Принимайте меры на основе результатов поиска.

Инструмент для проведения расследований в сфере безопасности
Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После проведения поиска в инструменте анализа угроз безопасности у вас есть возможность выполнить несколько действий на основе результатов поиска. Например, вы можете провести поиск по событиям журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, пометки сообщений как спам или фишинг, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей.

Подробную информацию и инструкции о многочисленных действиях, которые вы можете выполнить с помощью инструмента расследования, см. в разделах ниже.

Примечание:

  • Доступные источники данных будут различаться в зависимости от вашей версии Google Workspace.
  • Перед принятием мер в отношении результатов поиска администраторы вашей организации могут ввести обосновывающий текст, чтобы зафиксировать причины своих действий. Если вы являетесь суперадминистратором, вы можете включить эту опцию, изменив настройки инструмента расследования. Инструкции см. в разделе «Настройка параметров расследования» .
  • Если вы сузите диапазон дат для поиска, результаты появятся в инструменте анализа быстрее. Например, если вы сузите поиск до событий, произошедших за последнюю неделю, запрос будет выполнен быстрее, чем если бы вы искали без ограничения по более короткому периоду времени.
  • Если при выполнении пакетной операции происходит превышение времени ожидания, уменьшите диапазон дат для поиска и повторите попытку.

Типы действий в инструменте расследования

Действия для устройств

При выполнении поиска по устройствам или событиям журнала устройств вы можете выбрать устройства в результатах поиска, а затем выполнить следующие действия:

  • Подтвердить устройство — Подтверждает устройство. Если вы выбрали «Включить активацию устройства» , устройства, зарегистрированные после включения параметра активации устройства, должны быть подтверждены, прежде чем они смогут начать синхронизацию с вашим доменом. Включение активации устройства заставляет пользователя устройства установить приложение «Политика устройства» для синхронизации с Google Workspace.
  • Блокировка устройства — блокирует доступ к данным Google Workspace (Gmail, Календарь и контакты) на устройстве. Пользователь по-прежнему может получить доступ к своим Gmail, Календарю и контактам с настольного компьютера или мобильного браузера.
  • Удаление данных из учетной записи администратора — удаленно удаляет с устройства только данные Google Workspace. Дополнительные сведения см. в разделе «Удаление корпоративных данных с мобильного устройства» .
  • Удаленное удаление данных с устройства — удаленно удаляет все данные с устройства. Для получения более подробной информации см. раздел «Удаление корпоративных данных с мобильного устройства» .
  • Отмена удаленного стирания данных с устройства — Отменяет удаленное стирание данных с устройства.

Действия с событиями журнала диска

При выполнении поиска на основе событий журнала Google Диска вы можете выбирать файлы в результатах поиска, проверять права доступа к этим файлам и многое другое.

Выполните следующие действия:

  1. После выполнения поиска в инструменте анализа безопасности на основе событий журналов Google Диска, отметьте галочками соответствующие файлы в результатах поиска.
  2. Чтобы открыть страницу «Разрешения» , нажмите «Действия» > «Разрешения для файлов аудита» .
    Вкладка «Файлы» , которая отображается по умолчанию, показывает файлы, включенные в результаты поиска. Отсюда вы можете управлять доступом к этим файлам. В настоящее время файлы, доступные через общие диски, в этом режиме просмотра недоступны.
  3. Нажмите «Люди» , чтобы просмотреть пользователи и группы, имеющие доступ к файлам.
    Пользователи из этого списка имеют доступ к одному или нескольким элементам из результатов вашего поиска. Используйте этот раздел для управления доступом пользователей (пользователей и групп).
  4. Нажмите «Ссылки» , чтобы просмотреть или изменить настройки доступа к ссылкам для выбранных файлов.
  5. Нажмите «Добавить пользователей», если хотите предоставить доступ к файлам большему количеству пользователей. Вы можете добавить несколько пользователей, разделив их запятыми, и выбрать уровень доступа для добавляемых пользователей.

    Примечание: На вкладке «Общий диск» можно редактировать только доступ к файлам, находящимся внутри общего диска. Файлы, находящиеся за пределами общего диска, на этой вкладке не отображаются.
  6. Нажмите «Ожидающие изменения» , чтобы просмотреть внесенные изменения перед сохранением.

Действия для общих дисков

Если у вас есть инструмент для проведения расследований в сфере безопасности. а потом Имея права на обновление или удаление дисков , вы также можете изменять общие диски и файлы на общих дисках.

  • Вы можете изменить, удалить или добавить уровень доступа для участника общего диска.
  • Вы можете изменять, удалять или добавлять права доступа, предоставленные пользователям, непосредственно к файлу или файлам на общем диске.

Примечание: Хотя Google Drive позволяет предоставлять общий доступ к папкам и изменять права доступа к ним, инструмент расследования не предоставляет администраторам таких возможностей.

Действия с сообщениями Gmail и событиями журнала Gmail

При поиске сообщений Gmail или событий журнала Gmail вы можете выбрать сообщения в результатах поиска, а затем выполнить следующие действия (доступные действия применяются только к сообщениям в Gmail и не включают сообщения в группах Google):

  • Просмотреть заголовок
  • Просмотреть сообщения
  • Удалить сообщения
  • Восстановить сообщения
  • Пометить сообщение как спам
  • Пометить сообщение как фишинговое
  • Отправить сообщение во входящие (также удаляет метку «спам» или «фишинг»).
  • Отправить сообщение в карантин (сообщения отправляются в карантин по умолчанию)

    Важно: сообщения, отправленные в карантин, автоматически удаляются при срабатывании политики хранения Vault; поэтому, если эти сообщения старше установленного срока хранения Vault, они удаляются, а не отправляются в карантин. Срок хранения по умолчанию установлен на 30 дней с момента отправки или получения электронного письма. Вы также можете использовать Vault для установки пользовательских правил хранения .

Например, чтобы отправить сообщение в почтовый ящик пользователя:

  1. После выполнения поиска в инструменте расследования отметьте галочками соответствующие сообщения в результатах поиска.
  2. Нажмите «Действия» .
  3. Выберите «Отправить сообщение во входящие» .
  4. Для подтверждения нажмите « Отправить во входящие» .
  5. Чтобы просмотреть результат действия, нажмите кнопку «Просмотреть» внизу страницы.
    В столбце «Результат» можно просмотреть статус действия — например, «Сообщение успешно отправлено во входящие» .

Примечание: Вы также можете просмотреть содержимое сообщений Gmail. Подробнее см. раздел «Просмотр содержимого сообщений Gmail» .

Действия для пользователей

При выполнении поиска по пользователям вы можете выбрать пользователей в результатах поиска, а затем выполнить следующие действия:

  • Восстановить пользователя
  • Приостановить действие учетной записи пользователя

Например, чтобы заблокировать доступ к результатам поиска для определенных пользователей, выполните следующие действия:

  1. После выполнения поиска в инструменте расследования отметьте галочками соответствующих пользователей в результатах поиска.
  2. Нажмите «Действия» .
  3. Выберите «Приостановить действие учетной записи пользователя» .
  4. Для подтверждения нажмите « Приостановить действие учетных записей пользователей» .

Аналогичные шаги можно использовать для восстановления пользователей.

Действия с событиями журнала пользователя

При выполнении поиска на основе событий журнала пользователя вы можете выбрать пользователей в результатах поиска, а затем выполнить следующие действия:

  • Принудительная смена пароля
  • Восстановить пользователя
  • Приостановить действие учетной записи пользователя

Например, чтобы заблокировать доступ к результатам поиска для определенных пользователей, выполните следующие действия:

  1. После выполнения поиска в инструменте расследования отметьте галочками соответствующих пользователей в результатах поиска.
  2. Нажмите «Действия» .
  3. Выберите «Приостановить действие учетной записи пользователя» .
  4. Для подтверждения нажмите « Приостановить действие учетных записей пользователей» .

Аналогичные шаги можно использовать для восстановления пользователей.

Действия для событий журнала Meet

При выполнении поиска по событиям журнала совещаний вы можете использовать действие « Завершить совещание для всех» , чтобы удалить всех пользователей из выбранных совещаний в вашей организации. Например, вы можете захотеть запретить пользователям участвовать в совещаниях без присмотра, когда организатор совещания отсутствует или после завершения события.

Для получения более подробной информации см. раздел «Использование инструмента расследования для завершения встреч» .

Массовые действия с результатами поиска

Помимо выбора отдельных элементов в результатах поиска и выполнения с ними действий, вы можете выполнять массовые действия на всей странице или на всех результатах на всех страницах.

Примечание: Если при выполнении пакетного действия происходит превышение времени ожидания, уменьшите диапазон дат для поиска, а затем повторите попытку выполнения пакетного действия.

Чтобы выполнить массовые действия с результатами поиска на текущей просматриваемой странице:

  1. Установите флажок в верхней части крайнего левого столбца. Это отметит все флажки на текущей странице.
  2. Нажмите кнопку «Действия» в верхней панели.

Для выполнения массовых действий со всеми результатами поиска на всех страницах:

  1. Установите флажок в верхней части крайнего левого столбца.
  2. Нажмите «Выбрать все результаты» . Это отметит все пункты на всех страницах результатов поиска.

  3. Нажмите кнопку «Действия» в верхней панели.

    Примечание: Если вы перейдете на следующую страницу результатов поиска во время этого процесса, все флажки на всех страницах результатов поиска будут сняты, и вам придется начать все сначала.

Проверьте статус ваших пакетных действий.

В консоли администратора Google вы можете проверить статус своих крупных задач, чтобы узнать, находятся ли они в процессе выполнения или уже завершены.

Например, если выполнение одного из ваших массовых действий в инструменте расследования занимает много времени, вы можете выйти из консоли администратора и вернуться позже, чтобы проверить статус своего действия.

В верхней части консоли администратора нажмите «Задачи» . чтобы просмотреть статус ваших крупных задач.

Дополнительные сведения см. также в разделе «Проверка статуса больших задач» .

Сводные данные по столбцам в результатах поиска

В результатах поиска инструмента анализа можно использовать сводные таблицы по столбцам для просмотра данных об элементе, связанных с другим источником данных. Например, можно выполнить поиск по событиям журнала Gmail, а затем щелкнуть любого получателя в столбце «Получатель», чтобы создать запрос событий Google Диска по владельцу. Это позволяет анализировать данные о конкретном пользователе из двух разных источников данных — событий журнала Gmail и событий журнала Google Диска.

Чтобы перейти от результатов поиска из события журнала Gmail к событию журнала Google Drive, выполните следующие действия:

  1. После выполнения поиска в инструменте расследования инцидентов безопасности наведите курсор на соответствующего пользователя в столбце «Получатель».
  2. Нажмите на значок меню (три вертикальные точки) для этого пользователя.
  3. Выберите события журнала диска а потом Владелец . Критерии поиска автоматически задаются для поиска событий в журнале Google Диска .
  4. Добавьте в поиск дополнительные условия, например, заголовок или видимость .
  5. Нажмите «Поиск» .

Вы можете выполнять другие операции сводной таблицы для многих элементов в результатах поиска. Например, вы можете выполнить сводную таблицу по целому столбцу, или по теме сообщения, идентификатору сообщения, отправителю и многому другому.

Отменить действия

В инструменте расследования можно отменить действия до их завершения. Например, если вы инициировали действие по блокировке нескольких пользователей, вы можете нажать кнопку «Отменить» внизу страницы расследования.

Если вы отмените массовое действие, вы получите частичные результаты, если действие уже выполняется.

Примечание: Отменить экспорт может только администратор, инициировавший его. Отменить экспорт могут администраторы, обладающие определенными правами доступа к данным, относящимся к операции, например, через Google Диск, Gmail или мобильное приложение.

Повторить действия

При выполнении массовых действий иногда могут возникать ошибки поиска — например, если некоторые пользователи не отображаются в результатах поиска. В этом случае можно повторить действия:

  1. После завершения действия в инструменте расследования нажмите кнопку «ПОСМОТРЕТЬ ПОДРОБНОСТИ» .
  2. В панели сведений о действии нажмите «ПОВТОРИТЬ» .
  3. В окне повторной попытки выберите нужное действие — например, нажмите «ПОЗВАТЬ КАК СПАМ» .

Экспорт результатов обработки в файл Google Sheets в папке «Мой диск».

Чтобы сохранить результаты действий в папку «Мой диск»:

  1. Чтобы просмотреть результаты действий, нажмите кнопку «Экспорт» в верхней части таблицы.
  2. Введите название экспорта.
  3. Нажмите «Экспорт» .

Просмотреть результаты экспортированных действий

При просмотре результатов экспортированных действий обратите внимание на следующее:

  • После нажатия кнопки «Экспорт» в верхней части таблицы в папке «Мой диск» будет создана таблица Google Sheets, содержащая результаты операции. В зависимости от размера результатов процесс экспорта может занять некоторое время, и может быть создано несколько таблиц Google Sheets. Общее количество результатов экспорта ограничено 30 миллионами строк.
  • В процессе экспорта создаются таблицы Google Sheets с временным именем — например, TMP-1-<title> . Если создано несколько таблиц Google Sheets, дополнительные файлы получают имена TMP-2-<title> , TMP-3-<title> и так далее. После завершения процесса экспорта файлы автоматически переименовываются в: <title> [1 из N] , <title> [2 из N] и так далее. Если экспортированные данные содержатся только в одной таблице Google Sheets, файл переименовывается в <title> .
  • Права доступа к файлам, полученным в результате экспорта, определяются конфигурацией вашего домена. Например, если по умолчанию созданные файлы будут доступны всем сотрудникам компании, то экспортированные данные также будут иметь такую ​​же видимость.