この機能に対応しているエディション: Enterprise Plus、Education Plus エディションの比較
組織の管理者は、セキュリティ調査ツールを使用して Gmail のログイベントに関連する検索を行い、検索結果に基づいて対応することができます。調査ツールを使って操作の履歴を表示し、組織のユーザーや管理者の Gmail でのアクティビティを確認できます。たとえば、メールが迷惑メールとして分類されたとき、検疫から解放されたとき、管理者検疫に送信されたときなどの操作を確認できます。調査ツールで適切な権限を持っている場合は、調査の一環として Gmail のメッセージの内容を閲覧することもできます。
Gmail のログイベントに基づいて検索した後、セキュリティ調査ツールを使用して、特定のメッセージを削除したり、迷惑メールやフィッシング メールに分類したり、メッセージを検疫に送ったり、ユーザーの受信ボックスにメッセージを送信したりすることもできます。
Gmail のログイベントを検索する
検索を行えるかどうかは、ご利用の Google Workspace エディション、ご自身の管理者権限、データソースによって異なります。ユーザーに対する検索は、ユーザーが使用している Google Workspace のエディションに関係なく、全ユーザーを対象に行えます。
セキュリティ調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索のための条件を 1 つ以上選択します。その後、検索条件ごとにそれぞれ属性、演算子、値を選択します。
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[セキュリティ センター]
- [データソース] をクリックし、[Gmail のログイベント] を選択します。
- [条件を追加] をクリックします。
ヒント: 検索で 1 つ以上の条件を指定するか、ネストされたクエリで検索をカスタマイズできます。詳しくは、ネストされたクエリを使って検索をカスタマイズするをご覧ください。 - [属性] をクリック
属性の一覧については、以下の属性の説明をご覧ください。 - 演算子を選択します。
- 値を入力するか、プルダウン リストから値を選択します。
- (省略可)検索条件を追加するには、手順 4〜7 を繰り返します。
- [検索] をクリックします。
調査ツールの検索結果は、ページ下部の表に示されます。 - (省略可)調査を保存するには、保存アイコン
をクリック
注:
- [条件作成ツール] タブでは、フィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、シンプルなパラメータと値のペアを含め、検索結果をフィルタリングすることもできます。
- ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
| 属性 | 説明 |
|---|---|
| 添付ファイルの拡張子 | Chrome ブラウザの ID |
| 添付ファイルのハッシュ | 添付ファイルの SHA256 ハッシュ |
| 添付ファイルの不正なソフトウェア ファミリー | マルウェアのカテゴリ(メッセージの処理時に検出された場合)。例: 有害な可能性があるコンテンツ、既知の悪意のあるプログラム、ウイルス/ワーム |
| 添付ファイル名 | 添付ファイルの名前 |
| クライアントの種類 | Gmail クライアントの種類(ウェブ、Android、iOS、POP3 など)。 |
| 日付 | イベントの発生日時(使用しているブラウザのデフォルトのタイムゾーンで表示されます) |
| 代理人 | オーナーに代わって操作を行った代理ユーザーのメールアドレス |
| デバイスのセッション ID | メール クライアント ユーザー セッション用に生成された一意の ID |
| DKIM ドメイン | DKIM(Domain Keys Identified Mail)メカニズムで認証されたドメイン |
| ドメイン | 操作が行われたドメイン |
| イベント | ログに記録されたイベント アクション。添付ファイルのダウンロード、リンクのクリック、送信、または表示など。 |
| From(エンベロープ) | 送信者のエンベロープ アドレス |
| From(ヘッダー アドレス) | メッセージ ヘッダーに表示されている送信者のヘッダー アドレス(例: user@example.com) |
| From(ヘッダー名) | メッセージ ヘッダーに表示されている送信者のヘッダー表示名 |
| 位置情報 | リレー IP に基づく、ISO 国コード |
| 添付ファイルあり | メールに添付ファイルが含まれている |
| 代理人あり | オーナーに代わって操作を行った代理ユーザーがいるかどうか |
| IP アドレス | メッセージを発信した、または操作したメール クライアントの IP アドレス |
| リンクドメイン | メール本文のリンク URL から抽出されたドメイン |
| メッセージ ID | メッセージ ヘッダーにある一意のメッセージ ID |
| OAuth プロジェクト ID | OAuth で認証したデベロッパーの Cloud コンソール プロジェクト ID |
| 所有者 | メール メッセージのオーナー。受信メールの場合は受信者です。送信メッセージの場合は送信者です。 |
| 送信元ドメイン | 送信元のドメイン |
| 迷惑メールの分類 | メール メッセージの迷惑メールの分類。例: スパム、マルウェア、フィッシング、不審、またはクリーン(迷惑メールではない)。 |
| 迷惑メールの分類の理由 | メールが迷惑メールとして分類される理由(明らかなスパム、カスタムルール、送信者の評価、不審な添付ファイルなど) |
| SPF ドメイン | Sender Policy Framework(SPF)認証に使用するドメイン名 |
| 件名 | メールの件名 |
| ターゲットの添付ファイルのハッシュ | ユーザーがメールの添付ファイルを操作する場合の添付ファイルの SHA256 ハッシュに関する情報 |
| ターゲットの添付ファイルの不正なソフトウェア ファミリー | ユーザーがメールの添付ファイルを操作する場合の添付ファイルのマルウェア ファミリーに関する情報(例: 有害な可能性があるコンテンツ、既知の悪意のあるプログラム、ウイルスやワーム) |
| ターゲットの添付ファイル名 | ユーザーがメールの添付ファイルを操作する場合の添付ファイル名に関する情報 |
| ターゲットのドライブ ID | ユーザーがメールのドライブ アイテムを操作する場合のドライブ ID に関する情報 |
| ターゲットのリンクの URL | ユーザーがメールのリンクを操作する場合のリンク URL に関する情報 |
| To(エンベロープ) | 受信者のエンベロープ アドレス |
| トラフィック ソース | メールが内部(ドメイン内)で送受信されたか、外部で送受信されたかを示す |
- レポートルールを使用して、ログイベント データに基づいてアラートを設定できます。手順については、レポートルールの作成と管理をご覧ください。
- この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。 エディションの比較
アクティビティ ルールを作成すると、セキュリティ調査ツールのアクションを自動化してセキュリティの問題を効率的に防止、検出、修正することができます。ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。詳細と設定手順については、アクティビティ ルールを作成、管理するをご確認ください。
この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。 エディションの比較
セキュリティ調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、Gmail のログイベントに基づいて検索した後、セキュリティ調査ツールを使用して特定のメールを削除したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりできます。詳しくは、検索結果に基づいて対応するをご覧ください。
セキュリティ センターの関連トピック