Onderzoek meldingen van kwaadwillende e-mails.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Plus; Education Standard en Education Plus. Vergelijk uw editie.

Als beheerder kunt u op de hoogte raken van een kwaadwillende e-mail die meerdere gebruikers binnen uw organisatie hebben ontvangen.

Met de onderzoekstool kunt u alle gebruikers in uw domein identificeren die het bericht (bijvoorbeeld een phishing-e-mail) hebben ontvangen. Vervolgens kunt u de onderzoekstool gebruiken om de e-mail uit de Gmail-inboxen van uw gebruikers te verwijderen (houd er rekening mee dat het enkele minuten kan duren voordat de loggegevens beschikbaar zijn in de onderzoekstool).

Je kunt de onderzoekstool ook gebruiken om andere acties uit te voeren, zoals een e-mail markeren als spam of phishing, of deze naar de inbox van de gebruiker sturen.

Schadelijke e-mails opsporen en verwijderen

Stap 1: Begin met je onderzoek.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Gmail-logboekgebeurtenissen .

    Let op: Gmail-logboekgebeurtenissen zijn alleen beschikbaar in de Frontline Plus-, Enterprise Plus- en Education Plus-edities.

  3. Klik op Voorwaarde toevoegen .
  4. Klikkenmerk en dan T o (Envelop) .
  5. Klik bevat en dan Is .
  6. Voer bij 'Aan (Envelop) ' de gebruikersnaam in van de ontvanger van de schadelijke e-mail, bijvoorbeeld user@example.com .
  7. Klik op Voorwaarde toevoegen .
  8. Klikkenmerk en dan Onderwerp en zorg ervoor dat de voorwaarde is ingesteld op 'Bevat' (de standaardoptie).
  9. Voer bij Onderwerp woorden in die overeenkomen met het onderwerp van de kwaadwillende e-mail, bijvoorbeeld Dansende Kerstman .
    De woorden in je zoekopdracht hoeven niet exact overeen te komen met het onderwerp van de e-mail.
  10. Klik op Voorwaarde toevoegen .
  11. Voor de conditie , klik op Datum .
  12. Wijzig de voorwaarde naar Na .
  13. Voer bij Datum de vroegste datum en tijd in waarop uw gebruikers de verdachte e-mail hebben ontvangen.
  14. Klik op Zoeken .

Stap 2: Bekijk en exporteer de zoekresultaten

Nadat u de bovenstaande stappen hebt voltooid, worden de zoekresultaten in een tabel onderaan de pagina weergegeven. De tabel toont de datum en tijd waarop het bericht is verzonden, de bericht-ID, het onderwerp, het e-mailadres van de afzender en het e-mailadres van de ontvanger.

Om deze zoekresultaten naar uw map Mijn Drive te exporteren, klikt u bovenaan de tabel op Alles exporteren .

Zie voor meer informatie ' Zoekresultaten bekijken in de onderzoekstool' .

Stap 3: Zoek naar andere gebruikers die mogelijk de schadelijke e-mail hebben ontvangen.

  1. Om de voorwaarde 'Ontvanger ' uit de bovenstaande zoekcriteria te verwijderen, klikt u hier. Uw zoekopdracht zal dan alleen de criteria Onderwerp en Datum bevatten.
  2. Om te zoeken naar andere gebruikers die mogelijk de schadelijke e-mail hebben ontvangen, klikt u op Zoeken .

    De zoekresultaten worden weergegeven in een tabel onderaan de pagina. Net als bij de zoekresultaten in stap 1 hierboven, toont de tabel de datum en tijd waarop het bericht is verzonden, de bericht-ID, het onderwerp, het gebeurtenistype en het e-mailadres van de afzender. De resultaten bevatten echter ook de e-mailadressen van andere gebruikers binnen uw organisatie die de schadelijke e-mail hebben ontvangen.
  3. Om deze zoekresultaten naar uw map Mijn Drive te exporteren, klikt u op het exportpictogram bovenaan de tabel.

Stap 4: Verwijder de schadelijke e-mails uit de inboxen van uw gebruikers.

  1. Klik in de tabel onderaan de zoektool op het selectievakje om alles te selecteren . Hierdoor worden alle vakjes op de huidige pagina met zoekresultaten automatisch aangevinkt.
  2. Klik in het menu 'Acties' op 'Berichten verwijderen' .
  3. Geef een reden op voor de verwijderingstaak, bijvoorbeeld: "Verdachte kwaadwillende e-mails."
  4. Klik op Verwijderen .

    Deze actie verwijdert berichten uit de inbox van gebruikers die overeenkomen met de bericht-ID en de eigenaar (afzender of ontvanger, afhankelijk van het type gebeurtenis) die corresponderen met de geselecteerde Gmail-logboekgebeurtenissen. Verwijderde berichten blijven onderworpen aan eventuele bewaarregels en blokkeringen die in Vault zijn ingesteld (zie het Helpcentrum van Vault voor meer informatie over bewaarregels en blokkeringen).

Let op: naast het verwijderen van een e-mail heb je ook de mogelijkheid om andere acties uit te voeren, zoals de e-mail markeren als spam, markeren als phishing of doorsturen naar de inbox van de gebruiker.