משתמשים

התכונה הזו נתמכת במהדורות הבאות: Enterprise Standard ו-Enterprise Plus,‏ Education Plus. השוואה בין המהדורות

אדמינים יכולים להשתמש בכלי לחקירת אבטחה כדי לראות ולחקור נתונים על המשתמשים בארגון במצב פעיל. לדוגמה, באמצעות מקור הנתונים Users, אפשר לדעת אם משתמש רשום לאימות דו-שלבי, אם האימות הדו-שלבי נאכף בארגון של המשתמש, מה המזהה של משתמש מושעה ועוד.

איך מחפשים נתוני משתמש

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין שיש לכם ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, לא משנה איזו מהדורת Google Workspace יש להם.

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות משתמשים.
  3. לוחצים על הוספת תנאי.
    הערה: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. מידע נוסף מופיע במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  4. לוחצים על מאפיין ואז בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של מאפיינים מופיעה בקטע תיאורים של המאפיינים.
  5. בוחרים אופרטור.
  6. מציינים ערך או בוחרים ערך מהרשימה.
  7. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  8. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  9. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואז מזינים שם ותיאור ואז לוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם תשנו את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיין תיאור
אימות דו-שלבי נאכף בארגון האם השימוש באימות דו-שלבי נאכף בארגון
שינוי הסיסמה בהתחברות האם המשתמשים נדרשים לשנות את הסיסמה שלהם בכניסה
מנהל מערכת שהועברו לו סמכויות האם למשתמש יש הרשאת אדמין
אימייל כתובת האימייל של המשתמש שהושפע מהפעולה
המשתמש רשום באימות דו-שלבי האם משתמש רשום לאימות דו-שלבי
שם פרטי השם הפרטי של המשתמש שהושפע מהפעולה
התחברות אחרונה הפעם האחרונה שהמשתמש נכנס לחשבון
שם משפחה שם המשפחה של המשתמש שהושפע מהפעולה
הגדרה של תיבת דואר האם תיבת דואר מוגדרת למשתמש
יחידה ארגונית היחידה הארגונית של המשתמש
סופר-אדמין האם משתמש מוגדר כסופר-אדמין
מזהה מושעה מזהה של משתמש מושעה

טיפול באירועים על סמך תוצאות החיפוש

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים על פעולות בכלי לחקירת אבטחה זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

צפייה ברשימת החקירות

כדי לראות את רשימת החקירות שבבעלותכם וששותפו איתכם, אתם יכולים ללחוץ על "צפייה בפרטי החקירות" . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: מעל רשימת החקירות, בקטע גישה מהירה, אפשר לראות את החקירות שנשמרו לאחרונה.

קביעת ההגדרות של החקירות

אתם יכולים להתחבר בתפקיד סופר-אדמין, וללחוץ על סמל ההגדרות כדי :

  • לשנות את אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • להפעיל או להשבית את האפשרות דרישה לבודק פעולות. פרטים נוספים מופיעים בקטע דרישה לבודקים בשביל פעולות בכמות גדולה.
  • להפעיל או להשבית את ההגדרה צפייה בתוכן. ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • להפעיל או להשבית את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

הוראות ופרטים נוספים זמינים במאמר הגדרת ההגדרות של החקירות.

ניהול העמודות בתוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד 'הוספת עמודה חדשה', לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את שם העמודה.
  5. לוחצים על שמירה.

ייצוא נתונים מתוצאות החיפוש

אתם יכולים לייצא את תוצאות החיפוש בכלי לחקירת אבטחה ל-Google Sheets או לקובץ CSV. הוראות מפורטות מופיעות במאמר ייצוא תוצאות חיפוש.

שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את הקריטריונים של החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים מופיעים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

מידע נוסף על מקורות נתונים זמין במאמר שמירת נתונים וזמני השהיה.