Расследуйте сообщения о вредоносных электронных письмах.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.

Как администратор, вы можете обнаружить вредоносное электронное письмо, полученное несколькими пользователями вашей организации.

С помощью инструмента расследования вы можете определить всех пользователей в вашем домене, получивших сообщение (например, фишинговое письмо). Затем вы можете использовать инструмент расследования, чтобы удалить письмо из почтовых ящиков Gmail ваших пользователей (обратите внимание, что данные журнала могут стать доступны в инструменте расследования только через несколько минут).

Инструмент расследования также можно использовать для выполнения других действий, например, для пометки электронного письма как спама или фишинга, или для отправки его в почтовый ящик пользователя.

Найти и удалить вредоносные электронные письма

Шаг 1: Приступайте к расследованию.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Нажмите «Источник данных» и выберите «События журнала Gmail» .

    Примечание: События журнала Gmail доступны только в версиях Frontline Plus, Enterprise Plus и Education Plus.

  3. Нажмите «Добавить условие» .
  4. Атрибут клика а потом Т до (Конверт) .
  5. Click Contains а потом Является .
  6. В поле «Кому (Конверт)» введите имя пользователя, получившего вредоносное электронное письмо, например, user@example.com .
  7. Нажмите «Добавить условие» .
  8. Атрибут клика а потом Убедитесь , что условие установлено на "Содержит" (вариант по умолчанию).
  9. В поле «Тема» введите слова, соответствующие теме вредоносного электронного письма, например, «Танцующий Санта» .
    Слова в вашем поисковом запросе не обязательно должны точно совпадать с темой электронного письма.
  10. Нажмите «Добавить условие» .
  11. Для просмотра состояния нажмите «Дата» .
  12. Измените условие на «После» .
  13. В поле «Дата» укажите самую раннюю дату и время получения подозрительного электронного письма вашими пользователями.
  14. Нажмите «Поиск» .

Шаг 2: Просмотр и экспорт результатов поиска

После выполнения описанных выше шагов результаты поиска отобразятся в таблице внизу страницы. В таблице будут указаны дата и время отправки сообщения, идентификатор сообщения, тема, адрес электронной почты отправителя и адрес электронной почты получателя.

Чтобы экспортировать результаты поиска в папку «Мой диск», нажмите кнопку «Экспорт всех» в верхней части таблицы.

Для получения более подробной информации см. раздел «Просмотр результатов поиска в инструменте расследования» .

Шаг 3: Найдите других пользователей, которые могли получить вредоносное электронное письмо.

  1. Чтобы исключить условие «Получатель» из вышеуказанных критериев поиска, нажмите здесь.В этом случае ваш поиск будет включать только критерии «Тема» и «Дата» .
  2. Чтобы найти других пользователей, которые могли получить вредоносное электронное письмо, нажмите «Поиск» .

    Результаты поиска отображаются в таблице внизу страницы. Аналогично результатам поиска на шаге 1, таблица отображает дату и время отправки сообщения, идентификатор сообщения, тему, тип события и адрес электронной почты отправителя. Однако результаты также включают адреса электронной почты других пользователей вашей организации, получивших вредоносное письмо.
  3. Чтобы экспортировать результаты поиска в папку «Мой диск», нажмите значок «Экспорт» в верхней части таблицы.

Шаг 4: Удалите вредоносные электронные письма из почтовых ящиков ваших пользователей.

  1. В таблице внизу инструмента поиска установите флажок, чтобы выбрать все . Это автоматически отметит каждый пункт на текущей странице результатов поиска.
  2. В меню «Действия» нажмите «Удалить сообщения» .
  3. Введите обоснование для задачи удаления, например, «Предполагаемые вредоносные электронные письма».
  4. Нажмите «Удалить» .

    Это действие удаляет из почтовых ящиков пользователей сообщения, соответствующие идентификатору сообщения и владельцу (отправителю или получателю в зависимости от типа события) из выбранных событий журнала Gmail. Удаленные сообщения по-прежнему будут подлежать любым применимым правилам хранения и блокировкам, установленным в Vault (более подробную информацию о правилах хранения и блокировках см. в Справочном центре Vault ).

Примечание: Помимо удаления электронного письма, вы также можете предпринять другие действия, такие как пометка письма как спама, пометка его как фишингового сообщения или отправка в почтовый ящик пользователя.