חקירה של קובצי Cookie זמניים חשודים וטיפול בהם

אדמינים ב-Google Workspace יכולים להשתמש בהתראות באימייל כדי לקבל הודעה אם משתמשים נותקו בגלל קובצי Cookie חשודים שפועלים בסשן. חטיפת קובצי Cookie או חטיפת סשן היא גניבה של מזהה הסשן של משתמש באמצעות קובצי Cookie שנוצרו כשהוא נכנס לחשבון שלו. בכל פעם שמזוהה קובץ Cookie חשוד של סשן, הסשן מסתיים והמשתמש מתנתק מהחשבון שלו באותו סשן ובכל סשן חשוד שקשור אליו באותו מכשיר.

כשהמשתמש ינסה להיכנס שוב לאותו מכשיר, תוצג לו הודעה שבה הוא יתבקש להסיר תוכנה זדונית או תוכנה לא בטוחה. בנוסף, המשתמש צריך לעבור שלב אימות נוסף כשהוא נכנס שוב לחשבון במכשיר.

באמצעות כלי החקירה בנושא אבטחה (SIT) או כלי הביקורת והחקירה, תוכלו לזהות ניסיונות לחטוף חשבונות משתמשים באמצעות קובצי Cookie של סשנים בארגון שלכם.

שלב 1: מתחילים בחקירה

אפשרות 1: חקירת קובצי Cookie זמניים חשודים ב-SIT

התכונה הזו נתמכת במהדורות האלה: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then מרכז האבטחה ואז כלי החקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בתפריט מקור נתונים, בוחרים באפשרות אירועים ביומן של משתמשים.
  3. בתפריט הוספת תנאי, בוחרים באפשרות אירוע ומוודאים שהתנאי מוגדר לIs (ברירת המחדל).
  4. בתפריט אירוע, בוחרים באפשרות המשתמש נותק בגלל קובץ Cookie חשוד שפועל בסשן.
  5. לוחצים על חיפוש.
    תוצאות החיפוש מוצגות בתחתית הדף.

אפשרות 2: חקירה של קובצי Cookie זמניים חשודים בדף הביקורת והחקירה

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח and then ביקורת וחקירה ואז אירועים ביומן של משתמשים.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. לוחצים על הוספת מסנן ואז בוחרים באפשרות אירוע.
  3. בחלון הקופץ, מוודאים שהאופרטור בתפריט העליון מוגדר לIs (האפשרות שמוגדרת כברירת מחדל), בוחרים באפשרות User signed out due to suspicious session cookie (המשתמש יצא מהחשבון בגלל קובץ Cookie חשוד של סשן) מהתפריט התחתון ולוחצים על Apply (אישור).
  4. לוחצים על חיפוש.
    היומנים מוצגים בתחתית הדף.

שלב 2: הביצוע

בעמודה תיאור, לוחצים על קובץ Cookie חשוד של סשן כדי לפתוח את החלונית פרטי היומן. בכל יומן מופיע משתמש מושפע. פועלים עם המשתמשים המושפעים ומבצעים את השלבים להסרת תוכנות זדוניות או תוכנות לא בטוחות.

אבטחת חשבונות שנפרצו

אם יש לכם חשד שחשבון מסוים נפרץ או נחטף, אתם יכולים כאדמינים לוודא שהחשבונות של המשתמשים מאובטחים. עובדים עם המשתמשים המושפעים כדי לזהות חשבונות שנפרצו ולאבטח אותם.