Esaminare i cookie di sessione sospetti e intervenire di conseguenza

In qualità di amministratore di Google Workspace, puoi utilizzare gli avvisi via email per ricevere una notifica se gli utenti si sono disconnessi a causa di cookie di sessione sospetti. La compromissione tramite furto di cookie, o dirottamento di sessione, consiste nel sottrarre l'ID sessione di un utente utilizzando i cookie generati quando quest'ultimo accede al proprio account. Ogni volta che viene rilevato un cookie di sessione sospetto, la sessione viene interrotta e l'utente viene disconnesso dal proprio account per quella sessione e tutte le sessioni sospette correlate sul dispositivo.

Quando l'utente tenta di accedere di nuovo sullo stesso dispositivo, viene visualizzato un messaggio che lo invita a rimuovere malware o software non sicuro. L'utente deve inoltre eseguire un passaggio di verifica aggiuntivo quando accede di nuovo all'account sul dispositivo.

Utilizzando lo strumento di indagine sulla sicurezza (SIT) o lo strumento di controllo e indagine, puoi identificare i tentativi da parte di utenti malintenzionati di assumere il controllo degli account utente tramite i cookie di sessione nella tua organizzazione.

Passaggio 1: avvia l'indagine

Opzione 1: esamina i cookie di sessione sospetti nello strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiCentro sicurezzae poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Nel menu Origine dati, seleziona Eventi dei log utente.
  3. Dal menu Aggiungi condizione, seleziona Evento e assicurati che la condizione sia impostata su È (l'opzione predefinita).
  4. Dal menu Evento, seleziona L'utente è stato disconnesso a causa di un cookie di sessione sospetto.
  5. Fai clic su Cerca.
    I risultati di ricerca sono visualizzati nella parte inferiore della pagina.

Opzione 2: esamina i cookie di sessione sospetti nella pagina di controllo e indagine

  1. Nella Console di amministrazione Google, vai a Menu e poi Reporte poiControllo e indaginee poiEventi del log utente.

    È necessario disporre del privilegio amministrativo Controllo e indagine.

  2. Fai clic su Aggiungi un filtro, poi seleziona Evento.
  3. Nella finestra popup, assicurati che l'operatore nel menu in alto sia impostato su È (opzione predefinita), seleziona L'utente è stato disconnesso a causa di un cookie di sessione sospetto dal menu in basso e fai clic su Applica.
  4. Fai clic su Cerca.
    I log vengono visualizzati nella parte inferiore della pagina.

Passaggio 2: intervieni

Nella colonna Descrizione, fai clic su Cookie di sessione sospetto per aprire il riquadro Dettagli log. Ogni log mostra un utente interessato. Collabora con gli utenti interessati e completa i passaggi per rimuovere malware o software non sicuro.

Proteggere gli account compromessi

Se sospetti che un account sia stato compromesso o violato, in qualità di amministratore puoi assicurarti che gli account dei tuoi utenti siano protetti. Collabora con gli utenti interessati per identificare e proteggere gli account compromessi.