Onderzoek verdachte sessiecookies en neem actie.

Als beheerder van Google Workspace kunt u e-mailwaarschuwingen gebruiken om u te laten weten wanneer gebruikers worden uitgelogd vanwege verdachte sessiecookies. Cookiediefstal, ofwel sessiekaping, is het stelen van de sessie-ID van een gebruiker met behulp van cookies die worden gegenereerd wanneer de gebruiker zich aanmeldt bij zijn of haar account. Wanneer een verdachte sessiecookie wordt gedetecteerd, wordt de sessie beëindigd en wordt de gebruiker uitgelogd voor die sessie en alle gerelateerde verdachte sessies op dat apparaat.

Wanneer de gebruiker probeert opnieuw in te loggen op hetzelfde apparaat, verschijnt er een bericht waarin hij of zij wordt gevraagd malware of onveilige software te verwijderen. De gebruiker moet ook een extra verificatiestap uitvoeren bij het opnieuw inloggen op het account op het apparaat.

Met behulp van de beveiligingsonderzoekstool (SIT) of de audit- en onderzoekstool kunt u pogingen tot het kapen van gebruikersaccounts via sessiecookies binnen uw organisatie opsporen.

Stap 1: Begin je onderzoek

Optie 1: Onderzoek verdachte sessiecookies in SIT

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Selecteer in het menu 'Gegevensbron' de optie 'Gebruikerslogboekgebeurtenissen' .
  3. In het menu 'Voorwaarde toevoegen' selecteert u 'Gebeurtenis' en zorgt u ervoor dat de voorwaarde is ingesteld op 'Is' (de standaardoptie).
  4. Selecteer in het menu 'Gebeurtenis' de optie 'Gebruiker afgemeld vanwege verdachte sessiecookie' .
  5. Klik op Zoeken .
    De zoekresultaten worden onderaan de pagina weergegeven.

Optie 2: Onderzoek verdachte sessiecookies op de pagina voor audits en onderzoek.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Gebruikerslogboekgebeurtenissen .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Klik op 'Een filter toevoegen' en selecteer vervolgens 'Evenement' .
  3. Zorg ervoor dat in het pop-upvenster de operator in het bovenste menu is ingesteld op 'Is' (de standaardoptie), selecteer 'Gebruiker afgemeld vanwege verdachte sessiecookie' in het onderste menu en klik op 'Toepassen' .
  4. Klik op Zoeken .
    De logboeken worden onderaan de pagina weergegeven.

Stap 2: Kom in actie

Klik in de kolom Beschrijving op Verdachte sessiecookie om het paneel met loggegevens te openen. Elk logboek toont een getroffen gebruiker. Werk samen met de getroffen gebruikers en voltooi de stappen om malware of onveilige software te verwijderen .

Beveilig gecompromitteerde accounts

Als u vermoedt dat een account mogelijk is gehackt of overgenomen, kunt u als beheerder ervoor zorgen dat de accounts van uw gebruikers veilig zijn. Werk samen met de getroffen gebruikers om gehackte accounts te identificeren en te beveiligen .