Vidta åtgärder baserat på sökresultat

Verktyg för säkerhetsutredning
Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

När du har gjort en sökning i säkerhetsundersökningsverktyget har du möjlighet att vidta flera åtgärder baserat på din sökning. Du kan till exempel göra en sökning baserat på Gmail-logghändelser och sedan använda verktyget för att ta bort specifika meddelanden, markera meddelanden som skräppost eller nätfiske, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar.

För detaljer och instruktioner om de många åtgärder du kan vidta i undersökningsverktyget, se avsnitten nedan.

Notera:

  • Tillgängliga datakällor varierar beroende på din Google Workspace-utgåva.
  • Innan administratörer i din organisation vidtar åtgärder på sökresultat kan de ha möjlighet att ange en motiveringstext för att registrera orsakerna till sina åtgärder. Om du är en superadministratör kan du aktivera det här alternativet genom att justera inställningarna för undersökningsverktyget. För instruktioner, se Konfigurera inställningar för dina undersökningar .
  • Om du begränsar datumintervallet för din sökning visas dina resultat i undersökningsverktyget tidigare. Om du till exempel begränsar sökningen till händelser som inträffade under den senaste veckan kommer sökfrågan att returneras snabbare än om du söker utan att begränsa sökfrågan till en kortare tidsperiod.
  • Om en timeout inträffar när du utför en massåtgärd, minska datumintervallet för sökningen och försök sedan igen.

Typer av åtgärder i utredningsverktyget

Åtgärder för enheter

När du gör en sökning baserat på Enheter eller Enhetslogghändelser kan du välja enheter i sökresultaten och sedan vidta följande åtgärder:

  • Godkänn enhet – Godkänner enheten. Om du har valt Aktivera enhetsaktivering måste enheter som registreras efter att enhetsaktiveringsinställningen har aktiverats godkännas innan de kan börja synkronisera med din domän. Om du aktiverar enhetsaktivering måste enhetsanvändaren installera Device Policy-appen för att synkronisera med Google Workspace.
  • Blockera enhet – Blockerar åtkomst till Google Workspace-data (Gmail, Kalender och kontakter) på enheten. Användaren kan fortfarande komma åt sin Gmail, Kalender och sina kontakter från en stationär dator eller mobil webbläsare.
  • Administratörskonto rensa enhet – Fjärrensar endast Google Workspace-data från enheten. Mer information finns i Ta bort företagsdata från en mobil enhet .
  • Fjärradera enhet – Raderar all data på enheten på distans. Mer information finns i Ta bort företagsdata från en mobil enhet .
  • Avbryt fjärrrensning av enhet -- Avbryter en fjärrrensning av enheten.

Åtgärder för Drive-logghändelser

När du gör en sökning baserat på Drive-logghändelser kan du välja filer i sökresultaten, granska behörigheterna för dessa filer och mer.

Gör följande:

  1. När du har gjort en sökning i säkerhetsundersökningsverktyget baserat på Drive-logghändelser markerar du rutorna för relevanta filer i sökresultaten.
  2. Klicka på Åtgärder > Granska filbehörigheter för att öppna sidan Behörigheter .
    Fliken Filer , som visas som standard, visar filer som inkluderades i dina sökresultat. Härifrån kan du hantera åtkomsten till dessa filer. Filer på delade enheter är för närvarande inte tillgängliga i den här vyn.
  3. Klicka på Personer för att visa användare och grupper med åtkomst till filerna.
    Personer i den här listan har åtkomst till ett eller flera av objekten från dina sökresultat. Använd den här vyn för att hantera åtkomst för personer (användare och grupper).
  4. Klicka på Länkar för att visa eller ändra länkdelningsinställningarna för de valda filerna.
  5. Klicka på Lägg till användare om du vill ge filåtkomst till fler användare. Du kan lägga till flera användare med en kommaseparerad lista och du kan välja åtkomstnivå för de användare du lägger till.

    Obs! För åtgärder på fliken Delad enhet kan du bara redigera åtkomst för filer inom den delade enheten. Filer utanför en delad enhet visas inte på den här fliken.
  6. Klicka på Väntande ändringar för att granska dina ändringar innan du sparar.

Åtgärder för delade enheter

Om du har säkerhetsutredningsverktyget och sedan Med behörigheten att uppdatera eller ta bort enheter kan du även ändra delade enheter och filerna på delade enheter:

  • Du kan ändra, ta bort eller lägga till åtkomstnivån för en medlem på en delad enhet.
  • Du kan ändra, ta bort eller lägga till åtkomst som användare har beviljats ​​direkt till en eller flera filer på en delad enhet.

Obs! Google Drive tillåter delning av mappar och ändring av ägarskap för mappar, men undersökningsverktyget tillåter inte dessa åtgärder för administratörer.

Åtgärder för Gmail-meddelanden och Gmail-logghändelser

När du gör en sökning baserat på Gmail-meddelanden eller Gmail-logghändelser kan du välja meddelanden i sökresultaten och sedan vidta följande åtgärder (de tillgängliga åtgärderna gäller endast meddelanden i Gmail och inkluderar inte meddelanden i Google Grupper):

  • Visa rubrik
  • Visa meddelanden
  • Ta bort meddelanden
  • Återställ meddelanden
  • Markera meddelandet som skräppost
  • Markera meddelandet som nätfiske
  • Skicka meddelande till inkorgen (tar även bort en spam- eller nätfiskeklassificering)
  • Skicka meddelande till karantän (meddelanden skickas till standardkarantänen)

    Viktigt: Meddelanden som skickas till karantän raderas automatiskt när din arkivpolicy utlöses. Om dessa meddelanden är äldre än din arkivpolicy raderas de istället för att skickas till karantän. Standardlagring är inställd på 30 dagar efter att e-postmeddelandet ursprungligen skickades eller mottogs. Du kan också använda Arkiv för att ställa in anpassade lagringsregler .

Till exempel, för att skicka ett meddelande till en användares inkorg:

  1. När du har kört din sökning i undersökningsverktyget markerar du rutorna för de relevanta meddelandena i sökresultaten.
  2. Klicka på Åtgärder .
  3. Välj Skicka meddelande till inkorgen .
  4. För att bekräfta, klicka på Skicka till inkorg .
  5. För att se resultatet av åtgärden klickar du på Visa längst ner på sidan.
    I kolumnen Resultat kan du se statusen för åtgärden, till exempel Meddelandet skickades till inkorgen .

Obs! Du kan också visa innehållet i Gmail-meddelanden. Mer information finns i Visa innehåll i Gmail-meddelanden .

Åtgärder för användare

När du gör en sökning baserad på användare kan du välja användare i sökresultaten och sedan vidta följande åtgärder:

  • Återställ användare
  • Stäng av användaren

Om du till exempel vill stänga av specifika användare i sökresultaten gör du följande:

  1. När du har kört din sökning i undersökningsverktyget markerar du rutorna för relevanta användare i sökresultaten.
  2. Klicka på Åtgärder .
  3. Välj Stäng av användare .
  4. Klicka på Stäng av användare för att bekräfta.

Du kan använda liknande steg för att återställa användare.

Åtgärder för användarlogghändelser

När du gör en sökning baserat på användarlogghändelser kan du välja användare i sökresultaten och sedan vidta följande åtgärder:

  • Tvinga fram lösenordsändring
  • Återställ användare
  • Stäng av användaren

Om du till exempel vill stänga av specifika användare i sökresultaten gör du följande:

  1. När du har kört din sökning i undersökningsverktyget markerar du rutorna för relevanta användare i sökresultaten.
  2. Klicka på Åtgärder .
  3. Välj Stäng av användare .
  4. För att bekräfta, klicka på Stäng av användare .

Du kan använda liknande steg för att återställa användare.

Åtgärder för Meet-logghändelser

När du gör en sökning baserat på händelser i Meet-loggen kan du använda åtgärden Avsluta möte för alla för att ta bort alla användare från valda möten inom din organisation. Du kanske till exempel vill förhindra att användare har oövervakade möten när mötesvärden inte är närvarande, eller efter att en händelse har slutförts.

För mer information, se Använda utredningsverktyget för att avsluta möten .

Massåtgärder med sökresultat

Förutom att välja enskilda objekt i sökresultaten och vidta åtgärder på dem kan du vidta massåtgärder på en hel sida, eller så kan du vidta massåtgärder på alla resultat på alla sidor.

Obs! Om en timeout inträffar när du utför en massåtgärd, minska datumintervallet för sökningen och försök sedan utföra massåtgärden igen.

Så här vidtar du massåtgärder på sökresultat på den aktuella sidan du tittar på:

  1. Klicka på kryssrutan högst upp i kolumnen längst till vänster. Detta markerar alla rutor på den aktuella sidan.
  2. Klicka på Åtgärder i sidhuvudet.

Så här vidtar du massåtgärder på alla sökresultat på alla sidor:

  1. Klicka på kryssrutan högst upp i den vänstra kolumnen.
  2. Klicka på Markera alla resultat . Detta markerar alla rutor på alla sidor i sökresultaten.

  3. Klicka på Åtgärder i sidhuvudet.

    Obs! Om du klickar på nästa sida i sökresultaten under den här processen avmarkeras alla rutor på alla sidor i sökresultaten och du måste börja om.

Kontrollera statusen för dina massåtgärder

Du kan kontrollera statusen för dina stora uppgifter i Googles administratörskonsol för att se om de fortfarande pågår eller är slutförda.

Om till exempel en av dina massåtgärder i utredningsverktyget tar lång tid att slutföra kan du lämna administratörskonsolen och senare återvända för att kontrollera statusen för din åtgärd.

Klicka på Uppgifter högst upp i administratörskonsolen för att se statusen för dina stora uppgifter.

För ytterligare information, se även Kontrollera status för stora uppgifter .

Kolumnbaserad pivotering i sökresultat

Du kan använda kolumnbaserad pivotering i undersökningsverktygets sökresultat för att visa data om ett objekt som är relaterat till en annan datakälla. Du kan till exempel köra en sökning baserad på Gmail-logghändelser och sedan klicka på valfri mottagare i kolumnen Mottagare för att skapa en Drive-händelsefråga efter ägare. Detta gör att du kan analysera data om en specifik användare från två olika datakällor – både Gmail-logghändelser och Drive-logghändelser.

Så här växlar du mellan sökresultaten och en Gmail-logghändelse och en Drive-logghändelse:

  1. När du har kört en sökning i säkerhetsundersökningsverktyget håller du muspekaren över den relevanta användaren i kolumnen Mottagare.
  2. Klicka på menyikonen (tre vertikala punkter) för den användaren.
  3. Välj Drive-logghändelser och sedan Ägare . Sökkriterierna anges automatiskt för en sökning i Drive-logghändelser .
  4. Inkludera ytterligare villkor i din sökning – till exempel Titel eller Synlighet .
  5. Klicka på Sök .

Du kan utföra andra pivoteringsåtgärder för många objekt i sökresultaten. Du kan till exempel pivotera på en hel kolumn, eller så kan du pivotera på ämnet för ett meddelande, meddelande-ID, avsändaren med mera.

Avbryt åtgärder

Du kan avbryta åtgärder i utredningsverktyget innan de är slutförda. Om du till exempel har initierat en åtgärd för att stänga av flera användare kan du klicka på Avbryt längst ner på utredningssidan.

Om du avbryter en massåtgärd får du ofullständiga resultat om åtgärden redan pågår.

Obs! För exportåtgärder kan endast administratören som initierade exporten avbryta den. För alla andra åtgärder kan administratörer som har specifika behörigheter att vidta åtgärder på de data som är relevanta för åtgärden – till exempel Drive, Gmail eller Mobile – avbryta åtgärden.

Försök igen

När du utför en massåtgärd kan du ibland stöta på sökfel – till exempel om vissa användare inte finns med i sökresultaten. Om detta inträffar kan du försöka utföra åtgärder igen:

  1. När du har slutfört en åtgärd i undersökningsverktyget klickar du på VISA DETALJER .
  2. Klicka på FÖRSÖK IGEN från panelen Åtgärdsinformation .
  3. Klicka på åtgärden i fönstret för återförsök – klicka till exempel på MARKERA SOM SKRÄPSTOPP .

Exportera åtgärdsresultat till en Kalkylark-fil i din Min enhet-mapp

Så här sparar du resultat av åtgärder i mappen Min enhet:

  1. Klicka på knappen Exportera högst upp i tabellen för att se åtgärdsresultaten.
  2. Skriv ett exportnamn.
  3. Klicka på Exportera .

Visa exporterade åtgärdsresultat

Observera följande när du visar exporterade åtgärdsresultat:

  • När du klickar på knappen Exportera högst upp i tabellen skapas ett Google-kalkylblad i din mapp Min enhet som innehåller åtgärdsresultaten. Beroende på resultatens storlek kan exportprocessen ta lite tid, och flera Google-kalkylblad kan skapas. De totala resultaten av exporten är begränsade till 30 miljoner rader.
  • Medan exporten pågår skapas Google Sheets med ett tillfälligt namn – till exempel TMP-1-<titel> . Om flera Google Sheets skapas får ytterligare filer namnet TMP-2-<titel> , TMP-3-<titel> och så vidare. När exportprocessen är klar byter filerna automatiskt namn till: <titel> [1 av N] , <titel> [2 av N] och så vidare. Om bara ett Google Sheet innehåller den exporterade informationen byter filen namn till <titel> .
  • Delningsbehörigheter för filer med exporterade åtgärdsresultat beror på din domänkonfiguration. Om till exempel de skapade filerna som standard delas med alla i företaget, kommer även exporterad data att ha denna synlighet.