שמירה, שיתוף, מחיקה ושכפול של חקירות

הכלי לחקירת אבטחה
התכונה הזו נתמכת במהדורות האלה: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

אדמינים יכולים לשמור, לשתף, למחוק ולשכפל חקירות שהם יצרו. כך תוכלו לשמור קריטריונים לחיפוש לשימוש מתמשך, ולשתף פעולה עם אנשים אחרים בארגון בזמן ניהול חקירות.

הערה: יש לכם גם אפשרות ליצור חיפוש לצורך חקירה בלי לשמור אותו.

יצירה ושמירה של חקירות

כדי ליצור ולשמור חקירה:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then מרכז האבטחה ואז כלי החקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בוחרים מקור נתונים לחיפוש, למשל אירועים ביומן של מכשירים, מכשירים או אירועים ביומן של Gmail.

  3. לוחצים על Add Condition.

    אפשר לכלול תנאי אחד או יותר בחיפוש. יש לכם גם אפשרות להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים – חיפושים עם 2 או 3 רמות של תנאים (פרטים נוספים זמינים במאמר התאמה אישית של החיפוש באמצעות שאילתות עם היררכיית כללים).

  4. מהרשימה הנפתחת מאפיין, בוחרים אחד מהמאפיינים – לדוגמה, שחקן או תאריך.

    הערה: אם מצמצמים את טווח התאריכים של החיפוש, התוצאות יופיעו בכלי החקירה מוקדם יותר. לדוגמה, אם מצמצמים את החיפוש לאירועים שהתרחשו בשבוע האחרון, השאילתה תחזיר תוצאות מהר יותר מאשר אם מחפשים בלי להגביל את השאילתה לתקופה קצרה יותר.

  5. בוחרים אופרטור – לדוגמה, Is,‏ Is not,‏ Contains או Does not contain.

  6. בוחרים או מזינים ערך למאפיין. במאפיינים מסוימים אפשר לבחור ערך מתוך רשימה נפתחת. במאפיינים אחרים, מקלידים ערך.

  7. (אופציונלי) כדי לכלול כמה תנאי חיפוש, חוזרים על השלבים שלמעלה.

  8. לוחצים על חיפוש.

    תוצאות החיפוש בכלי החקירה מוצגות בטבלה בחלק התחתון של הדף.

  9. לוחצים על סמל השמירה .

  10. מקלידים כותרת ותיאור לחקירה.

  11. לוחצים על שמירה.

הערה:

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • בדף הראשי של חקירה, אפשר לראות בכותרת בחלק העליון של הדף את התאריך והשעה שבהם החקירה נשמרה לאחרונה. אם ההגדרות של חקירה לא מלאות או לא תקינות (לדוגמה, אם השארתם הגדרות ריקות כשצריך להזין מידע), החקירה תוגדר כנשמרה באופן חלקי. כדי לשמור את החקירה, צריך למצוא ולתקן את כל השגיאות.

שיתוף חקירות

אחרי שיוצרים חקירה ושומרים אותה, אפשר לשתף אותה עם משתמשים אחרים.

כדי לשתף חקירה:

  1. לוחצים על הצגת חקירות .

  2. לוחצים על חקירה כדי לפתוח אותה.

    אם החקירה עדיין לא נשמרה, לוחצים על סמל השמירה .

  3. לוחצים על שיתוף.

  4. מזינים את שמות המשתמשים של האנשים שאיתם רוצים לשתף את החקירה.

  5. לוחצים על שמירת השינויים.

מחיקת חקירות

אם תחליטו שחיפוש מסוים או התוצאות שלו לא נחוצים לחקירה, תוכלו למחוק את החיפוש הזה בכלי החקירה.

כדי למחוק חיפוש:

  1. לוחצים על מחיקה .
  2. כדי לאשר את המחיקה, לוחצים על מחיקה.

הפעולה הזו מוחקת את החיפוש, כולל כל תנאי השאילתה והתוצאות הגלויות, ואי אפשר לבטל אותה.

יש לכם גם אפשרות למחוק את כל החיפושים.

שכפול חקירות

אם רוצים ליצור בדיקה חדשה באמצעות אותם קריטריוני חיפוש שבהם השתמשתם בבדיקה קיימת, אפשר לשכפל אותה.

כדי לשכפל חקירה:

  1. לוחצים על שכפול החקירה .
  2. מזינים כותרת ותיאור.
  3. לוחצים על שמירה.

צפייה ברשימת החקירות

כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על צפייה בפרטי החקירות . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, וגם את התאריך של השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: ישירות מעל רשימת החקירות, אפשר גם לראות קבוצה של חקירות שנשמרו לאחרונה בקטע גישה מהירה.