חקירה של קובצי Cookie זמניים חשודים וטיפול בהם

אדמינים ב-Google Workspace יכולים להשתמש בהתראות באימייל כדי לקבל הודעה אם משתמשים נותקו בגלל קובצי Cookie חשודים שפועלים בסשן. חטיפת קובצי Cookie, או חטיפת סשן, היא גניבה של מזהה הסשן של משתמש באמצעות קובצי Cookie שנוצרים כשהוא נכנס לחשבון שלו. בכל פעם שמזוהה קובץ Cookie חשוד שפועל בסשן, הסשן מסתיים והמשתמש מתנתק מהחשבון שלו בסשן הזה ובכל סשן חשוד שקשור אליו במכשיר הזה.

כשהמשתמש ינסה להיכנס שוב לאותו מכשיר, תוצג לו הודעה שבה הוא יתבקש להסיר תוכנה זדונית או תוכנה לא בטוחה. בנוסף, המשתמש צריך לעבור שלב אימות נוסף כשהוא נכנס שוב לחשבון במכשיר.

באמצעות הכלי לחקירת אבטחה (SIT) או הכלי לביקורת ולחקירה, אתם יכולים לזהות ניסיונות לחטוף חשבונות משתמשים דרך קובצי Cookie של סשנים בארגון שלכם.

שלב 1: מתחילים בחקירה

אפשרות 1: חקירת קובצי Cookie זמניים חשודים ב-SIT

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenמרכז האבטחהואזכלי החקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בתפריט מקור נתונים, בוחרים באפשרות אירועים ביומן של משתמשים.
  3. בתפריט הוספת תנאי, בוחרים באפשרות אירוע ומוודאים שהתנאי מוגדר להוא (אפשרות ברירת המחדל).
  4. בתפריט אירוע, בוחרים באפשרות המשתמש נותק בגלל קובץ Cookie חשוד שפועל בסשן.
  5. לוחצים על חיפוש.
    תוצאות החיפוש מוצגות בתחתית הדף.

אפשרות 2: חקירה של קובצי Cookie זמניים חשודים בדף הביקורת והחקירה

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווחand thenביקורת וחקירהואזאירועים ביומן משתמשים.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. לוחצים על הוספת מסנן ואז בוחרים באפשרות אירוע.
  3. בחלון הקופץ, מוודאים שהאופרטור בתפריט העליון מוגדר לIs (ברירת המחדל), בוחרים באפשרות User signed out due to suspicious session cookie (המשתמש התנתק בגלל קובץ Cookie של סשן חשוד) מהתפריט התחתון ולוחצים על Apply (החלה).
  4. לוחצים על חיפוש.
    היומנים מוצגים בתחתית הדף.

שלב 2: הביצוע

בעמודה תיאור, לוחצים על קובץ Cookie של סשן חשוד כדי לפתוח את החלונית פרטי יומן. בכל יומן מופיע משתמש מושפע. עובדים עם המשתמשים שמושפעים ומשלימים את השלבים להסרת תוכנות זדוניות או תוכנות לא בטוחות.

אבטחת חשבונות שנפרצו

אם אתם חושדים שחשבון מסוים נפרץ או נחטף, אתם יכולים כאדמינים לוודא שהחשבונות של המשתמשים מאובטחים. עובדים עם המשתמשים המושפעים כדי לזהות ולאבטח חשבונות שנפרצו.