Éditions compatibles pour la source de données des événements de journaux Gmail dans l'outil d'investigation:
Enterprise Plus, Education Plus
En tant qu'administrateur de votre organisation, vous pouvez utiliser l'outil d'investigation de sécurité pour lancer des recherches sur les événements de journaux Gmail et prendre des mesures en fonction des résultats de recherche. Dans l'outil d'investigation, vous pouvez consulter un enregistrement des actions réalisées dans Gmail pour voir l'activité des utilisateurs et des administrateurs, par exemple lorsque des e-mails sont classés comme spam, libérés des zones de quarantaine ou envoyés en zone de quarantaine administrative. Si vous disposez des droits appropriés dans l'outil d'investigation, vous pouvez également afficher le contenu d'un message Gmail dans le cadre d'une enquête.
Vous pouvez également effectuer une recherche basée sur des événements de journaux Gmail, puis prendre les mesures nécessaires à l'aide de l'outil d'investigation, comme supprimer des messages spécifiques, marquer des messages comme spam ou hameçonnage, envoyer des messages en zone de quarantaine ou envoyer des messages vers la boîte de réception de certains utilisateurs.
Comment accéder à l'outil d'investigation de sécurité
- Les éditions compatibles avec l'outil d'investigation de sécurité incluent Enterprise Plus, Education Standard, Education Plus et Enterprise Essentials Plus.
- Les administrateurs disposant de Cloud Identity Premium, Frontline Standard, Enterprise Standard et Education Standard peuvent également utiliser l'outil d'investigation pour un sous-ensemble de sources de données.
- La possibilité d'effectuer une recherche dans l'outil d'investigation dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Si vous ne parvenez pas à effectuer de recherche dans l'outil d'investigation pour une source de données spécifique, vous pouvez utiliser la page d'audit et d'enquête à la place. Pour en savoir plus, consultez Expérience d'audit et d'investigation améliorée.
- Vous pouvez effectuer une recherche dans l'outil d'investigation pour tous les utilisateurs, quelle que soit l'édition de Google dont ils disposent.
Rechercher des événements de journaux Gmail
Pour lancer une recherche dans l'outil d'investigation, choisissez d'abord une source de données.Vous devez ensuite choisir une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Sécurité Centre de sécurité Outil d'investigation.
- Cliquez sur Source de données et sélectionnez Événements de journaux Gmail.
- Cliquez sur Ajouter une condition.
Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées. - Cliquez sur Attributsélectionnez une option.
Pour obtenir la liste complète des attributs, consultez Descriptions des attributs ci-dessous. - Cliquez sur Contientsélectionnez un opérateur.
- Saisissez une valeur ou sélectionnez-en une dans la liste déroulante.
- (Facultatif) Pour ajouter d'autres critères de recherche, répétez les étapes 4 à 7.
- Cliquez sur Rechercher.
Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page. - (Facultatif) Pour enregistrer votre enquête, cliquez sur Enregistrer saisissez un titre et une descriptioncliquez sur Enregistrer.
Remarque :
- Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
- Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
Attribut | Description |
---|---|
Extension de pièce jointe | ID du navigateur Chrome |
Hachage de pièce jointe | Hachage SHA-256 de la pièce jointe |
Famille de logiciels malveillants détectés dans les pièces jointes | Catégorie de logiciels malveillants, si elle est détectée lors du traitement du message (par exemple, Ce contenu peut être dangereux, Programme malveillant connu ou Virus/ver informatique) |
Nom de la pièce jointe | Nom de la pièce jointe |
Type de client | Type de client Gmail (par exemple, Web, Android, iOS ou POP3) |
Date | La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur) |
Délégué | Adresse e-mail de l'utilisateur délégué ayant réalisé l'action au nom du propriétaire |
Identifiant de session de l'appareil | Identifiant unique généré pour la session utilisateur d'un client de messagerie |
Domaine DKIM | Domaine authentifié avec le mécanisme DKIM (Domain Keys Identified Mail) |
Domaine | Le domaine où l'action s'est produite |
Événement | Action consignée pour l'événement telle que Téléchargement de pièces jointes, Clic sur un lien, Envoyer ou Afficher* |
De (enveloppe) | Adresse d'expéditeur dans l'enveloppe |
De (adresse de l'en-tête) | Adresse d'expéditeur dans l'en-tête, telle qu'elle apparaît dans les en-têtes du message (par exemple, utilisateur@example.com) |
De (nom de l'en-tête) | Nom à afficher pour l'en-tête de l'expéditeur, tel qu'il apparaît dans l'en-tête du message |
Zone géographique | Code ISO du pays défini selon l'adresse IP du relais |
Contenant une pièce jointe | E-mail incluant une pièce jointe |
A un délégué | Indique si un utilisateur délégué a réalisé l'action au nom du propriétaire |
Adresse IP | Adresse IP du client de messagerie à l'origine du message ou qui a interagi avec |
Domaine du lien | Domaines extraits des URL des liens présents dans le corps du message |
ID du message | ID unique du message figurant dans son en-tête |
ID du projet OAuth | ID de projet de la console Cloud du développeur qui s'est authentifié avec OAuth |
Propriétaire | Propriétaire de l'e-mail. Pour un message entrant, il s'agit du destinataire. Pour un message sortant, il s'agit de l'expéditeur. |
Domaine de l'expéditeur | Domaine de l'expéditeur |
Classification en tant que spam | Classification du message en tant que spam (par exemple, Spam, Logiciel malveillant, Hameçonnage, Suspect ou Fiable (non spam)) |
Motif de la classification en tant que spam | Motif de la classification du message comme spam (par exemple, Spam flagrant, Règle personnalisée, Réputation de l'expéditeur ou Pièce jointe suspecte) |
Domaine SPF | Nom de domaine utilisé pour l'authentification SPF (Sender Policy Framework) |
Subject | Ligne d'objet de l'e-mail |
Hachage des pièces jointes cibles | Informations sur le hachage SHA256 d'une pièce jointe si un utilisateur interagit avec la pièce jointe d'un message |
Famille de logiciels malveillants détectés dans les pièces jointes cibles | Informations sur la famille de logiciels malveillants en pièce jointe si les utilisateurs interagissent avec la pièce jointe d'un message (par exemple, Ce contenu peut être dangereux, Programme malveillant connu ou Virus/ver informatique) |
Nom des pièces jointes cibles | Informations sur le nom d'une pièce jointe si les utilisateurs interagissent avec la pièce jointe d'un message |
ID de Drive cible | Informations sur l'ID Drive si les utilisateurs interagissent avec l'élément Drive d'un message |
URL du lien cible | Informations sur l'URL d'un lien si les utilisateurs interagissent avec le lien d'un message |
À (enveloppe) | Adresse de destinataire dans l'enveloppe |
Source de trafic | Indique si un e-mail est envoyé/reçu en interne (dans votre domaine) ou en externe |
* Vous ne pouvez pas créer de règles d'activité ni de graphiques personnalisés pour le type d'événement Afficher. |
Prendre des mesures en fonction des résultats de recherche
Après avoir effectué une recherche dans l'outil d'investigation, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil d'investigation, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus sur les actions disponibles dans l'outil d'investigation, consultez Effectuer des actions en fonction des résultats de recherche.
Créer des règles d'activité et configurer des alertes
Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus et obtenir des instructions, consultez Créer des règles d'activité à l'aide de l'outil d'investigation.
Gérer vos enquêtes
Afficher la liste d'enquêtesPour afficher la liste des enquêtes dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification.
Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.
Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.
En tant que super-administrateur, cliquez sur Paramètres pour effectuer les actions suivantes :
- Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
- Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
- Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
- Activer ou désactiver l'option Activer la justification des actions.
Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément .
- (Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
- En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
- Saisissez un nomcliquez sur Exporter.
L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action. - Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Google Sheets.
Prenez en compte les informations suivantes lorsque les résultats de recherche exportés s'affichent :
- Lorsque vous cliquez sur Tout exporter en haut du tableau, une feuille de calcul Google Sheets comprenant les résultats de recherche est créée dans votre dossier Mon Drive. En fonction du nombre de résultats, le processus d'exportation peut prendre un certain temps et plusieurs feuilles de calcul Google peuvent être créées. Le total de résultats de l'exportation est limité à 30 millions de lignes, sauf pour les recherches de messages Gmail, limitées à 1,25 million de lignes.
- Pendant l'exportation, chaque feuille de calcul Google Sheets est créée avec un nom provisoire, par exemple TMP-1-<titre>. Si plusieurs feuilles sont créées, les fichiers successifs sont nommés TMP-2-<titre>, TMP-3-<titre>, et ainsi de suite. Lorsque le processus d'exportation est terminé, les fichiers sont automatiquement renommés <titre> [1 de N], <titre> [2 de N], et ainsi de suite. Si les données exportées sont contenues dans une seule feuille de calcul Google Sheets, le fichier est renommé <titre>.
- Les autorisations de partage des fichiers contenant les résultats de recherche exportés correspondent à celles configurées pour votre domaine. Par exemple, si les fichiers créés sont partagés par défaut avec toute l'entreprise, les données exportées le seront également.
Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.
Pour en savoir plus, consultez Enregistrer et partager des enquêtes.
Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.
Articles associés
- Utiliser l'outil d'investigation avec le tableau de bord de sécurité
- Créer un graphique personnalisé basé sur une investigation
- Lancer une enquête à partir du centre d'alerte
- Examiner les signalements d'e-mails malveillants
- Effectuer une recherche dans le partage de fichiers
- Rechercher un utilisateur dans différentes sources de données