Investigar relatórios de e-mails maliciosos

Ferramenta de investigação de segurança

Edições compatíveis com este recurso: Frontline Plus, Enterprise Plus, Education Standard e Education Plus. Comparar sua edição

Como administrador, você pode receber um aviso sobre um e-mail malicioso que vários usuários da sua organização receberam.

Com a ferramenta de investigação, você identifica todos os usuários no seu domínio que receberam a mensagem (por exemplo, um e-mail de phishing). Depois disso, use essa ferramenta para apagar o e-mail das Caixas de entrada do Gmail dos usuários. Os dados de registro podem levar alguns minutos para aparecer na ferramenta de investigação.

Você também pode usar a ferramenta de investigação para outras ações, como marcar um e-mail como spam ou phishing ou enviá-lo para a caixa de entrada de um usuário.

Encontrar e excluir e-mails maliciosos

Etapa 1: começar sua investigação

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Central de segurança e depois Ferramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  2. Clique em Fonte de dados e selecione Eventos de registro do Gmail.

    Observação:os eventos de registro do Gmail estão disponíveis apenas nas edições Frontline Plus, Enterprise Plus e Education Plus.

  3. Clique em Adicionar condição.
  4. Clique em Atributo e depois To (Envelope).
  5. Clique em Contém e depois É.
  6. Em Para (envelope), digite o nome de usuário que recebeu o e-mail malicioso, por exemplo, user@example.com.
  7. Clique em Adicionar condição.
  8. Clique em Atributo e depois Assunto e verifique se a condição está definida como Contém (a opção padrão).
  9. Em Assunto, digite palavras que correspondam ao assunto do e-mail malicioso, por exemplo, Papai Noel dançante.
    As palavras na sua pesquisa não precisam corresponder exatamente ao assunto do e-mail.
  10. Clique em Adicionar condição.
  11. Em Condição, clique em Data.
  12. Mude a condição para Depois.
  13. Em Data, digite a data e a hora mais antigas em que o e-mail suspeito foi recebido pelos usuários.
  14. Clique em Pesquisar.

Etapa 2: ver e exportar os resultados da pesquisa

Depois que você concluir as etapas acima, os resultados da pesquisa vão aparecer em uma tabela na parte de baixo da página. A tabela mostra a data e a hora em que a mensagem foi enviada, o código da mensagem, o assunto, o endereço de e-mail do remetente e o endereço de e-mail do destinatário.

Se você quiser exportar esses resultados da pesquisa para a pasta "Meu Drive", clique em Exportar tudo na parte de cima da tabela.

Saiba mais detalhes em Ver os resultados da pesquisa na ferramenta de investigação.

Etapa 3: pesquisar outros usuários que podem ter recebido o e-mail malicioso

  1. Para remover a condição Destinatário dos critérios de pesquisa acima, clique em . Sua pesquisa incluirá apenas os critérios Assunto e Data.
  2. Para saber se outros usuários receberam o e-mail malicioso, clique em Pesquisar.

    Os resultados da pesquisa aparecem em uma tabela na parte de baixo da página. Assim como os resultados da pesquisa na etapa 1 acima, a tabela mostra a data e a hora em que a mensagem foi enviada, o código da mensagem, o assunto, o tipo de evento e o endereço de e-mail do remetente. No entanto, os resultados também incluem os endereços de e-mail de outros usuários na sua organização que receberam o e-mail nocivo.
  3. Se você quiser exportar esses resultados da pesquisa para a pasta "Meu Drive", clique no ícone Exportar na parte de cima da tabela.

Etapa 4: excluir os e-mails maliciosos das caixas de entrada dos seus usuários

  1. Na tabela na parte de baixo da ferramenta de investigação, clique na caixa de seleção para selecionar tudo. Isso marca automaticamente todas as caixas na página dos resultados da pesquisa.
  2. No menu Ações, clique em Excluir mensagens.
  3. Digite uma justificativa para a tarefa de exclusão, por exemplo,"E-mails suspeitos maliciosos"
  4. Clique em Excluir.

    Essa ação exclui das Caixas de entrada dos usuários as mensagens que têm o mesmo proprietário e código da mensagem, remetente ou destinatário, dependendo do tipo de evento, correspondendo aos eventos selecionados no registro do Gmail. As mensagens apagadas ainda estarão sujeitas às regras de retenção e às guardas de documentos definidas no Vault. Veja mais detalhes na Central de Ajuda do Vault.

Observação:além de apagar um e-mail, você também pode realizar outras ações, por exemplo, marcar o e-mail como spam ou phishing ou enviá-lo para a caixa de entrada de um usuário.