חקירה של קובצי Cookie זמניים חשודים וטיפול בהם

אדמינים ב-Google Workspace יכולים להשתמש בהתראות באימייל כדי לקבל הודעה אם משתמשים נותקו בגלל קובצי Cookie חשודים שפועלים בסשן. חטיפת קובצי Cookie, או חטיפת סשן, היא גניבה של מזהה הסשן של משתמש באמצעות קובצי Cookie שנוצרים כשהוא נכנס לחשבון שלו. בכל פעם שמזוהה קובץ Cookie חשוד של סשן, הסשן מסתיים והמשתמש מתנתק מהחשבון שלו באותו סשן ובכל סשן חשוד שקשור אליו באותו מכשיר.

כשהמשתמש ינסה להיכנס שוב לאותו מכשיר, תוצג לו הודעה שבה הוא יתבקש להסיר תוכנה זדונית או תוכנה לא בטוחה. בנוסף, המשתמש צריך לעבור שלב אימות נוסף כשהוא נכנס שוב לחשבון במכשיר.

באמצעות כלי החקירה בנושא אבטחה (SIT) או כלי הביקורת והחקירה, תוכלו לזהות ניסיונות לחטיפת חשבונות משתמשים באמצעות קובצי Cookie של סשנים בארגון שלכם.

שלב 1: מתחילים בחקירה

אפשרות 1: חקירת קובצי Cookie זמניים חשודים ב-SIT

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בתפריט מקור נתונים, בוחרים באפשרות אירועים ביומן של משתמשים.
  3. בתפריט הוספת תנאי, בוחרים באפשרות אירוע ומוודאים שהתנאי מוגדר להוא (אפשרות ברירת המחדל).
  4. בתפריט אירוע, בוחרים באפשרות המשתמש נותק בגלל קובץ Cookie חשוד שפועל בסשן.
  5. לוחצים על חיפוש.
    תוצאות החיפוש מוצגות בתחתית הדף.

אפשרות 2: חקירת קובצי Cookie חשודים של סשנים בדף הביקורת והחקירה

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז ביקורת וחקירה ואז אירועים ביומן המשתמש.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. לוחצים על הוספת מסנן ואז בוחרים באפשרות אירוע.
  3. בחלון הקופץ, מוודאים שהאופרטור בתפריט העליון מוגדר לIs (ברירת המחדל), בוחרים באפשרות User signed out due to suspicious קובץ Cookie זמני של סשן מהתפריט התחתון ולוחצים על Apply.
  4. לוחצים על חיפוש.
    היומנים מוצגים בתחתית הדף.

שלב 2: יוצרים קמפיינים

בעמודה תיאור, לוחצים על קובץ Cookie זמני של סשן חשוד כדי לפתוח את החלונית פרטי היומן. בכל יומן מופיע משתמש מושפע. פועלים עם המשתמשים המושפעים ומבצעים את השלבים להסרת תוכנות זדוניות או תוכנות לא בטוחות.

אבטחת חשבונות שנפרצו

אם אתם חושדים שחשבון מסוים נפרץ או נחטף, אתם יכולים כאדמינים לוודא שהחשבונות של המשתמשים מאובטחים. עובדים עם המשתמשים המושפעים כדי לזהות חשבונות שנפרצו ולאבטח אותם.