טיפול באירועים על סמך תוצאות החיפוש

הכלי לחקירת אבטחה
התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אחרי שמבצעים חיפוש בכלי לחקירת אבטחה, אפשר לבצע כמה פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר לבצע חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לסמן הודעות כספאם או פישינג, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים.

בקטעים הבאים מפורטים ההוראות והפרטים על הפעולות הרבות שאפשר לבצע בכלי לחקירת אבטחה.

שימו לב:

  • מקורות הנתונים הזמינים משתנים בהתאם למהדורת Google Workspace שבה אתם משתמשים.
  • לפני שפועלים על תוצאות החיפוש, יכול להיות שאדמינים בארגון יוכלו להזין טקסט של הצדקה כדי לתעד את הסיבות לפעולות שלהם. אם יש לכם הרשאות סופר-אדמין, אתם יכולים להפעיל את האפשרות הזו על ידי שינוי ההגדרות של כלי החקירה. הוראות מפורטות זמינות במאמר הגדרת ההגדרות של החקירות.
  • אם מצמצמים את טווח התאריכים בחיפוש, התוצאות מופיעות מהר יותר בכלי לחקירת האבטחה. לדוגמה, אם מצמצמים את החיפוש לאירועים שהתרחשו בשבוע האחרון, השאילתה מחזירה תוצאות מהר יותר מאשר בחיפוש שלא מוגבל לתקופה קצרה יותר.
  • אם מתרחש זמן קצוב לתפוגה כשמבצעים עדכונים בכמות גדולה, צריך לצמצם את טווח התאריכים של החיפוש ולנסות שוב.

סוגי הפעולות בכלי החקירה

פעולות במכשירים

כשמבצעים חיפוש על סמך מכשירים או אירועים ב קובץ יומן במכשיר , אפשר לבחור מכשירים בתוצאות החיפוש ולבצע את הפעולות הבאות:

  • אישור המכשיר – אישור המכשיר. אם בחרתם באפשרות הפעלת הפעלת המכשיר, מכשירים שנרשמים אחרי שהפעלתם את ההגדרה הזו יצטרכו אישור לפני שיוכלו להתחיל בסנכרון עם הדומיין שלכם. הפעלת ההגדרה 'הפעלת המכשיר' מחייבת את המשתמש במכשיר להתקין את האפליקציה Device Policy כדי לסנכרן עם Google Workspace.
  • חסימת המכשיר – חסימת הגישה לנתונים ב-Google Workspace (Gmail, יומן ואנשי קשר) במכשיר. המשתמש עדיין יכול לגשת ל-Gmail, ליומן ולאנשי הקשר שלו ממחשב או מדפדפן בנייד.
  • איפוס נתונים של מכשיר אחד בחשבון אדמין – איפוס מרחוק של נתוני Google Workspace בלבד מהמכשיר. פרטים נוספים מופיעים במאמר בנושא הסרת נתוני חברה ממכשיר נייד.
  • איפוס נתונים של מכשיר מרחוק – איפוס מרחוק של כל הנתונים במכשיר. פרטים נוספים מופיעים במאמר בנושא הסרת נתוני חברה ממכשיר נייד.
  • Cancel remote wipe device – ביטול מחיקה מרחוק של המכשיר.

פעולות לאירועים ביומן של Drive

כשמבצעים חיפוש שמבוסס על אירועים ביומן של Drive, אפשר לבחור קבצים בתוצאות החיפוש, לבדוק את ההרשאות לקבצים האלה ועוד.

מבצעים את הפעולות הבאות:

  1. אחרי שמריצים חיפוש בכלי לחקירת אבטחה על סמך אירועים ביומן של Drive, מסמנים את התיבות של הקבצים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות > בדיקת הרשאות קובץ כדי לפתוח את הדף הרשאות.
    בכרטיסייה קבצים, שמוצגת כברירת מחדל, מופיעים קבצים שנכללו בתוצאות החיפוש. מכאן אפשר לנהל את הגישה לקבצים האלה. בשלב הזה, התצוגה הזו לא כוללת קבצים באחסון שיתופי.
  3. לוחצים על אנשים כדי לראות משתמשים וקבוצות עם גישה לקבצים.
    לאנשים ברשימה הזו יש גישה לפריט אחד או יותר מתוצאות החיפוש. באמצעות התצוגה הזו ניתן לנהל את הגישה של אנשים (משתמשים וקבוצות).
  4. לוחצים על קישורים כדי לראות או לשנות את הגדרות שיתוף הקישורים בקבצים שנבחרו.
  5. אם רוצים לתת גישה לקבצים לעוד משתמשים, לוחצים על הוספת משתמשים. אפשר להוסיף כמה משתמשים באמצעות רשימה מופרדת בפסיקים, ואפשר לבחור את רמת הגישה של המשתמשים שמוסיפים.

    הערה: בפעולות בכרטיסייה 'אחסון שיתופי', אפשר לערוך רק את הגישה לקבצים בתוך האחסון השיתופי. קבצים מחוץ לאחסון השיתופי לא יופיעו בכרטיסייה הזו.
  6. לוחצים על שינויים בהמתנה כדי לבדוק את השינויים לפני השמירה.

פעולות בתיקיות אחסון שיתופי

אם יש לכם הרשאה להשתמש בכלי לחקירת אבטחה ואז עדכון או מחיקה ב-Drive, אתם יכולים גם לשנות תיקיות באחסון השיתופי וקבצים בתיקיות האלה:

  • אתם יכולים לשנות את רמת הגישה של חבר באחסון השיתופי, להסיר אותה או להוסיף אותה.
  • אתם יכולים לשנות, להסיר או להוסיף גישה שניתנה למשתמשים ישירות לקובץ או לקבצים באחסון השיתופי.

הערה: ב-Google Drive אפשר לשתף תיקיות ולשנות את הבעלות על תיקיות, אבל בכלי לחקירת אבטחה אדמינים לא יכולים לבצע את הפעולות האלה.

פעולות עבור הודעות ב-Gmail ואירועים ביומן של Gmail

כשמבצעים חיפוש שמבוסס על הודעות ב-Gmail או על אירועים ביומן ב-Gmail, אפשר לבחור הודעות בתוצאות החיפוש ואז לבצע את הפעולות הבאות (הפעולות הזמינות חלות רק על הודעות ב-Gmail, ולא כוללות הודעות בקבוצות Google):

  • הצגת הכותרת
  • צפייה בהודעות
  • מחיקת הודעות
  • שחזור הודעות
  • סימון ההודעה כספאם
  • סימון ההודעה כניסיון פישינג
  • שליחת ההודעה לתיבת הדואר הנכנס (מסירה גם סיווג של ספאם או פישינג)
  • שליחת ההודעה להסגר (ההודעות נשלחות להסגר שמוגדר כברירת מחדל)

    חשוב: הודעות שנשלחות להסגר נמחקות אוטומטית כשתקופת השמירה שלהן ב-Vault מסתיימת. לכן, אם ההודעות האלה ישנות יותר ממדיניות שמירת הנתונים ב-Vault, הן יימחקו במקום להישלח להסגר. מדיניות שמירת הנתונים שמוגדרת כברירת מחדל היא 30 יום אחרי שהאימייל נשלח או התקבל. אפשר גם להשתמש ב-Vault כדי להגדיר כללי שמירה בהתאמה אישית.

לדוגמה, כדי לשלוח הודעה לתיבת הדואר הנכנס של משתמש:

  1. אחרי שמריצים חיפוש בכלי החקירה, מסמנים את התיבות של ההודעות הרלוונטיות בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות שליחת ההודעה לתיבת הדואר הנכנס.
  4. כדי לאשר, לוחצים על שליחה לתיבת הדואר הנכנס.
  5. כדי לראות את תוצאת הפעולה, לוחצים על הצגה בתחתית הדף.
    בעמודה 'תוצאה' אפשר לראות את סטטוס הפעולה – לדוגמה, ההודעה נשלחה לתיבת הדואר הנכנס.

הערה: אפשר גם להציג את תוכן ההודעות ב-Gmail. לפרטים, אפשר לעיין במאמר בנושא הצגת תוכן ההודעות ב-Gmail.

פעולות למשתמשים

כשמבצעים חיפוש על סמך משתמשים, אפשר לבחור משתמשים בתוצאות החיפוש ואז לבצע את הפעולות הבאות:

  • שחזר את המשתמש
  • השהה את המשתמש

לדוגמה, כדי להשעות משתמשים ספציפיים בתוצאות החיפוש:

  1. אחרי שמריצים חיפוש בכלי החקירה, מסמנים את התיבות של המשתמשים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות השעיית משתמש.
  4. כדי לאשר, לוחצים על השעיית משתמשים.

אפשר לבצע את אותם השלבים כדי לשחזר משתמשים.

פעולות לאירועים ביומן משתמשים

כשמבצעים חיפוש על סמך אירועים ביומן המשתמשים, אפשר לבחור משתמשים בתוצאות החיפוש ולבצע את הפעולות הבאות:

  • אילוץ שינוי סיסמה
  • שחזר את המשתמש
  • השהה את המשתמש

לדוגמה, כדי להשעות משתמשים ספציפיים בתוצאות החיפוש:

  1. אחרי שמריצים חיפוש בכלי החקירה, מסמנים את התיבות של המשתמשים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות השעיית משתמש.
  4. כדי לאשר, לוחצים על השעיית משתמשים.

אפשר לבצע את אותם השלבים כדי לשחזר משתמשים.

פעולות לאירועים ביומן של Meet

כשמבצעים חיפוש על סמך אירועים ביומן של Meet, אפשר להשתמש בפעולה סיום הפגישה לכולם כדי להסיר את כל המשתמשים מפגישות נבחרות בארגון. לדוגמה, יכול להיות שתרצו למנוע ממשתמשים לקיים פגישות ללא השגחה כשהמארח לא נמצא בפגישה, או אחרי שהאירוע הסתיים.

פרטים נוספים מופיעים במאמר בנושא שימוש בכלי החקירה כדי לסיים פגישות.

ביצוע פעולות בכמות גדולה בעזרת תוצאות החיפוש

בנוסף לבחירת פריטים בודדים בתוצאות החיפוש ולביצוע פעולות עליהם, אפשר לבצע פעולות בכמות גדולה על דף שלם, או לבצע פעולות בכמות גדולה על כל התוצאות בכל הדפים.

הערה: אם מתרחש זמן קצוב לתפוגה כשמבצעים עדכונים בכמות גדולה, צריך לצמצם את טווח התאריכים של החיפוש ואז לנסות שוב לבצע את העדכונים בכמות גדולה.

כדי לבצע פעולות בכמות גדולה על תוצאות החיפוש בדף הנוכחי שמוצג לכם:

  1. לוחצים על תיבת הסימון בראש העמודה הימנית ביותר. הפעולה הזו מסמנת את כל התיבות בדף הנוכחי.
  2. לוחצים על פעולות בסרגל הכותרת.

כדי לבצע פעולות בכמות גדולה על כל תוצאות החיפוש בכל הדפים:

  1. לוחצים על תיבת הסימון בראש העמודה הימנית ביותר.
  2. לוחצים על בחירת כל התוצאות. הפעולה הזו מסמנת את כל התיבות בכל הדפים של תוצאות החיפוש.

  3. לוחצים על פעולות בסרגל הכותרת.

    הערה: אם תלחצו על הדף הבא בתוצאות החיפוש במהלך התהליך הזה, כל התיבות בכל הדפים של תוצאות החיפוש יבוטלו ותצטרכו להתחיל מחדש.

בדיקת הסטטוס של עדכונים בכמות גדולה

אתם יכולים לבדוק את הסטטוס של משימות גדולות במסוף Google Admin כדי לראות אם הן עדיין בתהליך או שהן הסתיימו.

לדוגמה, אם אחת מהפעולות בכמות גדולה בכלי החקירה נמשכת זמן רב, אפשר לצאת ממסוף Admin ולחזור מאוחר יותר כדי לבדוק את סטטוס הפעולה.

בחלק העליון של מסוף Admin, לוחצים על משימות כדי לראות את הסטטוס של המשימות הגדולות.

פרטים נוספים מופיעים גם במאמר בנושא בדיקת הסטטוס של משימות גדולות.

שינוי ציר (pivot) על סמך עמודות בתוצאות החיפוש

אפשר להשתמש בסיבוב צירים (pivot) מבוסס-עמודות בתוצאות החיפוש של כלי החקירה כדי להציג נתונים על פריט שקשור למקור נתונים אחר. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז ללחוץ על נמען כלשהו בעמודה 'נמען' כדי ליצור שאילתת אירועים ב-Drive לפי בעלים. כך תוכלו לנתח נתונים על משתמש ספציפי משני מקורות נתונים שונים – אירועים ביומן של Gmail ואירועים ביומן של Drive.

כדי להעביר את ההתמקדות מתוצאות החיפוש של אירוע ביומן של Gmail לאירוע ביומן של Drive:

  1. אחרי שמריצים חיפוש בכלי לחקירת אבטחה, מעבירים את העכבר מעל המשתמש הרלוונטי בעמודה 'נמען'.
  2. לוחצים על סמל התפריט (שלוש נקודות אנכיות) של המשתמש.
  3. בוחרים באפשרות אירועים ביומן של Drive ואז בעלים. הקריטריונים לחיפוש מוזנים אוטומטית כשמחפשים אירועים ביומן של Drive.
  4. אפשר לכלול בחיפוש תנאים נוספים – לדוגמה, Title (שם) או Visibility (חשיפה).
  5. לוחצים על חיפוש.

אפשר לבצע פעולות נוספות של שינוי נקודת המבט על הרבה פריטים בתוצאות החיפוש. לדוגמה, אפשר להשתמש בסיבוב נתונים בעמודה שלמה, או בנושא של הודעה, במזהה ההודעה, בשולח ועוד.

ביטול פעולות

אפשר לבטל פעולות בכלי החקירה לפני שהן מסתיימות. לדוגמה, אם התחלתם פעולה להשעיית כמה משתמשים, תוכלו ללחוץ על ביטול בתחתית הדף 'חקירה'.

אם מבטלים עדכון בכמות גדולה, מקבלים תוצאות חלקיות אם הפעולה כבר בעיצומה.

הערה: בפעולות ייצוא, רק האדמין שהתחיל את הייצוא יכול לבטל אותו. בכל הפעולות האחרות, אדמינים שיש להם הרשאות ספציפיות לביצוע פעולה על הנתונים שרלוונטיים לפעולה – כמו Drive,‏ Gmail או נייד – יכולים לבטל את הפעולה.

ניסיון חוזר של פעולות

כשמבצעים עדכונים בכמות גדולה, יכול להיות שתיתקלו מדי פעם בשגיאות חיפוש. לדוגמה, אם חלק מהמשתמשים לא נכללים בתוצאות החיפוש. אם זה קורה, אפשר לנסות שוב את הפעולות הבאות:

  1. אחרי שמבצעים פעולה בכלי לחקירה, לוחצים על הצגת פרטים.
  2. בחלונית פרטי הפעולה, לוחצים על ניסיון חוזר.
  3. לוחצים על הפעולה בחלון הניסיון החוזר – לדוגמה, לוחצים על סימון כספאם.

ייצוא של תוצאות הפעולה לקובץ Sheets בתיקייה 'האחסון שלי'

כדי לשמור את תוצאות הפעולה בתיקייה 'האחסון שלי':

  1. לוחצים על הלחצן ייצוא בחלק העליון של טבלת תוצאות הפעולה.
  2. מקלידים שם לייצוא.
  3. לוחצים על ייצוא.

צפייה בתוצאות של פעולות שיוצאו

כשמעיינים בתוצאות של פעולות שיוצאו, חשוב לשים לב לנקודות הבאות:

  • אחרי שלוחצים על לחצן הייצוא בחלק העליון של הטבלה, נוצר גיליון Google Sheets בתיקייה 'האחסון שלי' שכולל את תוצאות הפעולה. תהליך הייצוא עשוי להימשך זמן מה, בהתאם לגודל התוצאות, ויכול להיות שייווצרו כמה גיליונות אלקטרוניים של Google Sheets. מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-30 מיליון שורות.
  • במהלך הייצוא, נוצרים גיליונות אלקטרוניים ב-Google Sheets עם שם זמני – לדוגמה, TMP-1-<title>. אם נוצרים כמה גיליונות אלקטרוניים ב-Google Sheets, הקבצים הנוספים נקראים TMP-2-<title>,‏ TMP-3-<title> וכן הלאה. בסיום תהליך הייצוא, שמות הקבצים משתנים אוטומטית ל: <title> [1 of N],‏ <title> [2 of N] וכן הלאה. אם רק גיליון אלקטרוני אחד ב-Google Sheets מכיל את הנתונים המיוצאים, שם הקובץ ישונה ל-<title>.
  • הרשאות השיתוף של קבצים עם תוצאות הפעולה שיוצאו תלויות בהגדרות הדומיין. לדוגמה, אם כברירת מחדל הקבצים שנוצרו ישותפו עם כולם בחברה, גם הנתונים שיוצאו יהיו גלויים לכולם.