Edições em que esse recurso está disponível: Enterprise Plus, Education Plus. Comparar sua edição
Como administrador da sua organização, você pode usar a ferramenta de investigação de segurança para fazer pesquisas relacionadas a eventos de registro do Gmail e entrar em ação com base nos resultados da pesquisa. Nessa ferramenta, você pode consultar um registro das ações para ver a atividade dos usuários e dos administradores da sua organização no Gmail, por exemplo, quando os e-mails são classificados como spam, liberados da quarentena ou enviados para a quarentena de administrador. Se você tiver os privilégios apropriados na ferramenta, também poderá ver o conteúdo de mensagem do Gmail como parte de uma investigação.
Também é possível fazer uma pesquisa com base nos eventos de registro do Gmail e usar a ferramenta de investigação de segurança para, por exemplo, excluir mensagens específicas, marcar mensagens como spam ou phishing ou enviar mensagens para a quarentena ou a caixa de entrada de um usuário.
Pesquisar eventos de registro do Gmail
A capacidade de realizar uma pesquisa depende da edição do Google Workspace, dos seus privilégios de administrador e da origem dos dados. Você pode fazer uma pesquisa com todos os usuários, seja qual for a edição do Google Workspace deles.
Para pesquisar na ferramenta de investigação de segurança, primeiro clique em uma origem de dados. Em seguida, escolha uma ou mais condições para sua pesquisa. Para cada condição, selecione um atributo, um operador e um valor.
-
-
No Admin Console, acesse Menu
Segurança
Central de segurança
- Clique em Origem de dados e selecione Eventos de registro do Gmail.
- Clique em Adicionar condição.
Dica: você pode incluir uma ou mais condições na pesquisa ou usar consultas aninhadas. Veja mais detalhes em Personalizar sua pesquisa com consultas aninhadas. - Clique em Atributo
Para ver uma lista com todos os atributos, acesse a seção Descrições de atributos abaixo. - Selecione um operador.
- Digite um valor ou selecione uma opção na lista suspensa.
- (Opcional) Para adicionar outras condições de pesquisa, repita as etapas 4 a 7.
- Clique em Pesquisar.
Os resultados da pesquisa na ferramenta de investigação são exibidos em uma tabela na parte de baixo da página. - (Opcional) Para salvar a investigação, clique em Salvar
Observação:
- Na guia Criador de condições, os filtros são representados como condições com os operadores AND/OR. Também é possível usar a guia Filtrar para incluir pares simples de parâmetros e valores e filtrar os resultados da pesquisa.
- Quando você renomeia um usuário, não vê os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@example.com para NovoNome@example.com, não vai ver resultados de eventos relacionados a NomeAntigo@example.com.
Descrições de atributos
Para essa origem de dados, você pode usar os seguintes atributos ao pesquisar dados de eventos de registro:
| Atributo | Descrição |
|---|---|
| Extensões de anexo | ID do navegador Chrome |
| Hashes de anexo | O hash SHA256 do anexo. |
| Família do malware do anexo | A categoria do malware, se detectada durante o processamento da mensagem. Por exemplo: O conteúdo pode ser nocivo, Programa malicioso conhecido ou Vírus/worm |
| Nome do anexo | Nome do anexo |
| Tipo de cliente | Tipo de cliente do Gmail: por exemplo, Web, Android, iOS ou POP3. |
| Data | Data e hora do evento no fuso horário padrão do navegador |
| Delegar | Endereço de e-mail do usuário delegado que realizou a ação em nome do proprietário |
| Identificador de sessão do dispositivo | O ID exclusivo gerado para uma sessão de usuário de cliente de e-mail |
| Domínios DKIM | O domínio autenticado com o mecanismo DKIM (e-mail identificado com chaves de domínio) |
| Domínio | O domínio em que a ação ocorreu |
| Evento | A ação do evento registrado, como Download de anexos, Clique no link, Enviar ou Visualizar. |
| De (envelope) | Endereço do envelope do remetente |
| De (endereço do cabeçalho) | O endereço do cabeçalho do remetente como aparece nos cabeçalhos das mensagens, por exemplo, usuario@example.com |
| De (nome do cabeçalho) | Nome de exibição do cabeçalho do remetente como aparece no cabeçalho da mensagem |
| Geolocalização | O código de país da norma ISO baseado no IP de redirecionamento. |
| Com anexo | O e-mail inclui um anexo |
| Tem delegado | Se um usuário delegado realizou a ação em nome do proprietário |
| Endereço IP | Endereço IP do cliente de e-mail que iniciou ou interagiu com a mensagem |
| Vincular domínio | Domínio(s) extraído(s) de URLs de link no corpo da mensagem |
| ID da mensagem | O ID exclusivo da mensagem localizado no cabeçalho da mensagem |
| Código do projeto OAuth | ID do projeto do console do Cloud do desenvolvedor que fez a autenticação com o OAuth |
| Proprietário | Proprietário da mensagem de e-mail. No caso de uma mensagem recebida, ele é o destinatário. Em uma mensagem de saída, é o remetente. |
| Domínio do remetente | Domínio do remetente |
| Classificação de spam | Classificação de spam da mensagem de e-mail, como Spam, Malware, Phishing, Suspeito ou Limpo (não é spam) |
| Motivo da classificação de spam | Motivo da classificação da mensagem como spam, por exemplo, Spam flagrante, Regra personalizada, Reputação do remetente ou Anexo suspeito |
| Domínio SPF | Nome de domínio usado para a autenticação Sender Policy Framework (SPF) |
| Assunto | Linha de assunto do e-mail |
| Hash do anexo de destino | Informações sobre o hash do anexo SHA256 se um usuário interagir com o anexo de uma mensagem. |
| Família de malware do anexo de destino | Informações sobre a família de malware do anexo, caso os usuários interajam com o anexo de uma mensagem. Por exemplo: O conteúdo pode ser nocivo, Programa malicioso conhecido ou Vírus/worm |
| Nome do anexo de destino | Informações sobre o nome do anexo se os usuários interagirem com ele de uma mensagem |
| Código do drive de destino | Informações sobre o ID do Drive se os usuários interagirem com o item do Drive de uma mensagem |
| URL do link de destino | Informações sobre o URL do link se os usuários interagirem com o link de uma mensagem |
| Para (envelope) | Endereço do envelope do destinatário |
| Origem do tráfego | Indica se um e-mail é enviado/recebido internamente (dentro do seu domínio) ou externamente |
- É possível configurar alertas com base nos dados de eventos de registro usando as regras de relatórios. Consulte instruções em Criar e gerenciar regras do relatório.
- Edições compatíveis com este recurso: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus e Cloud Identity Premium. Comparar sua edição
Para prevenir, detectar e corrigir problemas de segurança de maneira eficiente, automatize as ações na ferramenta de investigação de segurança e configure alertas criando regras de atividade. Para configurar uma regra, defina as condições e especifique quais ações vão ser realizadas quando as condições forem atendidas. Veja mais detalhes e instruções em Criar e gerenciar regras de atividade.
Edições compatíveis com este recurso: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus e Cloud Identity Premium. Comparar sua edição
Depois de fazer uma pesquisa na ferramenta de investigação de segurança, você pode realizar ações com base nos resultados. Por exemplo, você pode fazer uma pesquisa com base nos eventos de registro do Gmail e usar a ferramenta para excluir ou enviar mensagens para a quarentena ou para a caixa de entrada de outros usuários. Confira mais detalhes em Realizar ações com base nos resultados da pesquisa.
Tópicos relacionados à Central de segurança