Là quản trị viên Google Workspace, bạn có thể sử dụng cảnh báo qua email để nhận thông báo nếu người dùng bị đăng xuất do cookie đáng ngờ trong phiên truy cập. Tấn công đánh cắp cookie hoặc tấn công đánh cắp phiên là hành vi đánh cắp mã nhận dạng phiên của người dùng bằng cách sử dụng cookie được tạo khi họ đăng nhập vào tài khoản của mình. Bất cứ khi nào phát hiện thấy cookie đáng ngờ trong phiên truy cập, phiên truy cập đó sẽ bị chấm dứt và người dùng sẽ bị đăng xuất khỏi tài khoản của họ trong phiên truy cập đó cũng như mọi phiên truy cập đáng ngờ có liên quan trên thiết bị đó.
Khi người dùng cố gắng đăng nhập lại trên cùng một thiết bị, họ sẽ thấy một thông báo nhắc họ xoá phần mềm độc hại hoặc phần mềm không an toàn. Người dùng cũng phải thực hiện một bước xác minh bổ sung khi đăng nhập lại vào tài khoản trên thiết bị.
Bằng cách sử dụng công cụ điều tra bảo mật (SIT) hoặc công cụ kiểm tra và điều tra, bạn có thể xác định các hành vi xâm nhập tài khoản người dùng thông qua cookie phiên trong tổ chức của mình.
Bước 1: Bắt đầu điều tra
Cách 1: Điều tra cookie đáng ngờ của các phiên trong SIT
Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Bảo mậtTrung tâm bảo mậtCông cụ điều tra.Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.
- Trong trình đơn Nguồn dữ liệu, hãy chọn Sự kiện trong nhật ký người dùng.
- Trong trình đơn Thêm điều kiện, hãy chọn Sự kiện và đảm bảo điều kiện được đặt thành Là (lựa chọn mặc định).
- Trong trình đơn Sự kiện, hãy chọn Người dùng bị đăng xuất do cookie đáng ngờ trong phiên truy cập.
- Nhấp vào Tìm kiếm.
Kết quả tìm kiếm sẽ xuất hiện ở cuối trang.
Cách 2: Điều tra cookie đáng ngờ của các phiên trên trang kiểm tra và điều tra
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn
Báo cáoKiểm tra và điều traSự kiện trong nhật ký người dùng.Bạn phải có đặc quyền Kiểm tra và điều tra của quản trị viên.
- Nhấp vào Thêm bộ lọc, rồi chọn Sự kiện.
- Trong cửa sổ bật lên, hãy đảm bảo toán tử trong trình đơn trên cùng được đặt thành Là (lựa chọn mặc định), chọn Người dùng đã đăng xuất do cookie phiên đáng ngờ trong trình đơn dưới cùng rồi nhấp vào Áp dụng.
- Nhấp vào Tìm kiếm.
Nhật ký sẽ xuất hiện ở cuối trang.
Bước 2: Thực hiện hành động
Trong cột Description (Mô tả), hãy nhấp vào Suspicious session cookie (Cookie phiên đáng ngờ) để mở bảng Log details (Chi tiết nhật ký). Mỗi nhật ký cho biết một người dùng chịu ảnh hưởng. Làm việc với những người dùng bị ảnh hưởng và hoàn tất các bước để Xoá phần mềm độc hại hoặc phần mềm không an toàn.
Bảo mật tài khoản bị xâm nhập
Nếu nghi ngờ một tài khoản có thể bị xâm nhập hoặc chiếm đoạt, thì với tư cách là quản trị viên, bạn có thể đảm bảo rằng tài khoản của người dùng được bảo mật. Làm việc với những người dùng bị ảnh hưởng để Xác định và bảo mật tài khoản bị xâm phạm.