如果使用者因可疑的工作階段 Cookie 而登出,Google Workspace 管理員可以傳送電子郵件快訊通知使用者。Cookie 竊取 (或稱工作階段駭客) 行為,指的是透過使用者登入帳戶時產生的 Cookie,竊取使用者的工作階段 ID。只要偵測到可疑的工作階段 Cookie,系統就會終止該工作階段,並將使用者從該工作階段和裝置上任何相關的可疑工作階段登出。
當使用者嘗試在同一部裝置上重新登入,系統會顯示訊息,提示他們移除惡意或不安全的軟體。使用者在裝置上重新登入時,還必須執行額外的驗證步驟。
您可以使用安全調查工具 (SIT) 或稽核與調查工具,找出嘗試透過貴機構工作階段 Cookie 入侵使用者帳戶的行為。
步驟 1:開始調查
選項 1:調查 SIT 中可疑的工作階段 Cookie
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「安全中心」「調查工具」。必須具備安全中心管理員權限。
- 在「資料來源」選單中,選取「使用者記錄事件」。
- 在「新增條件」選單中選取「事件」,並確認條件已設為「是」 (預設選項)。
- 在「事件」選單中,選取「使用者因可疑的工作階段 Cookie 而登出」。
- 按一下「搜尋」。
搜尋結果會顯示在頁面底部。
選項 2:在「稽核與調查」頁面中調查可疑的工作階段 Cookie
-
在 Google 管理控制台中,依序點選「選單」圖示
「報告」「稽核與調查」「使用者記錄事件」。必須具備稽核與調查管理員權限。
- 按一下「新增篩選器」,然後選取「事件」。
- 在彈出式視窗中,確認頂端選單中的運算子已設為「是」 (預設選項),選取底部選單的「使用者因可疑的工作階段 Cookie 而登出」,然後點選「套用」。
- 按一下「搜尋」。
記錄會顯示在頁面底部。
步驟 2:採取行動
按一下「說明」欄中「可疑的工作階段 Cookie」,開啟「記錄」詳細資料窗格。每則記錄都會顯示受影響的使用者。請與受影響的使用者合作,完成「移除惡意軟體或不安全的軟體」步驟。
針對遭盜用的帳戶採取安全保護措施
如果您懷疑某個帳戶可能遭到入侵或盜用,可以透過管理員身分確保使用者帳戶安全。請與受影響的使用者合作,找出遭盜用的帳戶並採取安全保護措施。