Investigar e tomar providências em relação a cookies de sessão suspeitos

Como administrador do Google Workspace, você pode usar alertas por e-mail para receber notificações quando um usuário for desconectado devido a cookies de sessão suspeitos. O sequestro de cookies ou de sessão consiste em roubar o ID da sessão de um usuário utilizando os cookies gerados durante o login na conta. Sempre que um cookie de sessão suspeito é detectado, a sessão é encerrada, e o usuário é desconectado da conta e de qualquer sessão suspeita relacionada no dispositivo.

Quando o usuário tentar fazer login de novo no mesmo dispositivo, será mostrada uma mensagem solicitando a remoção de malware ou software não seguro. O usuário também vai precisar passar por uma etapa extra de verificação ao fazer login na conta no mesmo dispositivo.

A ferramenta de investigação de segurança (SIT, na sigla em inglês) ou a ferramenta de auditoria e investigação servem para identificar tentativas de invasão de contas de usuários por meio de cookies de sessão na sua organização.

Etapa 1: iniciar a investigação

Opção 1: investigar cookies de sessão suspeitos no SIT

Edições compatíveis com este recurso: Frontline Standard e Frontline Plus; Enterprise Standard e Enterprise Plus; Education Standard e Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Comparar sua edição

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisCentral de segurançae depoisFerramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  2. No menu Fonte de dados, selecione Eventos de registro do usuário.
  3. No menu Adicionar condição, selecione Evento e verifique se a condição está definida como É (a opção padrão).
  4. No menu Evento, selecione Usuário desconectado devido a um cookie de sessão suspeito.
  5. Clique em Pesquisar.
    Os resultados da pesquisa são exibidos na parte de baixo da página.

Opção 2: investigar cookies de sessão suspeitos na página de auditoria e investigação

  1. No Google Admin Console, acesse Menu e depois Relatóriose depoisAuditoria e investigaçãoe depoisEventos de registro do usuário.

    Exige o privilégio de administrador Auditoria e investigação.

  2. Clique em Adicionar um filtro e selecione Evento.
  3. Na janela pop-up, verifique se o operador no menu superior está definido como É (a opção padrão). Selecione Usuário desconectado devido a um cookie de sessão suspeito no menu de baixo e clique em Aplicar.
  4. Clique em Pesquisar.
    Os registros são mostrados na parte de baixo da página.

Etapa 2: ponha a mão na massa

Na coluna Descrição, clique em Cookie de sessão suspeito para abrir o painel Detalhes de registro. Cada registro mostra um usuário afetado. Trabalhe com os usuários afetados e conclua as etapas para remover malware ou software não seguro.

Proteger contas violadas

Se você suspeita que uma conta pode ter sido violada ou invadida, como administrador, você pode garantir que a segurança das contas dos seus usuários. Colabore com os usuários afetados para identificar e proteger as contas violadas.