טיפול באירועים על סמך תוצאות החיפוש

הכלי לחקירת אבטחה
התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אחרי שמבצעים חיפוש בכלי לחקירת אבטחה, אפשר לבצע כמה פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לסמן הודעות כספאם או פישינג, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים.

בסעיפים הבאים מפורטים ההוראות והפרטים על הפעולות הרבות שאפשר לבצע בכלי לחקירת אבטחה.

שימו לב:

  • מקורות הנתונים הזמינים משתנים בהתאם למהדורת Google Workspace שבה אתם משתמשים.
  • לפני שמבצעים פעולה על תוצאות החיפוש, יכול להיות שאדמינים בארגון יוכלו להזין טקסט של נימוק כדי לתעד את הסיבות לפעולות שלהם. סופר-אדמינים יכולים להפעיל את האפשרות הזו על ידי שינוי ההגדרות של כלי החקירה. הוראות מופיעות במאמר קביעת הגדרות של החקירות.
  • אם מצמצמים את טווח התאריכים בחיפוש, התוצאות מופיעות מהר יותר בכלי לחקירה. לדוגמה, אם מצמצמים את החיפוש לאירועים שהתרחשו בשבוע האחרון, השאילתה מחזירה תוצאות מהר יותר מאשר בחיפוש שלא מוגבל לתקופה קצרה יותר.
  • אם מתרחש זמן קצוב לתפוגה כשמבצעים עדכונים בכמות גדולה, צריך לצמצם את טווח התאריכים של החיפוש ולנסות שוב.

סוגי הפעולות בכלי החקירה

פעולות במכשירים

כשמבצעים חיפוש על סמך מכשירים או אירועים ב קובץ יומן במכשיר , אפשר לבחור מכשירים בתוצאות החיפוש ולבצע את הפעולות הבאות:

  • אישור המכשיר – אישור המכשיר. אם בחרתם באפשרות הפעלת הפעלת המכשיר, מכשירים שנרשמים אחרי שהפעלתם את ההגדרה הזו יצטרכו אישור לפני שיוכלו להתחיל בסנכרון עם הדומיין שלכם. הפעלת האפשרות 'הפעלת המכשיר' מחייבת את המשתמש במכשיר להתקין את האפליקציה Device Policy כדי לסנכרן עם Google Workspace.
  • חסימת מכשיר – חסימת הגישה לנתונים ב-Google Workspace (Gmail, יומן ואנשי קשר) במכשיר. המשתמש עדיין יכול לגשת ל-Gmail, ליומן ולאנשי הקשר שלו ממחשב או מדפדפן בנייד.
  • איפוס נתונים של מכשיר אחד בחשבון מנהל המערכת – איפוס מרחוק של נתוני Google Workspace בלבד מהמכשיר. פרטים נוספים מופיעים במאמר בנושא הסרה של נתוני חברה ממכשיר נייד.
  • איפוס נתונים של מכשיר מרחוק – איפוס מרחוק של כל הנתונים במכשיר. פרטים נוספים מופיעים במאמר בנושא הסרה של נתוני חברה ממכשיר נייד.
  • ביטול מחיקה מרחוק של מכשיר – ביטול של מחיקה מרחוק של המכשיר.

פעולות לאירועים ביומן של Drive

כשמבצעים חיפוש שמבוסס על אירועים ביומן של Drive, אפשר לבחור קבצים בתוצאות החיפוש, לבדוק את ההרשאות של הקבצים האלה ועוד.

מבצעים את הפעולות הבאות:

  1. אחרי שמריצים חיפוש בכלי לחקירת אבטחה על סמך אירועים ביומן של Drive, מסמנים את התיבות של הקבצים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות > בדיקת הרשאות בקובץ כדי לפתוח את הדף הרשאות.
    בכרטיסייה קבצים, שמוצגת כברירת מחדל, מוצגים קבצים שנכללו בתוצאות החיפוש. מכאן אפשר לנהל את הגישה לקבצים האלה. בשלב הזה, התצוגה הזו לא כוללת קבצים באחסון שיתופי.
  3. לוחצים על אנשים כדי לראות את המשתמשים והקבוצות שיש להם גישה לקבצים.
    לאנשים ברשימה הזו יש גישה לפריט אחד או יותר מתוצאות החיפוש. באמצעות התצוגה הזו אפשר לנהל את הגישה של אנשים (משתמשים וקבוצות).
  4. לוחצים על קישורים כדי לראות או לשנות את הגדרות שיתוף הקישורים בקבצים שנבחרו.
  5. אם רוצים להעניק גישה לקובץ למשתמשים נוספים, לוחצים על הוספת משתמשים. אפשר להוסיף כמה משתמשים באמצעות רשימה מופרדת בפסיקים, ולבחור את רמת הגישה של המשתמשים שמוסיפים.

    הערה: בפעולות בכרטיסייה 'אחסון שיתופי', אפשר לערוך רק את הגישה לקבצים באחסון השיתופי. קבצים שלא נמצאים באחסון שיתופי לא יופיעו בכרטיסייה הזו.
  6. לוחצים על שינויים בהמתנה כדי לבדוק את השינויים לפני השמירה.

פעולות באחסון השיתופי

אם יש לכם את ההרשאה Drive Update or Delete (עדכון או מחיקה של Drive) בכלי הכלי לחקירת אבטחה ואז, אתם יכולים גם לשנות תיקיות באחסון השיתופי וקבצים בתיקיות האחסון השיתופי:

  • אתם יכולים לשנות, להסיר או להוסיף את רמת הגישה של חבר באחסון השיתופי.
  • אתם יכולים לשנות, להסיר או להוסיף גישה שניתנה למשתמשים ישירות לקובץ או לקבצים באחסון השיתופי.

הערה: ב-Google Drive יש אפשרות לשתף תיקיות ולשנות את הבעלות על תיקיות, אבל בכלי לחקירת אבטחה אין לאדמינים אפשרות לבצע את הפעולות האלה.

פעולות בהודעות Gmail ובאירועים ביומן של Gmail

כשמבצעים חיפוש שמבוסס על הודעות ב-Gmail או על אירועים ביומן ב-Gmail, אפשר לבחור הודעות בתוצאות החיפוש ואז לבצע את הפעולות הבאות (הפעולות הזמינות חלות רק על הודעות ב-Gmail, ולא כוללות הודעות בקבוצות Google):

  • הצגת הכותרת
  • צפייה בהודעות
  • מחיקת הודעות
  • שחזור הודעות
  • סימון ההודעה כספאם
  • סימון ההודעה כניסיון פישינג
  • שליחת ההודעה לתיבת הדואר הנכנס (מסירה גם סיווג של ספאם או פישינג)
  • שליחת ההודעה להסגר (ההודעות נשלחות להסגר שמוגדר כברירת מחדל)

    חשוב: הודעות שנשלחות להסגר נמחקות אוטומטית כשמופעלת מדיניות שמירת הנתונים של Vault. לכן, אם ההודעות האלה ישנות יותר ממדיניות שמירת הנתונים של Vault, הן נמחקות במקום להישלח להסגר. ברירת המחדל של תקופת השמירה היא 30 ימים אחרי שהאימייל נשלח או התקבל. אפשר גם להשתמש ב-Vault כדי להגדיר כללי שמירה מותאמים אישית.

לדוגמה, כדי לשלוח הודעה לתיבת הדואר הנכנס של משתמש:

  1. אחרי שמריצים חיפוש בכלי החקירה, מסמנים את התיבות של ההודעות הרלוונטיות בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות שליחת ההודעה לתיבת הדואר הנכנס.
  4. כדי לאשר, לוחצים על שליחה לתיבת הדואר הנכנס.
  5. כדי לראות את תוצאת הפעולה, לוחצים על הצגה בתחתית הדף.
    בעמודה 'תוצאה' אפשר לראות את סטטוס הפעולה – לדוגמה, ההודעה נשלחה לתיבת הדואר הנכנס.

הערה: אפשר גם להציג את התוכן של הודעות Gmail. פרטים נוספים זמינים במאמר צפייה בתוכן של הודעות Gmail.

פעולות למשתמשים

כשמבצעים חיפוש על סמך משתמשים, אפשר לבחור משתמשים בתוצאות החיפוש ואז לבצע את הפעולות הבאות:

  • שחזר את המשתמש
  • השהה את המשתמש

לדוגמה, כדי להשעות משתמשים ספציפיים בתוצאות החיפוש:

  1. אחרי שמריצים חיפוש בכלי החקירה, מסמנים את התיבות של המשתמשים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות השעיית משתמש.
  4. כדי לאשר, לוחצים על השעיית משתמשים.

אפשר לבצע את אותם השלבים כדי לשחזר משתמשים.

פעולות לאירועים ביומן משתמשים

כשמבצעים חיפוש על סמך אירועים ביומן המשתמשים, אפשר לבחור משתמשים בתוצאות החיפוש ולבצע את הפעולות הבאות:

  • אילוץ שינוי סיסמה
  • שחזר את המשתמש
  • השהה את המשתמש

לדוגמה, כדי להשעות משתמשים ספציפיים בתוצאות החיפוש:

  1. אחרי שמריצים חיפוש בכלי החקירה, מסמנים את התיבות של המשתמשים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות השעיית משתמש.
  4. כדי לאשר, לוחצים על השעיית משתמשים.

אפשר לבצע את אותם השלבים כדי לשחזר משתמשים.

פעולות לאירועים ביומן של Meet

כשמבצעים חיפוש על סמך אירועים ביומן של Meet, אפשר להשתמש בפעולה סיום הפגישה לכולם כדי להסיר את כל המשתמשים מפגישות נבחרות בארגון. לדוגמה, יכול להיות שתרצו למנוע ממשתמשים לקיים פגישות ללא השגחה כשהמארח לא נמצא בפגישה, או אחרי שהאירוע הסתיים.

פרטים נוספים מופיעים במאמר בנושא שימוש בכלי החקירה כדי לסיים פגישות.

ביצוע פעולות בכמות גדולה בעזרת תוצאות החיפוש

בנוסף לבחירת פריטים בודדים בתוצאות החיפוש ולביצוע פעולות עליהם, אפשר לבצע פעולות בכמות גדולה על דף שלם, או לבצע פעולות בכמות גדולה על כל התוצאות בכל הדפים.

הערה: אם מתרחש זמן קצוב לתפוגה כשמבצעים עדכונים בכמות גדולה, צריך לצמצם את טווח התאריכים של החיפוש ואז לנסות שוב לבצע את העדכונים בכמות גדולה.

כדי לבצע עדכונים בכמות גדולה על תוצאות החיפוש בדף הנוכחי שמוצג:

  1. לוחצים על תיבת הסימון בראש העמודה הימנית ביותר. הפעולה הזו מסמנת את כל התיבות בדף הנוכחי.
  2. לוחצים על פעולות בסרגל הכותרת.

כדי לבצע פעולות בכמות גדולה על כל תוצאות החיפוש בכל הדפים:

  1. לוחצים על תיבת הסימון בראש העמודה הימנית ביותר.
  2. לוחצים על בחירת כל התוצאות. הפעולה הזו מסמנת את כל התיבות בכל הדפים של תוצאות החיפוש.

  3. לוחצים על פעולות בסרגל הכותרת.

    הערה: אם תלחצו על הדף הבא בתוצאות החיפוש במהלך התהליך הזה, כל התיבות בכל הדפים של תוצאות החיפוש יבוטלו ותצטרכו להתחיל מחדש.

בדיקת הסטטוס של עדכונים בכמות גדולה

אפשר לבדוק את הסטטוס של משימות גדולות במסוף Google Admin כדי לראות אם הן עדיין בתהליך או שהן הסתיימו.

לדוגמה, אם אחת מהפעולות בכמות גדולה בכלי החקירה נמשכת זמן רב, אפשר לצאת ממסוף Admin ולחזור מאוחר יותר כדי לבדוק את סטטוס הפעולה.

בחלק העליון של מסוף Admin, לוחצים על משימות כדי לראות את הסטטוס של המשימות הגדולות.

פרטים נוספים מופיעים גם במאמר בנושא בדיקת הסטטוס של משימות גדולות.

שינוי ציר (pivot) על סמך עמודות בתוצאות החיפוש

אפשר להשתמש בסיבוב נתונים (pivot) לפי עמודות בתוצאות החיפוש של כלי החקירה כדי לראות נתונים על פריט שקשור למקור נתונים אחר. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז ללחוץ על נמען כלשהו בעמודה 'נמען' כדי ליצור שאילתת אירועים ב-Drive לפי בעלים. כך תוכלו לנתח נתונים על משתמש ספציפי משני מקורות נתונים שונים – אירועים ביומן של Gmail ואירועים ביומן של Drive.

כדי לעבור מתוצאות החיפוש של אירוע ביומן של Gmail לאירוע ביומן של Drive:

  1. אחרי שמריצים חיפוש בכלי לחקירת אבטחה, מעבירים את העכבר מעל המשתמש הרלוונטי בעמודה 'נמען'.
  2. לוחצים על סמל התפריט (שלוש נקודות אנכיות) של המשתמש.
  3. בוחרים באפשרות אירועים ביומן של Drive ואז בעלים. הקריטריונים לחיפוש מוזנים אוטומטית כשמחפשים אירועים ביומן של Drive.
  4. אפשר לכלול בחיפוש תנאים נוספים, למשל Title (שם) או Visibility (חשיפה).
  5. לוחצים על חיפוש.

אפשר לבצע פעולות נוספות של שינוי נקודת המבט על הרבה פריטים בתוצאות החיפוש. לדוגמה, אפשר להשתמש בסיבוב כדי להציג את כל העמודה, או להציג את הנושא של ההודעה, מזהה ההודעה, השולח ועוד.

ביטול פעולות

אפשר לבטל פעולות בכלי החקירה לפני שהן מסתיימות. לדוגמה, אם התחלתם פעולה להשעיית כמה משתמשים, תוכלו ללחוץ על ביטול בתחתית הדף 'חקירה'.

אם מבטלים עדכונים בכמות גדולה, מקבלים תוצאות חלקיות אם הפעולה כבר בעיצומה.

הערה: בפעולות ייצוא, רק האדמין שהתחיל את הייצוא יכול לבטל אותו. לגבי כל הפעולות האחרות, אדמינים שיש להם הרשאות ספציפיות לביצוע פעולה על הנתונים שרלוונטיים לפעולה – כמו Drive,‏ Gmail או נייד – יכולים לבטל את הפעולה.

ניסיון חוזר של פעולות

כשמבצעים עדכונים בכמות גדולה, יכול להיות שתיתקלו מדי פעם בשגיאות חיפוש. לדוגמה, אם חלק מהמשתמשים לא נכללים בתוצאות החיפוש. אם זה קורה, אפשר לנסות שוב את הפעולות:

  1. אחרי שמבצעים פעולה בכלי לחקירה, לוחצים על הצגת פרטים.
  2. בחלונית פרטי הפעולה, לוחצים על ניסיון חוזר.
  3. לוחצים על הפעולה בחלון הניסיון החוזר – לדוגמה, לוחצים על סימון כספאם.

ייצוא תוצאות של פעולות לקובץ Sheets בתיקייה 'האחסון שלי'

כדי לשמור את תוצאות הפעולה בתיקייה 'האחסון שלי':

  1. לוחצים על הלחצן ייצוא בחלק העליון של הטבלה עם תוצאות הפעולה.
  2. מקלידים שם לייצוא.
  3. לוחצים על ייצוא.

צפייה בתוצאות של פעולות שיוצאו

כשמעיינים בתוצאות של פעולות שיוצאו, חשוב לשים לב לנקודות הבאות:

  • אחרי שלוחצים על לחצן הייצוא בחלק העליון של הטבלה, נוצר גיליון Google Sheets בתיקייה 'האחסון שלי' שכולל את תוצאות הפעולה. תהליך הייצוא עשוי להימשך זמן מה, בהתאם לגודל התוצאות, ויכול להיות שייווצרו כמה גיליונות אלקטרוניים של Google Sheets. מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-30 מיליון שורות.
  • במהלך הייצוא, נוצרים גיליונות אלקטרוניים ב-Google Sheets עם שם זמני – לדוגמה, TMP-1-<title>. אם נוצרים כמה גיליונות אלקטרוניים ב-Google Sheets, קבצים נוספים מקבלים את השמות TMP-2-<title>,‏ TMP-3-<title> וכן הלאה. בסיום תהליך הייצוא, שמות הקבצים משתנים אוטומטית ל: <title> [1 of N],‏ <title> [2 of N] וכן הלאה. אם רק גיליון אלקטרוני אחד ב-Google Sheets מכיל את הנתונים שיוצאו, שם הקובץ ישונה ל-<title>.
  • הרשאות השיתוף של קבצים עם תוצאות הפעולה המיוצאות נקבעות לפי הגדרות הדומיין שלכם. לדוגמה, אם כברירת מחדל הקבצים שנוצרים ישותפו עם כל העובדים בחברה, גם הנתונים המיוצאים יהיו גלויים לכולם.