Bekijk de details van de melding.

Deze waarschuwing informeert u wanneer een externe afzender mogelijk gebruikers met een vergelijkbare naam binnen uw organisatie nabootst door een weergavenaam te gebruiken die overeenkomt met een gebruiker in uw wereldwijde adresboek. De externe afzender heeft mogelijk een geschiedenis van het verzenden van spam of heeft weinig tot geen e-mails naar uw organisatie verzonden.

Opmerking: Deze waarschuwing wordt alleen geactiveerd als de optie voor het beveiligen tegen vervalsing van werknemersnamen en authenticatie is uitgeschakeld. Zie 'Beveiliging tegen vervalsing van werknemersnamen inschakelen' in 'Geavanceerde bescherming tegen phishing en malware' voor instructies over het in- of uitschakelen van deze functie.

Om te zien met welke berichten gebruikers hebben gereageerd en om die berichten uit de inbox van gebruikers te verwijderen, ga je naar de onderzoekstool. Zie 'Actie ondernemen op basis van zoekresultaten' voor instructies. Om de afzender te blokkeren, zie ' Specifieke afzenders blokkeren op basis van e-mailadres of domein' .

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Bevat een samenvatting van de waarschuwing, bijvoorbeeld het aantal mogelijke vervalste berichten, de gebruikte weergavenaam en het aantal ontvangers.
• Datum — Datum en tijd van het evenement
• Afzender — Gebruikersnaam van de afzender
• Totale gebruikersrapporten
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een tabel met berichtdetails, waaronder de datum, bericht-ID, onderwerp-hash, berichtinhoud-hash, gebruikersnaam van de ontvanger, bijlage-hashes en uw primaire domeinnaam, om u te helpen bij uw onderzoek. De onderzoekstool kan aanvullende details verstrekken om uw onderzoek voort te zetten.

Let op: om het aantal meldingen te beperken, wordt er geen melding aangemaakt als er al een openstaande melding van dezelfde externe afzender is.

Niet-geopende berichten die na verzending als malware worden gedetecteerd, worden automatisch opnieuw geclassificeerd en uit de inbox van de gebruiker verwijderd. Als een ontvanger echter een dergelijk bericht heeft geopend of er op een andere manier mee heeft interactie gehad, blijft het in de inbox staan ​​totdat het handmatig wordt verwijderd. Het wordt sterk aanbevolen om alle geopende malwareberichten zo snel mogelijk uit de inbox van gebruikers te verwijderen.

De pagina met waarschuwingsdetails bevat de volgende informatie:

• Samenvatting — Deze sectie bevat een samenvatting van de waarschuwing, bijvoorbeeld het aantal malwareberichten en het aantal ontvangers.
• Datum — Datum en tijd van het evenement
• Afzender — Gebruikersnaam van de afzender
• Totale berichtbezorgingsgebeurtenissen
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een lijst met voorbeelden van gebeurtenissen met betrekking tot berichtbezorging. Deze lijst is opgenomen in een tabel onderaan de pagina. Elk item in de lijst bevat de datum, bericht-ID, onderwerp-hash, berichtinhoud-hash, ontvanger, bijlage-hashes en uw primaire domeinnaam.

Om te zien met welke berichten gebruikers hebben gereageerd en deze uit hun inbox te verwijderen, ga je naar de onderzoekstool (zie Actie ondernemen op basis van zoekresultaten ). Om de afzender te blokkeren, zie Specifieke afzenders blokkeren op basis van e-mailadres of domein .

Berichten die door Gmail-filters als spam worden aangemerkt, kunnen toch in de inbox van gebruikers terechtkomen vanwege whitelisting-instellingen in de Google-beheerconsole die de spamfilters overschrijven. Hierdoor kunnen gebruikers binnen uw organisatie phishingberichten ontvangen. De waarschuwing 'Phishing in inboxen door onjuiste whitelisting' geeft meer informatie over dit soort beveiligingsincidenten.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de waarschuwing, bijvoorbeeld het aantal phishingberichten en het aantal ontvangers.
• Datum — Datum en tijd van het evenement
• Afzender — Gebruikersnaam van de afzender
• Bron-IP — IP-adres van het domein van de afzender
• Type whitelist — Een instelling in het Google-beheerpaneel die de spamfilters overschrijft.
• Berichtbezorgingsgebeurtenissen — Aantal gebeurtenissen
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een lijst met voorbeelden van gebeurtenissen met betrekking tot de bezorging van berichten. Deze lijst is opgenomen in een tabel onderaan de pagina. Elk item in de lijst bevat de datum, bericht-ID, onderwerp-hash, berichtinhoud-hash, gebruikersnaam van de ontvanger, bijlage-hashes en uw primaire domeinnaam.

Aan de hand van de gegevens in deze melding kunt u actie ondernemen om de afzender te blokkeren .

Niet-geopende berichten die na verzending als phishing worden herkend, worden automatisch opnieuw geclassificeerd en uit de inbox van de gebruiker verwijderd. Als een ontvanger een dergelijk bericht echter heeft geopend of er op een andere manier mee heeft interactie gehad, blijft het in de inbox staan ​​totdat het handmatig wordt verwijderd. Het wordt sterk aanbevolen om alle geopende phishingberichten zo snel mogelijk uit de inbox van gebruikers te verwijderen.

Om te zien met welke berichten gebruikers hebben gereageerd en deze uit hun inbox te verwijderen, ga je naar de onderzoekstool (zie Actie ondernemen op basis van zoekresultaten ). Om de afzender te blokkeren, zie Specifieke afzenders blokkeren op basis van e-mailadres of domein .

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de waarschuwing, bijvoorbeeld het aantal phishingberichten en het aantal ontvangers.
• Datum — Datum en tijd van het evenement
• Afzender — Gebruikersnaam van de afzender
• Totale berichtbezorgingsgebeurtenissen
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een lijst met voorbeelden van gebeurtenissen met betrekking tot berichtbezorging. Deze lijst is opgenomen in een tabel onderaan de pagina. Elk item in de lijst bevat de datum, bericht-ID, onderwerp-hash, berichtinhoud-hash, ontvanger, bijlage-hashes en uw primaire domeinnaam.

Deze melding geeft aan dat een ongebruikelijk groot aantal berichten door gebruikers binnen uw organisatie als spam zijn gemarkeerd.

Zie ' Specifieke afzenders blokkeren op basis van e-mailadres of domein ' voor instructies over het blokkeren van deze afzender. Ga naar de onderzoekstool (zie 'Actie ondernemen op basis van zoekresultaten ' voor instructies) om vergelijkbare berichten te vinden die gebruikers mogelijk niet hebben gerapporteerd, berichten opnieuw te classificeren en deze berichten uit de inbox van gebruikers te verwijderen.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding, bijvoorbeeld het aantal spamberichten en het aantal ontvangers.
• Datum — Datum en tijd van de gebeurtenis (dit is meestal de datum van het eerste bericht dat binnen de piekgroepering wordt gerapporteerd)
• Totale gebruikersrapporten
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een lijst met voorbeelden van gebruikersrapporten. Deze lijst is opgenomen in een tabel onderaan de pagina. Elk item in de lijst bevat de datum, bericht-ID, onderwerp-hash, berichtinhoud-hash, gebruikersnaam van de ontvanger, bijlage-hashes en uw primaire domeinnaam.

Deze melding geeft aan dat een externe afzender berichten naar uw organisatie heeft gestuurd die door gebruikers als spam zijn aangemerkt.

Berichten kunnen als verdacht worden aangemerkt als ze bepaalde kenmerken vertonen die typisch zijn voor spam, maar Google geen sterk genoeg signaal heeft om ze als spam te markeren. Deze waarschuwing wordt gegenereerd wanneer een gebruiker dergelijke berichten als spam markeert, waarmee de vermoedens van Google worden bevestigd.

Zie ' Specifieke afzenders blokkeren op basis van e-mailadres of domein ' voor instructies over het blokkeren van deze afzender. Ga naar de onderzoekstool (zie 'Actie ondernemen op basis van zoekresultaten ' voor instructies) om vergelijkbare berichten te vinden die gebruikers mogelijk niet hebben gerapporteerd, berichten opnieuw te classificeren en deze berichten uit de inbox van gebruikers te verwijderen.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding, bijvoorbeeld het aantal verdachte berichten en het aantal ontvangers.
• Datum — Datum en tijd van het evenement
• Afzender — Gebruikersnaam van de afzender
• Totale gebruikersrapporten
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een lijst met voorbeelden van gebruikersrapporten. Deze lijst is opgenomen in een tabel onderaan de pagina. Elk item in de lijst bevat de datum, bericht-ID, onderwerp-hash, berichtinhoud-hash, gebruikersnaam van de ontvanger, bijlage-hashes en uw primaire domeinnaam.

Een piek in door gebruikers gemelde phishing-e-mails kan betekenen dat uw organisatie te maken heeft met een phishingaanval. De waarschuwing voor door gebruikers gemelde phishingaanvallen geeft details over een dergelijk beveiligingsincident.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de waarschuwing, bijvoorbeeld het aantal phishingberichten en het aantal ontvangers.
• Datum — Datum en tijd van het evenement
• Afzender — Gebruikersnaam van de afzender
• Totaal aantal gebruikersrapporten — Aantal gebruikersrapporten
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een lijst met voorbeelden van gebruikersrapporten. Deze lijst is opgenomen in een tabel onderaan de pagina. Elk item in de lijst bevat de datum, bericht-ID, onderwerp-hash, berichtinhoud-hash, gebruikersnaam van de ontvanger, bijlage-hashes en uw primaire domeinnaam.

Aan de hand van de gegevens in deze melding kunt u actie ondernemen om de afzender te blokkeren .

Wanneer Google detecteert dat de inloggegevens zijn gecompromitteerd, is het nodig dat de gebruiker zijn wachtwoord opnieuw instelt voordat hij of zij weer kan inloggen.

Veelvoorkomende oorzaken van wachtwoorddiefstal zijn virussen, reacties van gebruikers op phishingmails of het gebruik van hetzelfde wachtwoord op veel verschillende websites, waarvan er één of meer door aanvallers zijn gehackt.

We raden aan het wachtwoord van de gebruiker te resetten en te controleren of het account is gehackt. We raden de gebruiker ook aan de beveiligingschecklist van Gmail te doorlopen.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding met een overzicht van de details.
• Aanmelddatum
• Betrokken gebruiker — Gebruikersnaam met gecompromitteerde inloggegevens

Voor meer informatie over hoe Google gecompromitteerde inloggegevens detecteert, zie Onveilige wachtwoorden wijzigen in uw Google-account > Meer informatie over gecompromitteerde wachtwoorden .

Deze waarschuwing wordt geactiveerd wanneer Google Drive voor desktop de bestandssynchronisatie hervat die eerder was onderbroken vanwege een waarschuwing voor mogelijk gedetecteerde ransomware . De waarschuwing bevat de volgende details:

• Samenvatting — Bevat een samenvatting van de melding, met een overzicht van de details.
• Datum — Datum en tijdstip waarop de gebeurtenis plaatsvond
• Gebruiker — Naam van de gebruiker die door de gebeurtenis wordt getroffen

De melding 'Nieuwe gebruiker toegevoegd' laat u weten dat er een nieuwe gebruiker aan uw organisatie is toegevoegd.

Op de pagina met meldingsdetails kunt u belangrijke informatie over de melding ' Nieuwe gebruiker toegevoegd ' bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Gebruiker — Gebruiker die aan uw organisatie is toegevoegd
• Gewijzigd door de gebruiker die de nieuwe gebruiker aan uw organisatie heeft toegevoegd.

Deze melding werd gegenereerd toen een gebruiker die de bestandssynchronisatie van Drive voor desktop had gepauzeerd vanwege een waarschuwing voor mogelijke ransomware, de synchronisatie hervatte. De details van de waarschuwing zijn als volgt:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijdstip waarop de gebeurtenis plaatsvond
• Gebruiker — Naam van de gebruiker die door de gebeurtenis wordt getroffen
• Volgende stappen — Aanbevolen stappen om het risico te beperken

Belangrijk: Meldingen over geblokkeerde verdachte inlogpogingen worden niet weergegeven in de standaardlijst van het waarschuwingscentrum. U kunt ze wel bekijken door het filter voor het meldingstype 'Verdachte inlogpoging' te selecteren. Hoewel de meldingen niet in de lijst worden weergegeven, worden er wel e-mailnotificaties verzonden als u deze functie hebt ingeschakeld.

Google beschouwt inlogactiviteit als verdacht als er een inlogpoging is die niet overeenkomt met het normale gedrag van een gebruiker, zoals inloggen vanaf een ongebruikelijke locatie, of als een onbevoegde persoon mogelijk heeft geprobeerd toegang te krijgen tot het account van een gebruiker.

In de meeste gevallen tonen we de gebruiker een inloguitdaging voordat we een melding sturen. Als de gebruiker de uitdaging niet haalt of afbreekt, sturen we u een melding over een verdachte inlogpoging.

We raden aan deze gebruiker te blokkeren totdat u deze beveiligingsstappen hebt doorlopen. U kunt de gebruiker blokkeren via de instellingenpagina of met behulp van de onderzoekstool.

Je kunt de gebruiker herstellen en het wachtwoord opnieuw instellen zodra je hebt vastgesteld dat dit veilig is. We raden aan de gebruiker de beveiligingschecklist van Gmail te laten doorlopen. Het inschakelen van tweestapsverificatie voor het domein en het afdwingen van beveiligingssleutels voor je gebruikers wordt sterk aanbevolen.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding met een overzicht van de details.
• De datum van de login werd als verdacht gemarkeerd.
• Datum van de inlogpoging
• Betrokken gebruiker — Gebruikersnaam getroffen door de verdachte inlogpoging
• IP-adres van waaruit de inlogpoging werd gedetecteerd

Google beschouwt inlogactiviteit als verdacht als er een inlogpoging is die niet overeenkomt met het normale gedrag van een gebruiker, zoals inloggen vanaf een ongebruikelijke locatie, of als een onbevoegde persoon mogelijk heeft geprobeerd toegang te krijgen tot het account van een gebruiker.

Apps die minder veilig zijn, maken geen gebruik van moderne beveiligingsstandaarden, zoals OAuth. Het gebruik van apps en apparaten die geen moderne beveiligingsstandaarden gebruiken, verhoogt het risico dat accounts worden gehackt.

Voorbeelden van apps die niet voldoen aan moderne beveiligingsnormen zijn:

• Standaard e-mail-, contact- en agenda-synchronisatie-apps op oudere versies van iOS en OSX.
• Sommige e-mailprogramma's, zoals oudere versies van Microsoft Outlook, ondersteunen dit.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over de waarschuwing 'Verdachte aanmelding via een minder veilige app' bekijken, waaronder een samenvatting van de waarschuwing en de datum en tijd van het incident.

Zie Toegang tot minder veilige apps beheren voor meer informatie.

Google beschouwt inlogactiviteit als verdacht als er een inlogpoging is die niet overeenkomt met het normale gedrag van een gebruiker, zoals inloggen vanaf een ongebruikelijke locatie, of als een onbevoegde persoon mogelijk heeft geprobeerd toegang te krijgen tot het account van een gebruiker.

Net als traditionele weblogin-methoden, worden programmatische logins (via apps) onderworpen aan een risicoanalyse. Om Google-accounts (van werk, school of andere groepen) beter te beveiligen, blokkeert Google verdachte programmatische logins die toegang tot Google-accounts proberen te verkrijgen.

We raden ten zeerste aan om OAuth te gebruiken voor elke verbinding met de gegevens van uw gebruikers. Als een gebruiker probeert in te loggen met een programmatische login, raden we aan contact op te nemen met de gebruiker om te achterhalen welke app hij of zij gebruikt en te controleren of die gebruiker daadwerkelijk probeert toegang te krijgen tot het account. Vervolgens raden we aan om de gebruiker te upgraden naar een app die OAuth gebruikt en de toegang tot minder veilige apps voor deze gebruiker en zoveel mogelijk anderen te blokkeren .

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding met een overzicht van de details.
• De datum van de login werd als verdacht gemarkeerd.
• Datum van de inlogpoging
• Betrokken gebruiker — Gebruikersnaam getroffen door de verdachte inlogpoging
• IP-adres van waaruit de inlogpoging werd gedetecteerd

De melding 'Geschorste gebruiker weer actief' laat u weten dat een geschorste gebruiker in uw organisatie weer is geactiveerd.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie bekijken over de waarschuwing 'Geschorste gebruiker is weer geactiveerd' :

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Gebruiker — Geschorste gebruiker die weer actief is gemaakt
• Gewijzigd door — Gebruiker die een geschorste gebruiker weer actief heeft gemaakt

De melding 'Gebruiker verwijderd' laat u weten dat een gebruiker uit uw organisatie is verwijderd.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over de melding 'Gebruiker verwijderd ' bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Gebruiker — Gebruiker die uit uw organisatie is verwijderd
• Gewijzigd door de gebruiker die de gebruiker uit uw organisatie heeft verwijderd.

De melding 'Gebruiker beheerdersrechten verleend' laat u weten dat een gebruiker in uw organisatie beheerdersrechten heeft gekregen.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie bekijken over de waarschuwing 'Gebruiker beheerdersrechten verleend' :

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Gebruiker — Gebruiker aan wie beheerdersrechten zijn toegekend
• Gewijzigd door —Gebruiker die beheerdersrechten heeft verleend aan een gebruiker

Wanneer Google verdachte activiteiten detecteert die erop wijzen dat een account is gehackt, blokkeren we uit voorzorg het account van de betreffende gebruiker.

Als beheerder kunt u gebruikers ook schorsen via hun instellingenpagina of met behulp van de onderzoekstool.

U kunt de gebruiker herstellen en het wachtwoord opnieuw instellen zodra u hebt vastgesteld dat dit veilig is. Voordat u een gebruiker herstelt, raden we u aan deze beveiligingsstappen te volgen.

We raden de gebruiker ook aan om de beveiligingschecklist van Gmail te doorlopen. Het inschakelen van tweestapsverificatie voor het domein en het afdwingen van beveiligingssleutels voor uw gebruikers wordt sterk aanbevolen.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding met een overzicht van de details.
• Aanmelddatum
• Betrokken gebruiker — Gebruikersnaam getroffen door de verdachte activiteit

De melding 'Gebruiker geschorst (door beheerder)' laat u weten dat een gebruiker in uw organisatie door een beheerder is geschorst.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over de waarschuwing 'Gebruiker geschorst (door beheerder)' bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Gebruiker — Gebruiker die geschorst is
• Gewijzigd door de beheerder die de gebruiker heeft geschorst.

Deze melding is een algemene melding die aangeeft dat een gebruiker is geschorst vanwege verdachte activiteiten. U kunt naar aanleiding van deze melding contact opnemen met de gebruiker, of – indien nodig – met de Google-ondersteuning om te zien of zij meer informatie kunnen verstrekken.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding met een overzicht van de details.
• De datum van de login werd als verdacht gemarkeerd.
• Datum van de inlogpoging
• Gebruiker getroffen — Gebruikersnaam getroffen door verdachte activiteit
• IP-adres van waaruit de inlogpoging werd gedetecteerd

Wanneer Google verdachte activiteiten detecteert die wijzen op een accountcompromis, zoals bewijs dat een gebruiker spam verstuurt, blokkeren we proactief het account van de betreffende gebruiker.

Je kunt de gebruiker herstellen en het wachtwoord opnieuw instellen zodra je hebt vastgesteld dat dit veilig is. We raden aan de gebruiker de beveiligingschecklist van Gmail te laten doorlopen. Het inschakelen van tweestapsverificatie voor het domein en het afdwingen van beveiligingssleutels voor je gebruikers wordt sterk aanbevolen.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding met een overzicht van de details.
• Datum
• Gebruiker getroffen — Gebruikersnaam getroffen door verdachte activiteit

Wanneer Google verdachte activiteiten detecteert die wijzen op een accountcompromis, zoals bewijs dat een gebruiker spam verstuurt via de SMTP-relaydienst, schorten we het account van de betreffende gebruiker proactief op.

Je kunt het account herstellen zodra je het probleem met de spamrelay hebt opgelost. Tijdens de schorsing kan de gebruiker zich niet aanmelden bij Google-services en geen e-mails verzenden via dit account, maar inkomende e-mails worden wel gewoon bezorgd.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding met een overzicht van de details.
• Datum
• Gebruiker getroffen — Gebruikersnaam getroffen door verdachte activiteit

De melding 'Beheerdersrechten gebruiker ingetrokken' laat u weten dat een beheerder de beheerdersrechten van een gebruiker in uw organisatie heeft ingetrokken.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie bekijken over de waarschuwing betreffende de ingetrokken beheerdersrechten van de gebruiker :

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Gebruiker — Gebruiker wiens beheerdersrechten zijn ingetrokken
• Gewijzigd door —Admin die de beheerdersrechten heeft ingetrokken

De melding 'Gebruikerswachtwoord gewijzigd' laat u weten dat het wachtwoord van een gebruiker binnen uw organisatie is gewijzigd.

Op de pagina met meldingsdetails kunt u belangrijke informatie bekijken over de melding dat het wachtwoord van de gebruiker is gewijzigd :

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Gebruiker — Gebruiker wiens wachtwoord is gewijzigd

Uw Apple Push Notification Service (APNS)-certificaat is verlopen. Het certificaat legt een vertrouwde verbinding tot stand tussen iOS-apparaten en het domein van uw organisatie. U hebt het nodig om geavanceerd mobiel beheer met iOS-apparaten te gebruiken. Ga naar Een Apple push-certificaat vernieuwen voor meer informatie.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Een samenvatting van de waarschuwing.
• Vervaldatum APNS-certificaat — Datum en tijdstip waarop het certificaat is verlopen.
• De Apple ID die is gebruikt om het APNS-certificaat aan te maken . Gebruik dezelfde Apple ID om het certificaat te verlengen.
• APNS-certificaat UID — Identificatiecode voor het APNS-certificaat. Zorg ervoor dat u het certificaat verlengt met dezelfde UID.
• Volgende stappen — Stappen die u moet nemen om het probleem op te lossen.

Uw Apple Push Notification Service (APNS)-certificaat verloopt binnenkort. Het certificaat legt een vertrouwde verbinding tot stand tussen iOS-apparaten en het domein van uw organisatie. U hebt het nodig om geavanceerd mobiel beheer met iOS-apparaten te gebruiken. U hebt 30 dagen de tijd om het certificaat te verlengen nadat het is verlopen. Ga naar Een Apple push-certificaat verlengen voor meer informatie.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Een samenvatting van de waarschuwing.
• Vervaldatum APNS-certificaat — Datum en tijdstip waarop het certificaat verloopt.
• De Apple ID die is gebruikt om het APNS-certificaat aan te maken . Gebruik dezelfde Apple ID om het certificaat te verlengen.
• APNS-certificaat UID — Identificatiecode voor het APNS-certificaat. Zorg ervoor dat u het certificaat verlengt met dezelfde UID.
• Volgende stappen — Stappen die u moet nemen om het probleem op te lossen.

De melding 'Apparaat gecompromitteerd' geeft details over apparaten in uw organisatie die in een gecompromitteerde status zijn terechtgekomen. Een apparaat wordt als gecompromitteerd beschouwd als het is geroot (voor Android-apparaten), als het is gejailbreakt (voor iOS-apparaten) of als het een ongebruikelijke statuswijziging ondergaat.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding, bijvoorbeeld het type apparaat en de apparaat-ID.
• Datum — Datum en tijd van het evenement
• Apparaateigenaar — Gebruikersnaam van de apparaateigenaar
• Betrokken apparaat — Deze sectie bevat apparaatdetails, zoals de apparaat-ID, het serienummer, het apparaattype, de modelnaam en de resource-ID.

Als een apparaateigenschap wordt bijgewerkt, bijvoorbeeld de apparaat-ID, het serienummer, het type apparaat of de fabrikant, wordt dit beschouwd als verdachte apparaatactiviteit. De waarschuwing voor verdachte apparaatactiviteit geeft details over een dergelijke beveiligingsgebeurtenis.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Deze sectie bevat een samenvatting van de melding, bijvoorbeeld het aantal bijgewerkte apparaateigenschappen en de apparaat-ID.
• Datum — Datum en tijd van het evenement
• Apparaateigenaar — Gebruikersnaam van de apparaateigenaar
• Betrokken apparaat — Deze sectie bevat details zoals de apparaat-ID, het serienummer, het apparaattype, de modelnaam en de resource-ID-naam.
• Ontvangen door — Geeft het aantal ontvangers en hun gebruikersnamen weer.

De detailpagina bevat ook een lijst met updates van apparaateigenschappen. Deze lijst is opgenomen in een tabel onderaan de pagina. Voor elke bijgewerkte apparaateigenschap worden de oude en de nieuwe waarde weergegeven.

Als er een probleem is met een Google Voice-configuratie, kunnen automatische beantwoorders en belgroepen het gesprek onverwachts beëindigen. Als een automatische beantwoorder bijvoorbeeld is geconfigureerd om de beller naar de voicemail door te sturen, maar alle voicemailontvangers zijn verwijderd omdat ze het bedrijf hebben verlaten, kan de automatische beantwoorder geen voicemail verzenden en wordt het gesprek in plaats daarvan beëindigd.

Wanneer dit gebeurt, ontvangen Google Workspace-beheerders een melding over een configuratieprobleem met Google Voice in het meldingencentrum. Deze melding informeert u over de problematische situatie en geeft instructies om het probleem op te lossen. Zo kunt u ervoor zorgen dat bellers de juiste persoon bereiken wanneer ze Google Voice-telefoonnummers bellen.

Deze melding is standaard ingeschakeld , en e-mailnotificaties aan superbeheerders zijn ook standaard ingeschakeld .

Hieronder volgen enkele typische Google Voice-configuraties die deze melding veroorzaken:

• Er zijn geen voicemailontvangers.
• Het quotum voor voicemailontvangers is vol.
• Het doel van een overdracht is ongeldig; het overdrachtsdoel is bijvoorbeeld verwijderd of opgeschort.
• Er zijn geen geldige leden meer in de ringgroep; alle leden zijn bijvoorbeeld verwijderd of geschorst.

Op de pagina met waarschuwingsdetails kunt u de volgende belangrijke details over de waarschuwing voor het configuratieprobleem van Google Voice bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Oplossing — Beschrijving van de acties die nodig zijn om het probleem op te lossen.
• Startdatum — Datum en tijd van het evenement
• Gebruikers die hierdoor getroffen zijn — Gebruikers die door het evenement getroffen zijn

De melding 'Agenda-instellingen gewijzigd' laat je weten wanneer een beheerder de instellingen van Google Workspace Agenda heeft gewijzigd.

Op de pagina met meldingsdetails kunt u belangrijke informatie over de melding 'Agenda-instellingen gewijzigd ' bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Instellingen — Een instelling die door de beheerder is gewijzigd.
• Nieuwe waarde — Nieuwe waarde voor de omgeving
• Oude waarde — Oude waarde voor de omgeving
• Door —Beheerder die de instelling heeft gewijzigd

Klik op Zoeken in auditlogboeken om meer details te bekijken over de gebeurtenis die de waarschuwing heeft veroorzaakt.

Als er een fout optreedt bij een service van een derde partij, zoals een verkeerde configuratie of een storing bij de identiteitsprovider (IdP) of de service voor sleutelbeheer (KACLS), ontvangt u een waarschuwing voor client-side encryptie (CSE). Deze waarschuwing kan ook verschijnen als een gebruiker binnen uw organisatie probeert toegang te krijgen tot client-side versleutelde inhoud buiten uw organisatie en de IdP of sleutelservice niet werkt.

Er zijn 2 soorten CSE-waarschuwingen:

• KACLS- waarschuwing — Er is een probleem met uw externe sleutelservice. Test de verbinding om te controleren of deze correct is geconfigureerd.
• IdP-waarschuwing — Er is een probleem met uw IdP-configuratie. Om te controleren op storingen, controleert u uw IdP-instellingen en probeert u opnieuw verbinding te maken.

Op de pagina met waarschuwingsdetails kunt u belangrijke gegevens bekijken, zoals:

• Probleem — Beschrijving van de fout
• Datum — Datum en tijdstempel van de uitgave
• Eindpunt — De URL van het eindpunt waar de fout optrad (indien bekend)
• HTTP-statuscode — HTTP-status (als het eindpunt een fout heeft geretourneerd)
• Aantal keren dat het probleem zich voordeed — Het aantal keren dat de fout is opgetreden sinds de datum en tijdstempel.

U kunt de servicelogboeken raadplegen om de oorzaak van de fout te achterhalen.

Voor meer informatie over het instellen van diensten van derden kunt u terecht op:

• Over client-side encryptie
• Ontwikkel een aangepaste sleutelservice voor client-side encryptie.

De melding 'Export van domeingegevens gestart' geeft details over een superbeheerder van uw Google-account die is begonnen met het exporteren van gegevens uit uw organisatie. Na het starten van de export kunt u deze binnen 48 uur annuleren voordat het exportproces daadwerkelijk begint. Als u denkt dat deze export niet opzettelijk was, neem dan contact op met de Google Workspace-ondersteuning .

Het exporteren van gegevens duurt doorgaans 72 uur of langer, afhankelijk van de grootte van uw organisatie. U kunt de status van de export bekijken in de tool voor gegevensexport. Voor meer informatie over de tool voor gegevensexport raadpleegt u Gegevens van uw organisatie exporteren .

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over deze waarschuwing bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum
• Acteur — Gebruiker die de gegevensexport heeft geïnitieerd

De melding 'Drive-instellingen gewijzigd' laat u weten wanneer een beheerder de instellingen van Google Workspace Drive heeft gewijzigd.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over de waarschuwing 'Rij-instellingen gewijzigd ' bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Instellingen — Een instelling die door de beheerder is gewijzigd.
• Nieuwe waarde — Nieuwe waarde voor de omgeving
• Oude waarde — Oude waarde voor de omgeving
• Door —Beheerder die de instelling heeft gewijzigd

Klik op Zoeken in auditlogboeken om meer details te bekijken over de gebeurtenis die de waarschuwing heeft veroorzaakt.

De melding 'E-mailinstellingen gewijzigd' laat u weten wanneer een beheerder de Gmail-instellingen van Google Workspace heeft gewijzigd.

Op de pagina met waarschuwingsdetails kunt u belangrijke informatie over de melding 'E-mailinstellingen gewijzigd ' bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Instellingen — Een instelling die door de beheerder is gewijzigd.
• Nieuwe waarde — Nieuwe waarde voor de omgeving
• Oude waarde — Oude waarde voor de omgeving
• Door —Beheerder die de instelling heeft gewijzigd

Klik op Zoeken in auditlogboeken om meer details te bekijken over de gebeurtenis die de waarschuwing heeft veroorzaakt.

De melding 'Mobiele instellingen gewijzigd' informeert u wanneer een beheerder de instellingen voor mobiel beheer heeft gewijzigd.

Op de pagina met meldingsdetails kunt u belangrijke informatie over de melding 'Mobiele instellingen gewijzigd ' bekijken:

• Samenvatting — Bevat een samenvatting van de melding met een overzicht van de details.
• Datum — Datum en tijd van het evenement
• Instellingen — Een instelling die door de beheerder is gewijzigd.
• Nieuwe waarde — Nieuwe waarde voor de omgeving
• Oude waarde — Oude waarde voor de omgeving
• Door —Beheerder die de instelling heeft gewijzigd

Click Search in audit logs to view more details about the event that triggered the alert.

The Primary admin changed alert informs you when your primary admin account has been changed.

This is important because your primary admin account has access to sensitive information: They receive billing and other important account notifications from Google.

From the Alert details page, you can view details about the Primary admin changed alert:

• Summary —Summary of the alert with an overview of the changes, including the email addresses of the old and new primary admin accounts
• Date —Date and time of the event
• Actor —Email address of the admin who made the change

The Super admin password reset alert informs you when a password was reset for a super admin account.

This is important because a super admin has access to sensitive information: They can manage all features in your Admin console and Admin APIs.

From the Alert details page, you can view details about the Super admin password reset alert:

• Summary —Summary of the alert with an overview of the changes and details, including the email address of the super admin
• Date —Date and time of the event
• Actor —Email address of the admin who made the change

The SSO profile added alert informs you when a third-party SSO profile has been added and enabled for your organization.

This is an important change: Adding and enabling a third-party SSO profile enables all users in your organization to sign in to Google services through your third-party identity provider.

From the Alert details page, you can view details about the SSO profile added alert:

• Summary —Includes a summary of the alert with an overview of the changes
• Date —Date and time of the event
• Actor —Email address of the admin who made the change
• SSO profile ID —Name of the SSO profile that was added

The SSO profile updated alert informs you when a third-party SSO profile has been updated for your organization.

A third-party SSO profile enables all users in your organization to sign in to Google services through your third-party identity provider, so updating the SSO profile is an important change.

From the Alert details page, you can view details about the SSO profile updated alert:

• Summary —Includes a summary of the alert with an overview of the changes
• Date —Date and time of the event
• Actor —Email address of the admin who made the change
• SSO profile ID —Name of the SSO profile that was updated

The SSO profile deleted alert informs you when a third-party SSO profile has been deleted for your organization.

This is an important change: If a third-party SSO profile is deleted for your organization, all users in your organization will lose the ability to sign in to Google services via your third-party identity provider.

From the Alert details page, you can view details about the SSO profile deleted alert:

• Summary —Includes a summary of the alert with an overview of the changes
• Date —Date and time of the event
• Actor —Email address of the admin who made the change
• SSO profile ID —Name of the SSO profile that was deleted

This alert informs you when Google Drive content owned by users in your organization might put your users at risk by violating the Google Workspace Terms of Service or the Google Workspace for Education Terms of Service .

In the alert, the "Additional details" table lists the users that triggered this alert, along with information on the contents' file name, file URL, document ID, and abuse violation type. If you have Frontline Plus, Enterprise Plus, or Education Plus, you can use the security investigation tool for further analysis. Contact the end user for questions about the content or actions they have taken.

This alert informs you when users in your organization have had their access to services or features restricted due to violating the Google Workspace Terms of Service or the Google Workspace for Education Terms of Service .

In the alert, the "Additional details" table lists the users involved in this alert, along with information about the abuse violation type and the services or features that were restricted. Notify users about their restricted access and let them know they can submit an appeal at account.google.com . Most requests take 2 business days to review, but some might take longer.

This alert may appear in the alert center up to 24 hours after a user's access to a service or feature was restricted.

An activity rule is a set of conditions and actions defined by an administrator. If a policy's conditions are met, the rule is triggered, and corresponding actions are executed automatically. Activity rules automate processes that would otherwise need to be done manually, and can be customized to serve your organization's specific business needs.

As an administrator, you can create a rule that alerts you or takes action based on any search that you configure in the investigation tool. If you configure this rule to trigger an alert, the alert is displayed as an Activity rule in the alert center (for more details, see Create rules with the investigation tool ).

From the Alert details page, you can view important details about this alert:

• Summary —This section includes a summary of the alert with an overview of the details.
• Datum
• Drempelwaarde
• Alert status
• Alert severity —Low, Medium, or High
• Rule that triggered the alert

You receive a Data Loss Prevention (DLP) alert in the alert center when a Drive DLP rule is triggered.

As an administrator, you can prevent users from sharing sensitive content in Google Drive or shared drives with people outside of your organization. DLP rules enable you to scan files for sensitive content. For example, if a user shares a file with bank account or tax ID numbers, you can send an email to super admins to let them know. You can also warn users when they try to share a file or completely block anyone outside of your organization from accessing the file.

From the Alert details page, you can view important details about the Data Loss Prevention (DLP) alert:

• Summary —Includes a summary of the alert with an overview of the details
• Date —Date and time of the event
• Triggering user —User that modified a file by adding sensitive content to it
• Recipients —For Drive files, the user the file was shared with; for Chat content, the user to whom Chat content was sent. (The Recipients field doesn't appear for Chrome content.)
• Document ID —Unique identifier for the Drive document
• Document title —Title of the Drive document
• Detector names —Names of user-defined content detectors, or predefined content detectors—for example, Social Security number or driver's license number.
• Triggered actions —Actions that were triggered from the DLP rule; for example, Block external sharing or Alert.
• Suppressed actions —Actions that were suppressed due to conflicts with actions configured in other rules

Note: When a rule isn't configured correctly, admins are potentially overwhelmed with a very large number of DLP alerts. To prevent this, DLP alerts are limited to 50 alerts per rule per day.

The Reporting rule alert informs you when a custom reporting rule related to audit-log events is triggered by a specific activity.

In addition to triggering an alert in the alert center, custom reporting rules also trigger an email notification (for more details about reporting rules, see Create and view reporting rules & set up alerts ).

From the Alert details page, you can view important details about the Reporting rule alert, including a summary of the alert, date and time of the event, event description, and the name of the related audit log.

Click Search in audit logs to view more details about the event that triggered the alert.

The Google Operations alert provides details about security and privacy issues affecting your organization's Google Workspace services.

From the Alert details page, you can view important details about this alert:

• Summary —In this section, Google provides a message that includes specific details about the issue or incident. This section varies in size from a few sentences to several paragraphs.
• Attachments —If available, you can download attachments with any additional details about the incident or issue.

Note: When editing the Google Operations rule, you cannot remove the primary super administrator from the recipient list for email notifications.

The Apps outage alert provides details about an outage of one or more Google Workspace services that might affect your organization.

From the Alert details page, you can view important details about this alert:

• Summary —In this section, Google provides a message that includes specific details about the issue or incident.
• Date —Date and time of the event
• Status —Current status of the outage (new, ongoing or resolved)
• Details —Details of the outage, which usually includes a link to the Google Workspace Status Dashboard
• Affected services —List of affected services
• Next update by —Promised date and time by which the next update will arrive (subject to unintentional delays)
• Intended resolution by —Date and time by which the outage should be—or has been—resolved (if known)

With this alert, administrators receive warnings about potential government-backed attacks. For example, in rare instances, government-backed attackers may try to steal a user's password within your organization.

To further improve the security in your organization, we highly recommend that you reset the passwords of affected users, enforce 2-step verification for the domain, and enforce security keys for your users.

For more details about government-backed attacks, see Government-backed attack alerts .

From the Alert details page, you can view important details about this alert:

• Summary —Description of the alert
• Date —Date and time of the event
• Acteur

The Account suspension warning alert provides a warning about suspicious activities that have been detected on your Google Workspace (or user) account.

Important: If this alert is not acted on within the timeframe specified via the Appeal option in the alert, then your Google Workspace account will be suspended.

From the Alert details page, you can view important details about this alert:

• Summary —In this section, Google provides a message that includes specific details about the issue or incident.
• Date —Date and time of the event
• Abuse reason —The type of suspicious activity detected
• Product —The product from which this alert originated
• Recommended action —Information about what action is recommended

Note: Depending on the status of the warning, some of these fields might not be present.

The Google mandatory service announcement (MSA) alert is a communication that's necessary for the continued use of a product or service, or that's considered a necessary legal update. An MSA is a contractually obligated notification about existing Google Workspace products or features. The announcement is available for primary administrators. Admins can't opt-out from receiving MSAs.

Four types of MSA alerts are available in the alert center:

• Google mandatory service announcement - Product —Details about important product changes to your Google Workspace product or account.
• Google mandatory service announcement - Security —Details about important security changes to your Google Workspace product or account.
• Google mandatory service announcement - Billing —Details about important billing changes to your Google Workspace product or account.
• Google mandatory service announcement - Legal —Details about important legal changes to your Google Workspace product or account.

From the Alert details page, you can view details about the Google mandatory service announcement alert:

• Summary —Includes the text of the alert message
• Date —Date and time of the mandatory service announcement

Access Approvals for Google Workspace requires Google staff (who can take support actions related to your organization's data) to request approval before viewing data necessary for support.

The Access Approvals alert is a communication that a Google staff member has requested access to your organization's Google Workspace data. As an administrator, you can then approve or decline the request when viewing the alert in the alert center.

Note: To set up Access Approvals alerts, and to manage Access Approvals requests, see Set up Access Approvals .

From the Alert details page, you can view details about the Access Approvals alert:

• Summary —Includes a summary of the alert.
• Scope —Notes the username of the user who owns the resources that the Google staff member is trying to access.
• Justification —Text entered by the Google staff member who has requested access.
• Access region —Region of the user who's requesting access.
• Access duration —Length of time that access is requested for—for example, 5 days.
• Status —Whether the request is pending, approved, or declined.
• Request expiration date —Date when the request expires.
• Request ID —Text string that uniquely identifies the request.

In the Recommended action section of the Alert details page, you can approve or decline the request.