Realizar ações com base nos resultados da pesquisa

Ferramenta de investigação de segurança
Edições compatíveis com este recurso: Frontline Standard e Frontline Plus; Enterprise Standard e Enterprise Plus; Education Standard e Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Comparar sua edição

Depois de fazer uma pesquisa na ferramenta de investigação de segurança, você pode realizar diferentes ações. Por exemplo, você pode fazer uma pesquisa com base nos eventos de registro do Gmail e usar a ferramenta para excluir mensagens específicas, marcá-las como spam ou phishing, enviá-las para a quarentena ou para as caixas de entrada dos usuários.

Leia as seções abaixo para ver mais detalhes e instruções sobre os recursos da ferramenta de investigação.

Observação:

  • As fontes de dados disponíveis variam de acordo com a edição do Google Workspace.
  • Antes de realizar ações nos resultados da pesquisa, os administradores da sua organização podem ter a opção de digitar o texto da justificativa para registrar os motivos das ações. Se você é um superadministrador, pode ativar essa opção nas configurações da ferramenta de investigação. Para instruções, consulte Configurar suas investigações.
  • Se você restringir o período da sua pesquisa, os resultados vão aparecer na ferramenta de investigação mais rapidamente. Por exemplo, uma pesquisa restrita aos eventos da última semana retorna resultados em menos tempo do que uma pesquisa sem restrições.
  • Se um tempo limite for atingido ao fazer uma ação em massa, reduza o período da pesquisa e tente novamente.

Tipos de ações na ferramenta de investigação

Ações para dispositivos

Quando você faz uma pesquisa com base em dispositivos ou em eventos de registro do dispositivo, pode selecionar os dispositivos nos resultados da pesquisa e escolher uma destas ações:

  • Aprovar dispositivo: aprova o dispositivo. Se você tiver selecionado Permitir a ativação do dispositivo, os dispositivos registrados após a ativação dessa opção precisarão ser aprovados para começar a sincronizar com seu domínio. A ativação do dispositivo exige que o usuário instale o app Device Policy para sincronizar com o Google Workspace.
  • Bloquear dispositivo: bloqueia o acesso aos dados do Google Workspace (Gmail, Agenda e contatos) no dispositivo. O usuário ainda pode acessar o Gmail, o Agenda e os contatos em um computador desktop ou navegador para dispositivos móveis.
  • Excluir permanentemente a conta de administrador do dispositivo: exclui remotamente apenas os dados do Google Workspace no dispositivo. Para mais detalhes, consulte Remover dados corporativos de um dispositivo móvel.
  • Apagamento remoto do dispositivo: exclui permanentemente de maneira remota todos os dados do dispositivo. Para mais detalhes, consulte Remover dados corporativos de um dispositivo móvel.
  • Cancelar apagamento remoto do dispositivo: cancela uma exclusão permanente no dispositivo.

Ações em eventos de registro do Drive

Quando você faz uma pesquisa com base nos eventos de registro do Drive, pode selecionar arquivos nos resultados da pesquisa, auditar as permissões desses arquivos e muito mais.

Faça o seguinte:

  1. Após fazer uma pesquisa na ferramenta de investigação de segurança com base nos eventos de registro do Drive, marque as caixas dos arquivos relevantes nos resultados da pesquisa.
  2. Clique em Ações > Permissões do arquivo de auditoria para abrir a página Permissões.
    A guia Arquivos, que é exibida por padrão, mostra os arquivos incluídos nos resultados da pesquisa. Nessa guia, você gerencia o acesso a esses arquivos. No momento, arquivos em drives compartilhados não aparecem nessa visualização.
  3. Clique em Pessoas para ver os usuários e grupos com acesso aos arquivos.
    As pessoas nessa lista têm acesso a um ou mais itens nos resultados da pesquisa. Use essa visualização para gerenciar o acesso de pessoas (usuários e grupos).
  4. Clique em Links para ver ou modificar as configurações de compartilhamento de link nos arquivos selecionados.
  5. Clique em Adicionar usuários se quiser que mais pessoas tenham acesso aos arquivos. Com uma lista separada por vírgulas, você adiciona vários usuários e seleciona o nível de acesso deles.

    Observação:para ações na guia "Drive compartilhado", você só pode editar o acesso a arquivos no drive compartilhado. Os arquivos fora de um drive compartilhado não aparecem nessa guia.
  6. Clique em Alterações pendentes para revisar suas mudanças antes de salvar.

Ações para drives compartilhados

Se você tiver o privilégio na Ferramenta de investigação de segurança e depois Atualização ou exclusão do Drive, também poderá modificar drives compartilhados e os arquivos que eles contêm:

  • É possível alterar, remover ou adicionar o nível de acesso de um membro do drive compartilhado.
  • Também é possível alterar, remover ou adicionar o acesso que os usuários receberam a um ou mais arquivos em um drive compartilhado.

Observação:embora o Google Drive permita o compartilhamento de pastas e a alteração da propriedade de pastas, a ferramenta de investigação não permite que os administradores realizem essas operações.

Ações para mensagens e eventos de registro do Gmail

Quando você faz uma pesquisa com base nas mensagens ou nos eventos do registro do Gmail, pode selecionar mensagens nos resultados da pesquisa e depois escolher uma das ações abaixo. As opções disponíveis só se aplicam a mensagens no Gmail e não incluem mensagens no Grupos do Google.

  • Ver cabeçalho
  • Veja as mensagens
  • Excluir mensagens
  • Restaurar mensagens
  • Marcar a mensagem como spam
  • Marcar mensagem como phishing
  • Enviar mensagem para a Caixa de entrada (também remove uma classificação de spam ou phishing)
  • Enviar mensagem para a quarentena (as mensagens são enviadas para a quarentena padrão)

    Importante:as mensagens enviadas para a quarentena são excluídas automaticamente quando a política de retenção do Vault é acionada. Portanto, se essas mensagens forem mais antigas que a política de retenção do Vault, elas serão excluídas em vez de enviadas para a quarentena. A retenção padrão é definida como 30 dias após o envio ou o recebimento do e-mail original. Você também pode usar o Vault para definir regras de retenção personalizadas.

Por exemplo, se você quiser enviar uma mensagem para a caixa de entrada de um usuário:

  1. Após fazer sua pesquisa na ferramenta de investigação, marque as caixas das mensagens relevantes nos resultados da pesquisa.
  2. Clique em Ações.
  3. Escolha Enviar mensagem para a Caixa de entrada.
  4. Para confirmar, clique em Enviar para a Caixa de entrada.
  5. Para ver o resultado da ação, clique em Visualizar na parte de baixo da página.
    Na coluna "Resultado", você pode ver o status da ação, como A mensagem foi enviada para a Caixa de entrada.

Observação:também é possível ver o conteúdo das mensagens do Gmail. Para mais detalhes, consulte Ver o conteúdo das mensagens do Gmail.

Ações para usuários

Quando você faz uma pesquisa com base em usuários, pode selecionar usuários nos resultados e depois escolher estas ações:

  • Restaurar usuário
  • Suspender usuário

Por exemplo, para suspender usuários específicos nos resultados da pesquisa, faça o seguinte:

  1. Após fazer sua pesquisa na ferramenta de investigação, marque as caixas dos usuários relevantes nos resultados da pesquisa.
  2. Clique em Ações.
  3. Escolha Suspender usuário.
  4. Para confirmar, clique em Suspender usuários.

Você pode usar etapas semelhantes para restaurar usuários.

Ações para eventos de registro do usuário

Quando você faz uma pesquisa com base em eventos de registro do usuário, pode selecionar usuários nos resultados da pesquisa e fazer o seguinte:

  • Forçar alteração de senha
  • Restaurar usuário
  • Suspender usuário

Por exemplo, para suspender usuários específicos nos resultados da pesquisa, faça o seguinte:

  1. Após fazer sua pesquisa na ferramenta de investigação, marque as caixas dos usuários relevantes nos resultados da pesquisa.
  2. Clique em Ações.
  3. Escolha Suspender usuário.
  4. Para confirmar, clique em Suspender usuários.

Você pode usar etapas semelhantes para restaurar usuários.

Ações em eventos de registro do Meet

Quando você faz uma pesquisa com base nos eventos de registro do Meet, pode usar a ação Encerrar a reunião para todos para remover todos os usuários das reuniões selecionadas na sua organização. Por exemplo, você pode impedir que os usuários participem de reuniões não supervisionadas quando o organizador não estiver presente ou após a conclusão de um evento.

Para mais detalhes, consulte Usar a ferramenta de investigação para encerrar reuniões.

Ações em massa com os resultados da pesquisa

Além de selecionar cada item nos resultados da pesquisa e escolher uma ação, você pode realizar ações em massa em uma página inteira ou em todas as páginas de resultados.

Observação:se um tempo limite for atingido ao fazer uma ação em massa, reduza o período da pesquisa e tente novamente.

Para realizar ações em massa nos resultados da pesquisa na página em que você está:

  1. Clique na caixa de seleção na parte de cima da coluna à esquerda. Isso marca todas as caixas da página.
  2. Clique em Ações na barra de cabeçalho.

Para realizar ações em massa em todos os resultados da pesquisa em todas as páginas:

  1. Clique na caixa de seleção na parte de cima da coluna à esquerda.
  2. Clique em Selecionar todos os resultados. Isso marca as caixas em todas as páginas dos resultados da pesquisa.

  3. Clique em Ações na barra de cabeçalho.

    Observação:se você clicar na última página dos resultados da pesquisa durante esse processo, as caixas de todas as páginas de resultados serão desmarcadas, e será preciso fazer uma nova pesquisa.

Verificar o status das ações em massa

Você pode verificar o status das tarefas grandes no Google Admin Console para saber se elas estão em andamento ou foram concluídas.

Por exemplo, se uma das ações em massa na ferramenta de investigação levar muito tempo para ser concluída, você poderá sair do Admin Console, depois voltar e verificar o status da ação.

Na parte de cima do Admin Console, clique em Tarefas para ver o status das tarefas grandes.

Para mais detalhes, consulte Verificar o status de tarefas grandes.

Rotação das colunas nos resultados da pesquisa

Na ferramenta de investigação, você pode fazer uma rotação das colunas nos resultados da pesquisa para ver dados sobre itens relacionados a outra fonte de dados. Por exemplo, é possível fazer uma pesquisa com base nos eventos de registro do Gmail, depois clicar em qualquer destinatário na coluna "Destinatário" para criar uma consulta de evento no Drive por proprietário. Com isso, você analisa dados sobre um usuário específico em duas origens diferentes: os eventos de registro do Gmail e os eventos de registro do Drive.

Para fazer uma rotação entre um evento de registro do Gmail e um evento de registro do Drive nos resultados da pesquisa:

  1. Após pesquisar na ferramenta de investigação de segurança, passe o cursor sobre o usuário relevante na coluna "Destinatário".
  2. Clique no ícone de menu (três pontos verticais) do usuário.
  3. Escolha Eventos de registro do Drive e depois Proprietário. Os critérios de pesquisa são inseridos automaticamente em uma pesquisa dos Eventos de registro do Drive.
  4. Inclua outras condições na pesquisa, como Título ou Visibilidade.
  5. Clique em Pesquisar.

Você pode fazer rotações de muitos itens nos resultados da pesquisa. Por exemplo, é possível fazer a rotação de uma coluna inteira, do assunto da mensagem, do código da mensagem, do remetente e de outras informações.

Cancelar ações

Você pode cancelar ações na ferramenta de investigação antes que elas sejam concluídas. Por exemplo, se você tiver iniciado uma ação para suspender vários usuários, clique em Cancelar na parte de baixo da página "Investigação".

Se você cancelar uma ação em massa, vai receber resultados parciais se ela já estiver em andamento.

Observação:uma exportação só pode ser cancelada pelo administrador que a iniciou. Em todas as outras ações, os administradores que têm os privilégios específicos para realizar ações nos dados relevantes, como Drive, Gmail ou Dispositivos móveis, podem cancelar a ação.

Repetir ações

Ao realizar uma ação em massa, você poderá encontrar erros de pesquisa, por exemplo, se alguns usuários não estiverem incluídos nos resultados da pesquisa. Se isso ocorrer, você poderá repetir ações:

  1. Depois de concluir uma ação na ferramenta de investigação, clique em VER DETALHES.
  2. No painel Detalhes da ação, clique em REPETIR.
  3. Clique na ação na janela de novas tentativas. Por exemplo, clique em MARCAR COMO SPAM.

Exportar os resultados da ação para um arquivo do Planilhas na pasta Meu Drive

Para salvar os resultados da ação na pasta "Meu Drive", faça o seguinte:

  1. Clique no botão Exportar, na parte de cima da tabela, para conferir os resultados da ação.
  2. Digite um nome para a exportação.
  3. Clique em Exportar.

Ver os resultados de ações exportados

Observe o seguinte nos resultados da ação exportados:

  • Quando você clica no botão Exportar, na parte de cima da tabela, um arquivo do Planilhas Google com os resultados da ação é criado na sua pasta "Meu Drive". Dependendo do tamanho dos resultados, o processo de exportação pode levar algum tempo, e vários arquivos do Planilhas Google podem ser criados. O total de resultados da exportação é limitado a 30 milhões de linhas.
  • Enquanto a exportação está em andamento, os arquivos do Planilhas Google são criados com um nome temporário, por exemplo, TMP-1-<título>. Se várias planilhas do Google forem criadas, os arquivos adicionais serão chamados TMP-2-<título>, TMP-3 <título> e assim por diante. Quando a exportação é concluída, os arquivos são renomeados automaticamente como <título> [1 de N], <título> [2 de N] etc. Se apenas um arquivo do Planilhas Google tiver os dados exportados, ele será renomeado como <título>.
  • As permissões de compartilhamento dos arquivos com os resultados da ação exportados são definidas pela configuração do seu domínio. Por exemplo, quando os arquivos criados são compartilhados com todos os funcionários da empresa por padrão, eles também veem os dados exportados.