Как администратор Google Workspace, вы можете использовать оповещения по электронной почте, чтобы получать уведомления о выходе пользователей из системы из-за подозрительных сессионных файлов cookie. Кража файлов cookie, или захват сессии, — это кража идентификатора сессии пользователя с использованием файлов cookie, созданных при входе в его учетную запись. При обнаружении подозрительного сессионного файла cookie сессия завершается, и пользователь выходит из своей учетной записи на протяжении этой сессии и всех связанных с ней подозрительных сессий на этом устройстве.
При попытке повторного входа в систему на том же устройстве пользователь видит сообщение с предложением удалить вредоносное или небезопасное программное обеспечение. Кроме того, при повторном входе в учетную запись на устройстве пользователю необходимо пройти дополнительную проверку.
С помощью инструмента расследования инцидентов безопасности (SIT) или инструмента аудита и расследования вы можете выявить попытки взлома учетных записей пользователей с помощью сессионных файлов cookie в вашей организации.
Шаг 1: Начните расследование
Вариант 1: Исследование подозрительных сессионных файлов cookie в SIT.
Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.В консоли администратора Google перейдите в меню.
Безопасность Центр безопасности Инструмент расследования .Для этого требуются права администратора центра безопасности .
- В меню «Источник данных» выберите «События журнала пользователя» .
- В меню «Добавить условие» выберите «Событие» и убедитесь, что условие установлено на «Является » (вариант по умолчанию).
- В меню «События» выберите пункт «Пользователь вышел из системы из-за подозрительного cookie-файла сессии» .
- Нажмите «Поиск» .
Результаты поиска отображаются внизу страницы.
Вариант 2: Проверьте подозрительные сессионные файлы cookie на странице аудита и расследования.
В консоли администратора Google перейдите в меню.
Отчетность Аудит и расследование События в журнале пользователя .Для этого необходимы права администратора по аудиту и расследованиям .
- Нажмите «Добавить фильтр» , а затем выберите «Событие» .
- Во всплывающем окне убедитесь, что в верхнем меню для оператора установлено значение " Is" (вариант по умолчанию), в нижнем меню выберите "Пользователь вышел из системы из-за подозрительного cookie-файла сессии" и нажмите "Применить" .
- Нажмите «Поиск» .
Журналы событий отображаются внизу страницы.
Шаг 2: Примите меры
В столбце «Описание» щелкните «Подозрительный cookie сеанса» , чтобы открыть панель с подробными сведениями о журнале . В каждом журнале указан затронутый пользователь. Взаимодействуйте с затронутыми пользователями и выполните шаги по удалению вредоносного или небезопасного программного обеспечения .
Защита скомпрометированных учетных записей
Если вы подозреваете, что учетная запись могла быть взломана или скомпрометирована, как администратор вы можете обеспечить безопасность учетных записей ваших пользователей. Взаимодействуйте с пострадавшими пользователями, чтобы выявить и защитить взломанные учетные записи .