Acties uitvoeren op basis van zoekresultaten

Beveiligingsonderzoekstool
Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u verschillende acties ondernemen op basis van uw zoekopdracht. U kunt bijvoorbeeld zoeken op basis van gebeurtenissen in het Gmail-logboek en vervolgens de tool gebruiken om specifieke berichten te verwijderen, berichten als spam of phishing te markeren, berichten in quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen.

Voor details en instructies over de vele acties die u in de onderzoekstool kunt uitvoeren, raadpleegt u de onderstaande secties.

Opmerking:

  • De beschikbare gegevensbronnen variëren afhankelijk van uw Google Workspace-editie.
  • Voordat beheerders in uw organisatie actie ondernemen op basis van zoekresultaten, kunnen ze een toelichting toevoegen om de redenen voor hun actie(s) vast te leggen. Als u een superbeheerder bent, kunt u deze optie inschakelen door de instellingen voor de onderzoekstool aan te passen. Zie Instellingen voor uw onderzoeken configureren voor instructies.
  • Als u het datumbereik voor uw zoekopdracht verkleint, verschijnen de resultaten sneller in de zoektool. Als u bijvoorbeeld zoekt naar gebeurtenissen die in de afgelopen week hebben plaatsgevonden, krijgt u sneller resultaten dan wanneer u zoekt zonder de zoekopdracht te beperken tot een kortere periode.
  • Als er een time-out optreedt tijdens het uitvoeren van een bulkactie, verklein dan het datumbereik voor de zoekopdracht en probeer het opnieuw.

Soorten acties in het onderzoeksinstrument

Acties voor apparaten

Wanneer u een zoekopdracht uitvoert op basis van apparaten of gebeurtenissen in het apparaatlogboek, kunt u apparaten in de zoekresultaten selecteren en vervolgens de volgende acties uitvoeren:

  • Apparaat goedkeuren -- Hiermee wordt het apparaat goedgekeurd. Als u 'Apparaatactivering inschakelen' hebt geselecteerd, moeten apparaten die zich registreren nadat de instelling voor apparaatactivering is ingeschakeld, worden goedgekeurd voordat ze met uw domein kunnen synchroniseren. Door apparaatactivering in te schakelen, wordt de gebruiker van het apparaat gedwongen de app 'Apparaatbeleid' te installeren om met Google Workspace te synchroniseren.
  • Apparaat blokkeren -- Hiermee wordt de toegang tot Google Workspace-gegevens (Gmail, Agenda en contacten) op het apparaat geblokkeerd. De gebruiker kan zijn/haar Gmail, Agenda en contacten nog steeds openen via een desktopcomputer of mobiele browser.
  • Beheerdersaccount wist apparaat -- Hiermee worden alleen Google Workspace-gegevens op afstand van het apparaat verwijderd. Zie Bedrijfsgegevens van een mobiel apparaat verwijderen voor meer informatie.
  • Apparaat op afstand wissen -- Hiermee worden alle gegevens op het apparaat op afstand gewist. Zie Bedrijfsgegevens van een mobiel apparaat verwijderen voor meer informatie.
  • Annuleer het wissen van het apparaat op afstand -- Hiermee annuleert u het wissen van het apparaat op afstand.

Acties voor gebeurtenissen in het schijflogboek

Wanneer u een zoekopdracht uitvoert op basis van gebeurtenissen in het schijflogboek, kunt u bestanden in de zoekresultaten selecteren, de machtigingen voor die bestanden controleren en meer.

Doe het volgende:

  1. Nadat u in de beveiligingsonderzoekstool een zoekopdracht hebt uitgevoerd op basis van gebeurtenissen in het schijflogboek, vinkt u de vakjes aan voor de relevante bestanden in de zoekresultaten.
  2. Klik op Acties > Bestandsmachtigingen controleren om de pagina Machtigingen te openen.
    Het tabblad 'Bestanden' , dat standaard wordt weergegeven, toont de bestanden die in uw zoekresultaten zijn opgenomen. Vanuit hier kunt u de toegang tot deze bestanden beheren. Bestanden op gedeelde schijven zijn momenteel niet beschikbaar in deze weergave.
  3. Klik op Personen om ze te bekijken gebruikers en groepen met toegang tot de bestanden.
    De personen in deze lijst hebben toegang tot een of meer items uit uw zoekresultaten. Gebruik deze weergave om de toegang van personen (gebruikers en groepen) te beheren.
  4. Klik op Links om de instellingen voor het delen van links van de geselecteerde bestanden te bekijken of te wijzigen.
  5. Klik op Gebruikers toevoegen als u meer gebruikers toegang tot bestanden wilt geven. U kunt meerdere gebruikers toevoegen met een door komma's gescheiden lijst en u kunt het toegangsniveau voor de toegevoegde gebruikers selecteren.

    Let op: in het tabblad 'Gedeelde schijf' kunt u alleen de toegangsrechten van bestanden binnen de gedeelde schijf wijzigen. Bestanden buiten een gedeelde schijf worden niet in dit tabblad weergegeven.
  6. Klik op 'Wijzigingen in behandeling' om uw wijzigingen te controleren voordat u ze opslaat.

Acties voor gedeelde schijven

Als u de beveiligingsonderzoekstool hebt en dan Met de rechten voor het bijwerken of verwijderen van schijven kunt u ook gedeelde schijven en de bestanden daarin wijzigen:

  • Je kunt het toegangsniveau voor een lid van een gedeelde schijf wijzigen, verwijderen of uitbreiden.
  • U kunt de toegang die gebruikers hebben tot een of meer bestanden op een gedeelde schijf rechtstreeks wijzigen, verwijderen of toevoegen.

Let op: hoewel Google Drive het delen van mappen en het wijzigen van het eigenaarschap van mappen toestaat, biedt de onderzoekstool deze mogelijkheden niet voor beheerders.

Acties voor Gmail-berichten en Gmail-logboekgebeurtenissen

Wanneer u een zoekopdracht uitvoert op basis van Gmail-berichten of Gmail-logboekgebeurtenissen, kunt u berichten in de zoekresultaten selecteren en vervolgens de volgende acties uitvoeren (de beschikbare acties zijn alleen van toepassing op berichten binnen Gmail en niet op berichten in Google Groepen):

  • Bekijk de header
  • Berichten bekijken
  • Berichten verwijderen
  • Berichten herstellen
  • Markeer dit bericht als spam
  • Markeer het bericht als phishing.
  • Bericht verzenden naar inbox (verwijdert ook een spam- of phishing-classificatie)
  • Bericht verzenden naar quarantaine (berichten worden naar de standaard quarantaine verzonden)

    Belangrijk: Berichten die in quarantaine worden geplaatst, worden automatisch verwijderd wanneer uw Vault-bewaarbeleid wordt geactiveerd. Als deze berichten ouder zijn dan de bewaartermijn van uw Vault, worden ze dus verwijderd in plaats van in quarantaine geplaatst. De standaard bewaartermijn is ingesteld op 30 dagen nadat de e-mail oorspronkelijk is verzonden of ontvangen. U kunt Vault ook gebruiken om aangepaste bewaarregels in te stellen.

Om bijvoorbeeld een bericht naar de inbox van een gebruiker te sturen:

  1. Nadat je de zoekopdracht in de onderzoekstool hebt uitgevoerd, vink je de vakjes aan voor de relevante berichten in de zoekresultaten.
  2. Klikacties .
  3. Kies ' Bericht naar inbox verzenden' .
  4. Klik op 'Verzenden naar inbox' om te bevestigen.
  5. Om het resultaat van de actie te bekijken, klikt u onderaan de pagina op 'Bekijken '.
    In de kolom 'Resultaat' kunt u de status van de actie bekijken, bijvoorbeeld: ' Het bericht is succesvol naar de inbox verzonden '.

Opmerking: U kunt ook de inhoud van Gmail-berichten bekijken. Zie ' De inhoud van Gmail-berichten bekijken' voor meer informatie.

Acties voor gebruikers

Wanneer u een zoekopdracht uitvoert op basis van gebruikers, kunt u gebruikers in de zoekresultaten selecteren en vervolgens de volgende acties uitvoeren:

  • Gebruiker herstellen
  • Gebruiker schorsen

Om bijvoorbeeld specifieke gebruikers uit de zoekresultaten te weren, kunt u het volgende doen:

  1. Nadat u uw zoekopdracht in de onderzoekstool hebt uitgevoerd, vinkt u de vakjes aan voor de relevante gebruikers in de zoekresultaten.
  2. Klikacties .
  3. Kies 'Gebruiker opschorten' .
  4. Klik op Gebruikers opschorten om te bevestigen.

Je kunt vergelijkbare stappen volgen om gebruikers te herstellen.

Acties voor gebruikerslogboekgebeurtenissen

Wanneer u een zoekopdracht uitvoert op basis van gebruikerslogboekgebeurtenissen, kunt u gebruikers in de zoekresultaten selecteren en vervolgens de volgende acties uitvoeren:

  • Wachtwoordwijziging afdwingen
  • Gebruiker herstellen
  • Gebruiker schorsen

Om bijvoorbeeld specifieke gebruikers uit de zoekresultaten te weren, kunt u het volgende doen:

  1. Nadat u uw zoekopdracht in de onderzoekstool hebt uitgevoerd, vinkt u de vakjes aan voor de relevante gebruikers in de zoekresultaten.
  2. Klikacties .
  3. Kies 'Gebruiker opschorten' .
  4. Klik op Gebruikers opschorten om te bevestigen.

Je kunt vergelijkbare stappen volgen om gebruikers te herstellen.

Acties voor gebeurtenissen in het Meet-logboek

Wanneer u een zoekopdracht uitvoert op basis van gebeurtenissen in het Meet-logboek, kunt u de actie 'Vergadering voor iedereen beëindigen ' gebruiken om alle gebruikers uit geselecteerde vergaderingen binnen uw organisatie te verwijderen. U wilt bijvoorbeeld voorkomen dat gebruikers vergaderingen zonder toezicht hebben wanneer de host van de vergadering niet aanwezig is, of nadat een evenement is voltooid.

Zie voor meer informatie: De onderzoekstool gebruiken om vergaderingen te beëindigen .

Bulkacties met zoekresultaten

Naast het selecteren van individuele items in de zoekresultaten en het uitvoeren van acties daarop, kunt u ook acties in bulk uitvoeren op een hele pagina, of op alle resultaten op alle pagina's.

Opmerking: Als er een time-out optreedt tijdens het uitvoeren van een bulkactie, verklein dan het datumbereik voor de zoekopdracht en probeer de bulkactie opnieuw.

Om批量acties uit te voeren op zoekresultaten op de huidige pagina die u bekijkt:

  1. Klik op het selectievakje bovenaan in de meest linker kolom. Hiermee worden alle vakjes op de huidige pagina aangevinkt.
  2. Klik op Acties in de headerbalk.

Om bulkacties uit te voeren op alle zoekresultaten op alle pagina's:

  1. Vink het selectievakje bovenaan de meest linkse kolom aan.
  2. Klik op 'Alle resultaten selecteren' . Hiermee worden alle vakjes op alle pagina's met zoekresultaten aangevinkt.

  3. Klik op Acties in de headerbalk.

    Let op: als u tijdens dit proces op de volgende pagina in de zoekresultaten klikt, worden alle selectievakjes op alle pagina's van de zoekresultaten uitgeschakeld en moet u opnieuw beginnen.

Controleer de status van uw bulkacties.

Je kunt de status van je grote taken controleren in de Google Admin-console om te zien of ze nog in uitvoering zijn of al zijn voltooid.

Als bijvoorbeeld een van uw bulkacties in de onderzoekstool lang duurt, kunt u de beheerdersconsole verlaten en later terugkeren om de status van uw actie te controleren.

Klik bovenaan in de beheerdersconsole op Taken . om de status van uw grote taken te bekijken.

Zie ook 'De status van grote taken controleren' voor meer informatie.

Kolomgebaseerde pivotering in zoekresultaten

U kunt in de zoekresultaten van de onderzoekstool kolomgebaseerde draaitabellen gebruiken om gegevens over een item te bekijken die gerelateerd zijn aan een andere gegevensbron. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van Gmail-logboekgebeurtenissen en vervolgens op een ontvanger in de kolom 'Ontvanger' klikken om een ​​Drive-gebeurtenisquery op eigenaar te maken. Hierdoor kunt u gegevens over een specifieke gebruiker analyseren vanuit twee verschillende gegevensbronnen: zowel Gmail-logboekgebeurtenissen als Drive-logboekgebeurtenissen.

Om vanuit de zoekresultaten van een Gmail-logboekgebeurtenis naar een Drive-logboekgebeurtenis te navigeren, doet u het volgende:

  1. Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, beweegt u de muis over de betreffende gebruiker in de kolom 'Ontvanger'.
  2. Klik op het menu-icoon (drie verticale stippen) voor die gebruiker.
  3. Selecteer 'Schijflogboekgebeurtenissen' en dan Eigenaar . De zoekcriteria worden automatisch ingevuld voor een zoekopdracht in het schijflogboek .
  4. Voeg extra criteria toe aan je zoekopdracht, bijvoorbeeld titel of zichtbaarheid .
  5. Klik op Zoeken .

Je kunt voor veel items in de zoekresultaten andere draaitabellen gebruiken. Je kunt bijvoorbeeld draaien op een hele kolom, of op het onderwerp van een bericht, de bericht-ID, de afzender en meer.

Acties annuleren

Je kunt acties in de onderzoekstool annuleren voordat ze zijn voltooid. Als je bijvoorbeeld een actie hebt gestart om meerdere gebruikers te schorsen, kun je onderaan de pagina 'Onderzoek' op ' Annuleren ' klikken.

Als je een bulkactie annuleert, krijg je gedeeltelijke resultaten als de actie al bezig is.

Let op: bij exportacties kan alleen de beheerder die de export heeft gestart deze annuleren. Voor alle andere acties kunnen beheerders met de specifieke bevoegdheden om acties uit te voeren op de gegevens die relevant zijn voor de actie, zoals Drive, Gmail of Mobiel, de actie annuleren.

Acties opnieuw proberen

Bij het uitvoeren van een bulkactie kunnen er soms zoekfouten optreden, bijvoorbeeld als sommige gebruikers niet in de zoekresultaten worden weergegeven. In dat geval kunt u de actie opnieuw proberen:

  1. Nadat u een actie in de onderzoekstool hebt voltooid, klikt u op DETAILS BEKIJKEN .
  2. Klik in het paneel met actiedetails op OPNIEUW PROBEREN .
  3. Klik op de gewenste actie in het venster voor opnieuw proberen, bijvoorbeeld op MARKEREN ALS SPAM .

Exporteer de resultaten van de actie naar een Google Sheets-bestand in uw map Mijn Drive.

Om de resultaten van acties op te slaan in uw Mijn Drive-map:

  1. Klik op de knop 'Exporteren ' bovenaan de tabel om de resultaten van de actie te bekijken.
  2. Voer een exportnaam in.
  3. Klik op Exporteren .

Resultaten van geëxporteerde acties bekijken

Houd rekening met het volgende wanneer u de geëxporteerde actieresultaten bekijkt:

  • Nadat u op de knop 'Exporteren' bovenaan de tabel hebt geklikt, wordt er een Google Sheet aangemaakt in uw map 'Mijn Drive' met de resultaten van de actie. Afhankelijk van de grootte van de resultaten kan het exportproces enige tijd duren en kunnen er meerdere Google Sheets worden aangemaakt. Het totale aantal rijen dat geëxporteerd kan worden, is beperkt tot 30 miljoen.
  • Tijdens het exportproces worden Google Sheets aangemaakt met een tijdelijke naam, bijvoorbeeld TMP-1-<title> . Als er meerdere Google Sheets worden aangemaakt, krijgen de extra bestanden de namen TMP-2-<title> , TMP-3-<title> , enzovoort. Wanneer het exportproces is voltooid, worden de bestanden automatisch hernoemd naar: <title> [1 van N] , <title> [2 van N], enzovoort. Als slechts één Google Sheet de geëxporteerde gegevens bevat, wordt het bestand hernoemd naar <title> .
  • De deelrechten voor bestanden met de geëxporteerde actieresultaten worden bepaald door uw domeinconfiguratie. Als de aangemaakte bestanden bijvoorbeeld standaard met iedereen binnen het bedrijf worden gedeeld, dan hebben de geëxporteerde gegevens ook deze zichtbaarheid.