Éditions compatibles avec cette fonctionnalité : Frontline Plus, Enterprise Plus, Education Standard et Education Plus. Comparer votre édition
En tant qu'administrateur Google Workspace, vous pouvez renforcer la sécurité de votre domaine en réagissant rapidement à de nombreuses alertes du centre d'alerte. Pour ce faire, accédez à la section Actions recommandées de la page "Détails de l'alerte".
Par exemple, si vous recevez une alerte Spoofing potentiel des collaborateurs dans Gmail, accédez à la section Actions recommandées, puis cliquez sur Marquer comme hameçonnage pour déplacer les messages vers le dossier "Spam" de vos utilisateurs. Vous pouvez également bloquer un appareil lorsque vous recevez une alerte Appareil dont la sécurité est compromise.
Utiliser les actions recommandées
-
Dans la console d'administration Google, accédez à Menu
SécuritéCentre d'alerte.Pour cette tâche, vous devez être connecté en tant que super-administrateur.
- Cliquez sur l'un des éléments de la page pour ouvrir la page Détails de l'alerte.
- Dans la section Action recommandée, cliquez sur l'action recommandée, par exemple Supprimer le message ou Marquer comme hameçonnage.
Saisissez une explication ou un motif pour l'action, puis cliquez sur l'action pour confirmer votre choix. Par exemple, cliquez sur Supprimer le message ou Marquer comme hameçonnage.
Pour obtenir la liste complète des actions recommandées disponibles dans le centre d'alerte et des droits requis, consultez la section ci-dessous.
Si des informations sont manquantes pour des alertes Gmail, voici les raisons les plus courantes :
- L'alerte a été générée en raison d'une classification comme spam par un utilisateur. Par exemple, l'adresse e-mail de l'acteur peut être absente pour l'alerte Hameçonnage signalé par l'utilisateur. Si des détails d'alerte sont manquants, les actions recommandées pour cette alerte peuvent échouer, et le message d'erreur Un problème est survenu peut s'afficher.
- Vous avez créé une règle pour la région des données afin de stocker vos données couvertes dans un emplacement géographique spécifique. Dans ce cas, les informations permettant d'identifier personnellement l'utilisateur sont supprimées des événements de journaux Gmail, qui sont utilisés pour générer des alertes Gmail.
Alertes, actions recommandées et droits requis
Les actions recommandées suivantes sont disponibles pour certaines alertes du centre d'alerte :
- Marquer comme hameçonnage : marquez comme hameçonnage le message qui a déclenché l'alerte.
- Supprimer le message : supprime le message qui a déclenché l'alerte.
- Mettre le message en quarantaine : envoie le message à l'origine de l'alerte en quarantaine.
- Restaurer le message : restaure les e-mails classés de manière incorrecte (marqués comme spam ou mis en quarantaine) dans leur dossier d'origine.
- Contester la suspension : conteste la suspension du compte indiqué dans l'alerte Avertissement de suspension de compte.
- Suspendre le compte utilisateur : suspend les utilisateurs spécifiés dans l'alerte.
- Restaurer le compte utilisateur : permet de restaurer les utilisateurs spécifiés dans l'alerte.
- Bloquer l'appareil : bloque l'appareil qui a déclenché l'alerte. Cette action bloque l'accès aux données Google Workspace sur l'appareil jusqu'à ce que vous puissiez vérifier qu'il est sécurisé. L'utilisateur peut continuer à accéder à Gmail, à Agenda et à ses contacts depuis un ordinateur de bureau ou un navigateur mobile.
Effacer les données du compte : le compte utilisateur et les données Google Workspace sont supprimés de l'appareil.
Remarque : Si vous avez configuré l'accès hors connexion aux comptes Google sur les appareils de votre organisation, ces comptes ne peuvent pas être effacés des appareils hors connexion. Pour en savoir plus sur l'effacement de comptes sur des appareils, consultez Supprimer les données d'entreprise d'un appareil.
Pour utiliser les actions recommandées du centre d'alerte, vous devez disposer des droits associés à l'outil d'investigation. Les super-administrateurs disposent de ces droits par défaut, mais vous pouvez les ajouter à un rôle d'administrateur personnalisé. Pour savoir comment définir des droits, consultez Droits d'administrateur pour l'outil d'investigation.
Pour obtenir la liste des alertes qui incluent des actions recommandées ainsi que des droits requis pour chaque alerte, consultez le tableau ci-dessous.
| Nom de l'alerte | Actions recommandées | Droits requis |
|---|---|---|
| Spoofing potentiel des collaborateurs dans Gmail | Marquer comme hameçonnage |
Outil d'investigation > Gmail > Mettre à jour ou supprimer Outil d'investigation > Gmail > Afficher les métadonnées et les attributs |
| Message contenant un logiciel malveillant détecté après distribution |
|
Outil d'investigation > Gmail > Mettre à jour ou supprimer Outil d'investigation > Gmail > Afficher les métadonnées et les attributs |
| Message d'hameçonnage détecté après distribution |
|
Outil d'investigation > Gmail > Mettre à jour ou supprimer Outil d'investigation > Gmail > Afficher les métadonnées et les attributs |
| Hameçonnage signalé par l'utilisateur |
|
Outil d'investigation > Gmail > Mettre à jour ou supprimer Outil d'investigation > Gmail > Afficher les métadonnées et les attributs |
| Hameçonnage dans les boîtes de réception (liste blanche mal configurée) | Supprimer le message |
Outil d'investigation > Gmail > Mettre à jour ou supprimer Outil d'investigation > Gmail > Afficher les métadonnées et les attributs |
| Pic dans le nombre de messages signalés comme du spam par les utilisateurs | Supprimer le message |
Outil d'investigation > Gmail > Mettre à jour ou supprimer Outil d'investigation > Gmail > Afficher les métadonnées et les attributs |
| Message suspect signalé |
|
Outil d'investigation > Gmail > Mettre à jour ou supprimer Outil d'investigation > Gmail > Afficher les métadonnées et les attributs |
| Avertissement de suspension de compte | Faire appel de la suspension | Disponible pour tous les administrateurs ayant accès au centre d'alerte |
| Mot de passe divulgué | Suspendre les comptes utilisateur |
Outil d'investigation > Utilisateur > Mettre à jour ou supprimer Outil d'investigation > Utilisateur > Afficher les métadonnées et les attributs |
| Connexion suspecte | Suspendre les comptes utilisateur |
Outil d'investigation > Utilisateur > Mettre à jour ou supprimer Outil d'investigation > Utilisateur > Afficher les métadonnées et les attributs |
| Connexion programmatique suspecte | Suspendre les comptes utilisateur |
Outil d'investigation > Utilisateur > Mettre à jour ou supprimer Outil d'investigation > Utilisateur > Afficher les métadonnées et les attributs |
| Utilisateur suspendu | Restaurer un utilisateur |
Outil d'investigation > Utilisateur > Mettre à jour ou supprimer Outil d'investigation > Utilisateur > Afficher les métadonnées et les attributs |
| Utilisateur suspendu en raison d'une activité suspecte | Restaurer un utilisateur |
Outil d'investigation > Utilisateur > Mettre à jour ou supprimer Outil d'investigation > Utilisateur > Afficher les métadonnées et les attributs |
| Utilisateur suspendu pour spam | Restaurer un utilisateur |
Outil d'investigation > Utilisateur > Mettre à jour ou supprimer Outil d'investigation > Utilisateur > Afficher les métadonnées et les attributs |
| Utilisateur suspendu pour spam via un relais | Restaurer un utilisateur |
Outil d'investigation > Appareil > Mettre à jour ou supprimer Outil d'investigation > Appareil > Afficher les métadonnées et les attributs |
| Appareil dont la sécurité est compromise | Bloquer l'appareil |
Outil d'investigation > Appareil > Mettre à jour ou supprimer Outil d'investigation > Appareil > Afficher les métadonnées et les attributs |
| Activité suspecte d'un appareil |
|
Outil d'investigation > Appareil > Mettre à jour ou supprimer Outil d'investigation > Appareil > Afficher les métadonnées et les attributs |
Durée pendant laquelle les actions recommandées sont disponibles
Les actions recommandées sont disponibles pendant une durée limitée après la consignation d'un événement. Le tableau ci-dessous indique la durée pendant laquelle des actions recommandées spécifiques sont disponibles. Par exemple, vous ne pouvez pas utiliser l'action Supprimer le message si l'événement qui a déclenché l'alerte remonte à plus de 30 jours.
| Action | Durée de validité |
|---|---|
| Marquer comme hameçonnage | 30 jours |
| Supprimer le message | 30 jours |
| Restaurer un message | 30 jours |
| Avertissement de suspension de compte | 3 jours |
| Suspendre les comptes utilisateur | 6 mois |
| Faire appel de la suspension | 6 mois |
| Restaurer un utilisateur | 6 mois |
| Bloquer l'appareil | 6 mois |