חקירה של דוחות על הודעות אימייל זדוניות

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

אדמינים יכולים לגלות אימייל זדוני שמשתמשים רבים בארגון קיבלו.

באמצעות כלי החקירה, אפשר לזהות את כל המשתמשים בדומיין שקיבלו את ההודעה (לדוגמה, אימייל פישינג). לאחר מכן תוכלו להשתמש בכלי החקירה כדי למחוק את האימייל מתיבות הדואר הנכנס של המשתמשים ב-Gmail (שימו לב: יכול להיות שיעברו כמה דקות עד שנתוני היומן יהיו זמינים בכלי החקירה).

אפשר גם להשתמש בכלי החקירה כדי לבצע פעולות אחרות, כמו סימון אימייל כספאם או פישינג או שליחתו לתיבת הדואר הנכנס של המשתמש.

איך מוצאים ומוחקים אימיילים זדוניים

שלב 1: מתחילים את הבדיקה

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then מרכז האבטחה ואז כלי החקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Gmail.

    הערה: אירועים ביומן של Gmail זמינים רק במהדורות Frontline Plus,‏ Enterprise Plus ו-Education Plus.

  3. לוחצים על Add Condition.
  4. לוחצים על מאפיין ואז אל (מעטפה).
  5. לוחצים על Contains (מכיל) ואז Is (הוא).
  6. ב-To (Envelope) (אל (מעטפה)), מזינים את שם המשתמש שקיבל את האימייל הזדוני – לדוגמה, user@example.com.
  7. לוחצים על Add Condition.
  8. לוחצים על מאפיין ואז נושא ומוודאים שהתנאי מוגדר למכיל (אפשרות ברירת המחדל).
  9. בקטע נושא, מזינים מילים שמתאימות לנושא של האימייל הזדוני – לדוגמה, Dancing Santa.
    המילים בחיפוש לא צריכות להיות התאמה מדויקת לנושא של האימייל.
  10. לוחצים על Add Condition.
  11. בקטע תנאי, לוחצים על תאריך.
  12. משנים את התנאי לאחרי.
  13. בשדה תאריך, מזינים את התאריך והשעה המוקדמים ביותר שבהם המשתמשים קיבלו את האימייל החשוד.
  14. לוחצים על חיפוש.

שלב 2: צפייה בתוצאות החיפוש וייצוא שלהן

אחרי שמסיימים את השלבים שלמעלה, תוצאות החיפוש מוצגות בטבלה בחלק התחתון של הדף. בטבלה מוצגים התאריך והשעה שבהם ההודעה נשלחה, מזהה ההודעה, הנושא, כתובת האימייל של השולח וכתובת האימייל של הנמען.

כדי לייצא את תוצאות החיפוש האלה לתיקייה 'האחסון שלי', לוחצים על ייצוא של הכול בחלק העליון של הטבלה.

פרטים נוספים זמינים במאמר בנושא הצגת תוצאות חיפוש בכלי החקירה.

שלב 3: חיפוש משתמשים אחרים שאולי קיבלו את האימייל הזדוני

  1. כדי להסיר את התנאי נמען מקריטריוני החיפוש שלמעלה, לוחצים על . החיפוש יכלול רק את הקריטריונים נושא ותאריך.
  2. כדי לחפש משתמשים אחרים שאולי קיבלו את האימייל הזדוני, לוחצים על חיפוש.

    תוצאות החיפוש מוצגות בטבלה בחלק התחתון של הדף. בדומה לתוצאות החיפוש בשלב 1 שלמעלה, בטבלה מוצגים התאריך והשעה שבהם ההודעה נשלחה, מזהה ההודעה, הנושא, סוג האירוע וכתובת האימייל של השולח. עם זאת, התוצאות כוללות גם את כתובות האימייל של משתמשים אחרים בארגון שקיבלו את האימייל הזדוני.
  3. כדי לייצא את תוצאות החיפוש האלה לתיקייה 'האחסון שלי', לוחצים על סמל הייצוא בחלק העליון של הטבלה.

שלב 4: מחיקת האימיילים הזדוניים מתיבות הדואר הנכנס של המשתמשים

  1. בטבלה בחלק התחתון של הכלי לחקירה, לוחצים על תיבת הסימון כדי לבחור את כל השורות. הפעולה הזו מסמנת אוטומטית את כל התיבות בדף הנוכחי של תוצאות החיפוש.
  2. בתפריט פעולות, לוחצים על מחיקת הודעות.
  3. מקלידים הצדקה למחיקת המשימה, למשל 'אימיילים חשודים עם תוכן זדוני'.
  4. לוחצים על מחיקה.

    הפעולה הזו מוחקת מתיבות הדואר הנכנס של משתמשים הודעות שתואמות את מזהה ההודעה ואת הבעלים, את השולח או את המקבל, בהתאם לסוג האירוע ובהתאם לאירועי היומן שנבחרו ב-Gmail. ההודעות שנמחקו יהיו עדיין כפופות לכל הכללים הרלוונטיים הנוגעים לשמירה ולהחזקה לצורך משפטי שנקבעו ב-Vault (פרטים נוספים על כללי שמירה והחזקה לצורך משפטי זמינים במרכז העזרה של Vault).

הערה: בנוסף למחיקת אימייל, יש לכם גם אפשרות לבצע פעולות אחרות, כמו סימון האימייל כספאם, סימון האימייל כפישינג או שליחת האימייל לתיבת הדואר הנכנס של המשתמש.