חקירה של דוחות על הודעות אימייל זדוניות

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין המהדורות

אדמינים יכולים לגלות אימייל זדוני שמשתמשים רבים בארגון קיבלו.

באמצעות כלי החקירה, אתם יכולים לזהות את כל המשתמשים בדומיין שקיבלו את ההודעה (לדוגמה, אימייל פישינג). לאחר מכן, אתם יכולים להשתמש בכלי החקירה כדי למחוק את האימייל מתיבות הדואר הנכנס של המשתמשים ב-Gmail (שימו לב שנתוני היומן עשויים להיות זמינים בכלי החקירה רק אחרי כמה דקות).

אפשר גם להשתמש בכלי החקירה כדי לבצע פעולות אחרות, כמו סימון אימייל כספאם או פישינג או שליחתו לתיבת הדואר הנכנס של המשתמש.

איך מוצאים ומוחקים אימיילים זדוניים

שלב 1: מתחילים את הבדיקה

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Gmail.

    הערה: אירועים ביומן של Gmail זמינים רק במהדורות Frontline Plus,‏ Enterprise Plus ו-Education Plus.

  3. לוחצים על הוספת תנאי.
  4. לוחצים על מאפיין ואז אל (מעטפה).
  5. לוחצים על Contains (מכיל) ואז Is (הוא).
  6. בקטע To (Envelope) (אל (מעטפה)), מזינים את שם המשתמש שקיבל את האימייל הזדוני – לדוגמה, user@example.com.
  7. לוחצים על הוספת תנאי.
  8. לוחצים על מאפיין ואז נושא ומוודאים שהתנאי מוגדר למכיל (אפשרות ברירת המחדל).
  9. בשדה נושא, מזינים מילים שתואמות לנושא של האימייל הזדוני – לדוגמה, סנטה קלאוס רוקד.
    המילים בחיפוש לא צריכות להיות זהות לנושא של האימייל.
  10. לוחצים על הוספת תנאי.
  11. בקטע תנאי, לוחצים על תאריך.
  12. משנים את התנאי לאחרי.
  13. בשדה תאריך, מזינים את התאריך והשעה המוקדמים ביותר שבהם המשתמשים קיבלו את האימייל החשוד.
  14. לוחצים על חיפוש.

שלב 2: צפייה בתוצאות החיפוש וייצוא שלהן

אחרי שמסיימים את השלבים שלמעלה, תוצאות החיפוש מוצגות בטבלה בתחתית הדף. בטבלה מוצגים התאריך והשעה שבהם ההודעה נשלחה, מזהה ההודעה, הנושא, כתובת האימייל של השולח וכתובת האימייל של הנמען.

כדי לייצא את תוצאות החיפוש האלה לתיקייה 'האחסון שלי', לוחצים על ייצוא של הכול בחלק העליון של הטבלה.

פרטים נוספים מופיעים במאמר בנושא הצגת תוצאות חיפוש בכלי לחקירת אבטחה.

שלב 3: חיפוש משתמשים אחרים שאולי קיבלו את האימייל הזדוני

  1. כדי להסיר את התנאי נמען מקריטריוני החיפוש שלמעלה, לוחצים על . החיפוש יכלול רק את הקריטריונים נושא ותאריך.
  2. כדי לחפש משתמשים אחרים שאולי קיבלו את האימייל הזדוני, לוחצים על חיפוש.

    תוצאות החיפוש מוצגות בטבלה בחלק התחתון של הדף. בדומה לתוצאות החיפוש בשלב 1 שלמעלה, בטבלה מוצגים התאריך והשעה שבהם ההודעה נשלחה, מזהה ההודעה, הנושא, סוג האירוע וכתובת האימייל של השולח. עם זאת, התוצאות כוללות גם את כתובות האימייל של משתמשים אחרים בארגון שקיבלו את האימייל הזדוני.
  3. כדי לייצא את תוצאות החיפוש האלה לתיקייה 'האחסון שלי', לוחצים על סמל הייצוא בחלק העליון של הטבלה.

שלב 4: מחיקת האימיילים הזדוניים מתיבות הדואר הנכנס של המשתמשים

  1. בטבלה שבתחתית כלי החקירה, לוחצים על תיבת הסימון כדי לבחור את הכול. כך מסומנות באופן אוטומטי כל התיבות בדף הנוכחי של תוצאות החיפוש.
  2. בתפריט פעולות, לוחצים על מחיקת הודעות.
  3. מקלידים הצדקה למחיקת המשימה, למשל 'חשד לאימיילים זדוניים'.
  4. לוחצים על מחיקה.

    הפעולה הזו מוחקת מתיבות הדואר הנכנס של משתמשים הודעות שתואמות את מזהה ההודעה ואת הבעלים, את השולח או את המקבל, בהתאם לסוג האירוע ובהתאם לאירועי היומן שנבחרו ב-Gmail. ההודעות שנמחקו יהיו עדיין כפופות לכל הכללים הרלוונטיים הנוגעים לשמירה ולהחזקה לצורך משפטי שנקבעו ב-Vault (פרטים נוספים על כללי שמירה והחזקה לצורך משפטי זמינים במרכז העזרה של Vault).

הערה: בנוסף למחיקת אימייל, יש לכם גם אפשרות לבצע פעולות אחרות, כמו סימון האימייל כספאם, סימון האימייל כפישינג או שליחת האימייל לתיבת הדואר הנכנס של המשתמש.