigation tool, go to Take action based on search results .
Управляйте своими расследованиями
Просмотрите список ваших расследований
Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования».
Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions .
Примечание: Непосредственно над списком ваших расследований, в разделе «Быстрый доступ» , you can view recently saved investigations.
Настройте параметры для ваших расследований.
As a super administrator , click Settings
к :
- Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
- Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
- Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
- Включить или выключить обоснование действий .
For instructions and details, go to Configure settings for your investigations .
Manage columns in your search results
Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.
- В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами».
. - (Optional) To remove current columns, click Remove item
. - (Optional) To add columns, next to Add new column, click the Down arrow
и выберите столбец с данными.
Повторять по мере необходимости. - (Optional) To change the order of the columns, drag the column name.
- Нажмите « Сохранить ».
Экспорт данных из результатов поиска
Результаты поиска в инструменте анализа безопасности можно экспортировать в Google Таблицы или в CSV-файл. Инструкции см. в разделе «Экспорт результатов поиска» .
Share, delete, and duplicate investigations
Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.
Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .
Когда и как долго доступны данные?
For more information about data sources, go to Data retention and lag times .
Связанные темы
- Начните расследование на основе диаграммы на панели управления.
- Создайте пользовательскую диаграмму на основе проведенного исследования.
- Начните расследование из центра оповещения.
- Расследуйте сообщения о вредоносных электронных письмах.
- Изучите вопрос обмена файлами.
- Проведите исследование пользователей по различным источникам данных.