טיפול באירועים על סמך תוצאות החיפוש

הכלי לחקירת אבטחה
התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

אחרי שמבצעים חיפוש בכלי לחקירת אבטחה, אפשר לבצע כמה פעולות על סמך החיפוש. לדוגמה, אתם יכולים לבצע חיפוש על סמך אירועים ביומן של Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לסמן הודעות כספאם או פישינג, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים.

בסעיפים הבאים מפורטים הסברים והוראות לגבי הפעולות הרבות שאפשר לבצע בכלי החקירה.

הערה:

  • מקורות הנתונים הזמינים משתנים בהתאם למהדורת Google Workspace שבה אתם משתמשים.
  • לפני ביצוע פעולה על תוצאות החיפוש, אדמינים בארגון יכולים להזין טקסט של נימוק כדי לתעד את הסיבות לפעולות שלהם. סופר-אדמינים יכולים להפעיל את האפשרות הזו על ידי שינוי ההגדרות של הכלי לחקירה. הוראות מפורטות זמינות במאמר הגדרת ההגדרות של החקירות.
  • אם מצמצמים את טווח התאריכים של החיפוש, התוצאות יופיעו בכלי החקירה מוקדם יותר. לדוגמה, אם מצמצמים את החיפוש לאירועים שהתרחשו בשבוע האחרון, השאילתה תחזיר תוצאות מהר יותר מאשר אם מחפשים בלי להגביל את השאילתה לתקופה קצרה יותר.
  • אם מתרחש פסק זמן כשמבצעים פעולה בכמות גדולה, צריך לצמצם את טווח התאריכים של החיפוש ולנסות שוב.

סוגי הפעולות בכלי החקירה

פעולות במכשירים

כשמבצעים חיפוש על סמך 'מכשירים' או 'אירועי מכשיר ביומן', אפשר לבחור מכשירים בתוצאות החיפוש ולבצע את הפעולות הבאות:

  • אישור המכשיר – אישור המכשיר. אם בחרתם באפשרות הפעלת הפעלת המכשיר, מכשירים שנרשמים אחרי שהפעלתם את ההגדרה הזו יצטרכו אישור לפני שיוכלו להתחיל בסנכרון עם הדומיין שלכם. הפעלת האפשרות 'הפעלת המכשיר' מחייבת את המשתמש במכשיר להתקין את אפליקציית Device Policy כדי לסנכרן עם Google Workspace.
  • חסימת המכשיר – חסימת הגישה לנתונים ב-Google Workspace (Gmail, יומן Google ואנשי קשר) במכשיר. המשתמש עדיין יכול לגשת ל-Gmail, ליומן ולאנשי הקשר שלו ממחשב או מדפדפן בנייד.
  • איפוס נתונים של מכשיר אחד בחשבון אדמין – איפוס מרחוק של נתוני Google Workspace בלבד מהמכשיר. פרטים נוספים מופיעים במאמר בנושא הסרה של נתוני חברה ממכשיר נייד.
  • איפוס נתונים של מכשיר מרחוק – איפוס מרחוק של כל הנתונים במכשיר. פרטים נוספים מופיעים במאמר בנושא הסרה של נתוני חברה ממכשיר נייד.
  • ביטול האיפוס מרחוק של נתוני מכשיר אחד – ביטול של איפוס מרחוק של נתוני המכשיר.

פעולות לאירועים ביומן של Drive

כשמבצעים חיפוש שמבוסס על אירועים ביומן של Drive, אפשר לבחור קבצים בתוצאות החיפוש, לבדוק את ההרשאות לקבצים האלה ועוד.

מבצעים את הפעולות הבאות:

  1. אחרי שמריצים חיפוש בכלי לחקירת אבטחה על סמך אירועים ביומן של Drive, מסמנים את התיבות של הקבצים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות > בדיקת הרשאות בקובץ כדי לפתוח את הדף הרשאות.
    בכרטיסייה קבצים, שמוצגת כברירת מחדל, מוצגים קבצים שנכללו בתוצאות החיפוש. מכאן אפשר לנהל את הגישה לקבצים האלה. בשלב הזה, התצוגה הזו לא כוללת קבצים באחסון שיתופי.
  3. לוחצים על אנשים כדי לראות את המשתמשים והקבוצות שיש להם גישה לקבצים.
    לאנשים ברשימה הזו יש גישה לפריט אחד או יותר מתוצאות החיפוש. בתצוגה הזו אפשר לנהל את הגישה של אנשים (משתמשים וקבוצות).
  4. לוחצים על קישורים כדי לראות או לשנות את הגדרות שיתוף הקישורים בקבצים שנבחרו.
  5. אם רוצים להעניק גישה לקובץ למשתמשים נוספים, לוחצים על הוספת משתמשים. אפשר להוסיף כמה משתמשים באמצעות רשימה מופרדת בפסיקים, ולבחור את רמת הגישה של המשתמשים שמוסיפים.

    הערה: בפעולות בכרטיסייה 'אחסון שיתופי', אפשר לערוך רק את הגישה לקבצים באחסון השיתופי. קבצים שלא נמצאים באחסון שיתופי לא יופיעו בכרטיסייה הזו.
  6. לוחצים על שינויים בהמתנה כדי לבדוק את השינויים לפני השמירה.

פעולות בתיקיות אחסון שיתופי

אם יש לכם את ההרשאה Drive Update or Delete (עדכון או מחיקה של Drive) בכלי החקירה בנושאי אבטחה ואז, אתם יכולים גם לשנות תיקיות באחסון השיתופי וקבצים בתיקיות האלה:

  • אתם יכולים לשנות, להסיר או להוסיף את רמת הגישה של חברים באחסון השיתופי.
  • אתם יכולים לשנות, להסיר או להוסיף גישה שניתנה למשתמשים ישירות לקובץ או לקבצים באחסון השיתופי.

הערה: ב-Google Drive אפשר לשתף תיקיות ולשנות את הבעלות עליהן, אבל בכלי לחקירת אבטחה אדמינים לא יכולים לבצע את הפעולות האלה.

פעולות עבור הודעות ב-Gmail ואירועים ביומן של Gmail

כשמבצעים חיפוש שמבוסס על הודעות ב-Gmail או על אירועים ביומן של Gmail, אפשר לבחור הודעות בתוצאות החיפוש ואז לבצע את הפעולות הבאות (הפעולות האפשריות חלות רק על הודעות ב-Gmail, ולא כוללות הודעות בקבוצות Google):

  • הצגת הכותרת
  • הצגת הודעות
  • מחיקת הודעות
  • שחזור הודעות
  • סימון ההודעה כספאם
  • סימון ההודעה כניסיון פישינג
  • שליחת ההודעה לתיבת הדואר הנכנס (מסירה גם סיווג של ספאם או פישינג)
  • שליחת ההודעה להסגר (ההודעות נשלחות להסגר שמוגדר כברירת מחדל)

    חשוב: הודעות שנשלחות להסגר נמחקות אוטומטית כשמופעלת מדיניות השמירה של Vault. לכן, אם ההודעות האלה ישנות יותר ממדיניות השמירה של Vault, הן יימחקו במקום להישלח להסגר. השמירה מוגדרת כברירת מחדל ל-30 ימים אחרי שהאימייל נשלח או התקבל. אפשר גם להשתמש ב-Vault כדי להגדיר כללי שמירה מותאמים אישית.

לדוגמה, כדי לשלוח הודעה לתיבת הדואר הנכנס של משתמש:

  1. אחרי שמריצים את החיפוש בכלי החקירה, מסמנים את התיבות של ההודעות הרלוונטיות בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות שליחת ההודעה לתיבת הדואר הנכנס.
  4. כדי לאשר, לוחצים על שליחה לתיבת הדואר הנכנס.
  5. כדי לראות את תוצאת הפעולה, לוחצים על הצגה בתחתית הדף.
    בעמודה 'תוצאה' אפשר לראות את סטטוס הפעולה – לדוגמה, ההודעה נשלחה לתיבת הדואר הנכנס.

הערה: אפשר גם להציג את התוכן של הודעות Gmail. פרטים נוספים זמינים במאמר צפייה בתוכן של הודעות Gmail.

פעולות למשתמשים

כשמבצעים חיפוש לפי משתמשים, אפשר לבחור משתמשים בתוצאות החיפוש ואז לבצע את הפעולות הבאות:

  • ביטול השעיית חשבון המשתמש
  • השעיית משתמש

לדוגמה, כדי להשעות משתמשים ספציפיים בתוצאות החיפוש:

  1. אחרי שמריצים את החיפוש בכלי החקירה, מסמנים את התיבות של המשתמשים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות השעיית המשתמש.
  4. כדי לאשר, לוחצים על השעיית משתמשים.

אפשר לבצע את אותם השלבים כדי לשחזר משתמשים.

פעולות לאירועים ביומן משתמשים

כשמבצעים חיפוש על סמך אירועים ביומן המשתמשים, אפשר לבחור משתמשים בתוצאות החיפוש ולבצע את הפעולות הבאות:

  • שנה את הסיסמה באופן יזום
  • ביטול השעיית חשבון המשתמש
  • השעיית משתמש

לדוגמה, כדי להשעות משתמשים ספציפיים בתוצאות החיפוש:

  1. אחרי שמריצים את החיפוש בכלי החקירה, מסמנים את התיבות של המשתמשים הרלוונטיים בתוצאות החיפוש.
  2. לוחצים על פעולות.
  3. בוחרים באפשרות השעיית המשתמש.
  4. כדי לאשר, לוחצים על השעיית משתמשים.

אפשר לבצע את אותם השלבים כדי לשחזר משתמשים.

פעולות לאירועים ביומן של Meet

כשמבצעים חיפוש על סמך אירועים ביומן של Meet, אפשר להשתמש בפעולה סיום הפגישה לכולם כדי להסיר את כל המשתמשים מפגישות נבחרות בארגון. לדוגמה, יכול להיות שתרצו למנוע ממשתמשים לקיים פגישות ללא השגחה כשהמארח לא נמצא בפגישה, או אחרי שהאירוע הסתיים.

פרטים נוספים מופיעים במאמר בנושא שימוש בכלי החקירה כדי לסיים פגישות.

ביצוע פעולות בכמות גדולה בעזרת תוצאות החיפוש

בנוסף לבחירת פריטים בודדים בתוצאות החיפוש ולביצוע פעולות עליהם, אתם יכולים לבצע פעולות בכמות גדולה על דף שלם, או על כל התוצאות בכל הדפים.

הערה: אם מתרחש פסק זמן כשמבצעים פעולה בכמות גדולה, צריך לצמצם את טווח התאריכים של החיפוש ולנסות שוב לבצע את הפעולה בכמות גדולה.

כדי לבצע פעולות בכמות גדולה על תוצאות החיפוש בדף הנוכחי שמוצג:

  1. לוחצים על תיבת הסימון בראש העמודה הימנית ביותר. הפעולה הזו תסמן את כל התיבות בדף הנוכחי.
  2. לוחצים על פעולות בסרגל הכותרת.

כדי לבצע פעולות בכמות גדולה על כל תוצאות החיפוש בכל הדפים:

  1. לוחצים על תיבת הסימון בראש העמודה הימנית ביותר.
  2. לוחצים על בחירת כל התוצאות. הפעולה הזו מסמנת את כל התיבות בכל הדפים של תוצאות החיפוש.

  3. לוחצים על פעולות בסרגל הכותרת.

    הערה: אם תלחצו על הדף הבא בתוצאות החיפוש במהלך התהליך הזה, כל התיבות בכל הדפים של תוצאות החיפוש יבוטלו ותצטרכו להתחיל מחדש.

בדיקת הסטטוס של עדכונים בכמות גדולה

אתם יכולים לבדוק את הסטטוס של משימות גדולות במסוף Google Admin כדי לראות אם הן עדיין בתהליך או שהן הסתיימו.

לדוגמה, אם אחת מהפעולות הגורפות בכלי החקירה נמשכת זמן רב, אפשר לצאת ממסוף Admin ולחזור מאוחר יותר כדי לבדוק את סטטוס הפעולה.

בחלק העליון של מסוף Admin, לוחצים על משימות כדי לראות את הסטטוס של המשימות הגדולות.

פרטים נוספים זמינים במאמר בנושא בדיקת הסטטוס של משימות גדולות.

שינוי ציר (pivot) על סמך עמודות בתוצאות החיפוש

אתם יכולים להשתמש בסיבוב על סמך עמודות בתוצאות החיפוש של כלי החקירה כדי לראות נתונים על פריט שקשור למקור נתונים אחר. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן של Gmail, ואז ללחוץ על נמען כלשהו בעמודה 'נמען' כדי ליצור שאילתת אירועים ב-Drive לפי בעלים. כך תוכלו לנתח נתונים על משתמש ספציפי משני מקורות נתונים שונים – אירועים ביומן Gmail ואירועים ביומן Drive.

כדי להעביר את ההתמקדות מתוצאות החיפוש של אירוע ביומן של Gmail לאירוע ביומן של Drive, מבצעים את הפעולות הבאות:

  1. אחרי שמריצים חיפוש בכלי לחקירת אבטחה, מעבירים את העכבר מעל המשתמש הרלוונטי בעמודה 'נמען'.
  2. לוחצים על סמל התפריט (שלוש נקודות אנכיות) של המשתמש.
  3. בוחרים באפשרות אירועים ביומן של Drive ואז בעלים. הקריטריונים לחיפוש מוזנים אוטומטית בחיפוש של אירועים ביומן של Drive.
  4. אפשר לכלול תנאים נוספים בחיפוש – לדוגמה, Title (שם) או Visibility (חשיפה).
  5. לוחצים על חיפוש.

אפשר לבצע פעולות נוספות של שינוי נקודת המבט על הרבה פריטים בתוצאות החיפוש. לדוגמה, אפשר להשתמש בסיבוב נתונים בעמודה שלמה, או בנושא של הודעה, במזהה ההודעה, בשולח ועוד.

ביטול פעולות

אפשר לבטל פעולות בכלי החקירה לפני שהן מסתיימות. לדוגמה, אם התחלתם פעולה להשעיית כמה משתמשים, תוכלו ללחוץ על ביטול בתחתית הדף 'חקירה'.

אם מבטלים עדכון בכמות גדולה, מקבלים תוצאות חלקיות אם הפעולה כבר בעיצומה.

הערה: בפעולות ייצוא, רק האדמין שהתחיל את הייצוא יכול לבטל אותו. בכל הפעולות האחרות, אדמינים שיש להם את ההרשאות הספציפיות לביצוע פעולה על הנתונים שרלוונטיים לפעולה – כמו Drive,‏ Gmail או נייד – יכולים לבטל את הפעולה.

ניסיון חוזר של פעולות

כשמבצעים פעולה גורפת, יכול להיות שתיתקלו מדי פעם בשגיאות חיפוש – לדוגמה, אם חלק מהמשתמשים לא נכללים בתוצאות החיפוש. אם זה קורה, אפשר לנסות שוב לבצע את הפעולות:

  1. אחרי שמבצעים פעולה בכלי החקירה, לוחצים על הצגת פרטים.
  2. בחלונית פרטי הפעולה, לוחצים על ניסיון חוזר.
  3. לוחצים על הפעולה בחלון הניסיון החוזר – לדוגמה, לוחצים על סימון כספאם.

ייצוא תוצאות של פעולות לקובץ Sheets בתיקייה 'האחסון שלי'

כדי לשמור את תוצאות הפעולה בתיקייה 'האחסון שלי':

  1. לוחצים על הלחצן ייצוא בחלק העליון של הטבלה עם תוצאות הפעולה.
  2. מקלידים שם לייצוא.
  3. לוחצים על ייצוא.

צפייה בתוצאות של פעולות שיוצאו

כשמעיינים בתוצאות של פעולות שיוצאו, חשוב לשים לב לנקודות הבאות:

  • אחרי שלוחצים על לחצן הייצוא בחלק העליון של הטבלה, נוצר גיליון Google Sheets בתיקייה 'האחסון שלי' שכולל את תוצאות הפעולה. תהליך הייצוא עשוי להימשך זמן מה, בהתאם לגודל התוצאות, ויכול להיות שייווצרו כמה גיליונות אלקטרוניים ב-Google Sheets. מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-30 מיליון שורות.
  • במהלך הייצוא, נוצרים גיליונות אלקטרוניים ב-Google Sheets עם שם זמני – לדוגמה, TMP-1-<title>. אם נוצרים כמה גיליונות אלקטרוניים ב-Google Sheets, קבצים נוספים מקבלים את השמות TMP-2-<title>,‏ TMP-3-<title> וכן הלאה. בסיום תהליך הייצוא, שמות הקבצים משתנים אוטומטית ל: <title> [1 of N],‏ <title> [2 of N] וכן הלאה. אם רק גיליון Google אחד מכיל את הנתונים המיוצאים, שם הקובץ ישונה ל-<title>.
  • הרשאות השיתוף של קבצים עם תוצאות הפעולה המיוצאות נקבעות לפי הגדרת הדומיין. לדוגמה, אם כברירת מחדל הקבצים שנוצרים ישותפו עם כולם בחברה, גם לנתונים המיוצאים תהיה רמת החשיפה הזו.