Badanie podejrzanych plików cookie sesji i podejmowanie odpowiednich działań

Jako administrator Google Workspace możesz otrzymywać alerty e-mail informujące o wylogowaniu użytkowników z powodu podejrzanych plików cookie sesji. Włamanie przy użyciu pliku cookie (nazywane również przechwyceniem sesji) polega na kradzieży identyfikatora sesji użytkownika za pomocą plików cookie generowanych, gdy użytkownik loguje się na swoje konto. Po wykryciu podejrzanego pliku cookie sesji następuje zakończenie sesji oraz wylogowanie użytkownika z jego konta w zakresie tej sesji i wszystkich podejrzanych sesji na danym urządzeniu.

Jeśli użytkownik spróbuje ponownie zalogować się na tym samym urządzeniu, zobaczy komunikat z prośbą o usunięcie złośliwego lub niebezpiecznego oprogramowania. Podczas ponownego logowania się na konto na tym urządzeniu użytkownik musi też wykonać dodatkowy etap weryfikacji.

Za pomocą narzędzia do analizy zagrożeń oraz narzędzia do kontroli i analizy zagrożeń możesz wykrywać próby przejęcia kont użytkowników w organizacji za pomocą plików cookie sesji.

Krok 1. Rozpocznij analizę zagrożeń

Opcja 1. Zbadaj podejrzane pliki cookie sesji w narzędziu do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemCentrum bezpieczeństwaa potemNarzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W menu Źródło danych wybierz Zdarzenia w dzienniku użytkownika.
  3. W menu Dodaj warunek wybierz Zdarzenie i sprawdź, czy warunek jest ustawiony na Jest (opcja domyślna).
  4. W menu Zdarzenie wybierz Użytkownik został wylogowany z powodu podejrzanego pliku cookie sesji.
  5. Kliknij Szukaj.
    Wyniki wyszukiwania są wyświetlane na dole strony.

Opcja 2. Zbadaj podejrzane pliki cookie sesji na stronie kontroli i analizy zagrożeń

  1. W konsoli administracyjnej Google otwórz Menu a potem Raportowaniea potemKontrola i analiza zagrożeńa potemZdarzenia z dziennika użytkownika.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Kliknij Dodaj filtr, a następnie wybierz Zdarzenie.
  3. W wyskakującym okienku sprawdź, czy operator w górnym menu jest ustawiony na Jest (opcja domyślna), a następnie w dolnym menu wybierz Użytkownik został wylogowany z powodu podejrzanego pliku cookie sesji i kliknij Zastosuj.
  4. Kliknij Szukaj.
    Logi pojawią się na dole strony.

Krok 2. Podejmij działania

W kolumnie Opis kliknij Podejrzany plik cookie sesji, aby otworzyć panel Szczegóły dziennika. Każdy dziennik zawiera informacje o użytkowniku, u którego wystąpił problem. Pomóż użytkownikom, których dotyczy ten problem, wykonać czynności opisane w artykule Usuwanie złośliwego lub niebezpiecznego oprogramowania.

Zabezpieczanie przejętych kont

Jeśli podejrzewasz, że konto zostało przejęte lub zhakowane, jako administrator możesz zapewnić bezpieczeństwo kont użytkowników. Razem z użytkownikami, u których wystąpił problem, wykryj i zabezpiecz przejęte konta.