Versioni supportate per l'origine dati Eventi del log di Gmail nello strumento di indagine:
Enterprise Plus, Education Plus
In qualità di amministratore della tua organizzazione, puoi utilizzare lo strumento di indagine sulla sicurezza per eseguire ricerche relative agli eventi del log di Gmail e per intervenire in base ai risultati di ricerca. Dallo strumento di indagine puoi visualizzare un record delle azioni per vedere le attività degli utenti e di amministrazione della tua organizzazione in Gmail, ad esempio quando le email vengono classificate come spam, messe in quarantena o inviate alla quarantena amministrativa. Se disponi degli opportuni privilegi nello strumento di indagine, puoi anche visualizzare i contenuti di un messaggio Gmail nell'ambito di un'indagine.
Puoi anche eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento di indagine per intervenire, ad esempio, per eliminare messaggi specifici, contrassegnarli come spam o phishing, metterli in quarantena o inviarli alla Posta in arrivo degli utenti.
Accesso allo strumento di indagine sulla sicurezza
- Le versioni supportate per lo strumento di indagine sulla sicurezza includono Enterprise Plus, Education Standard, Education Plus ed Enterprise Essentials Plus.
- Inoltre, gli amministratori di Cloud Identity Premium, Frontline Standard, Enterprise Standard ed Education Standard possono utilizzare lo strumento di indagine per un sottoinsieme di origini dati.
- La possibilità di eseguire ricerche nello strumento di indagine dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Se non riesci a eseguire una ricerca nello strumento di indagine per un'origine dati specifica, in genere puoi utilizzare la pagina Controllo e indagine. Per saperne di più, vedi Esperienza di controllo e indagine migliorata.
- Puoi eseguire una ricerca nello strumento di indagine per tutti gli utenti, indipendentemente dalla versione di Google che utilizzano.
Eseguire una ricerca di eventi del log di Gmail
Per eseguire una ricerca nello strumento di indagine, scegli innanzitutto un'origine dati. Successivamente, devi scegliere una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu
Sicurezza
Centro sicurezza
- Fai clic su Origine dati e seleziona Eventi del log di Gmail.
- Fai clic su Aggiungi condizione.
Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate. - Fai clic su Attributo
Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito. - Fai clic su Contiene
- Inserisci un valore o selezionane uno dall'elenco a discesa.
- (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
- Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina. - (Facoltativo) Per salvare la tua indagine, fai clic su Salva
Nota:
- Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
- Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
Descrizioni degli attributi
Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:
| Attribute | Description |
|---|---|
| Attachment extension | ID of the Chrome browser |
| Attachment hash | SHA256 hash of the attachment |
| Attachment malware family | Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Attachment name | Name of the attachment |
| Date | Date and time of the event (displayed in your browser's default time zone) |
| Delegate | Email address of the delegate user who performed the action on the owner's behalf |
| DKIM domain | The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism |
| Domain | The domain where the action occurred |
| Event | The logged event action, such as Attachment download, Link click, or Send. |
| From (Envelope) | Sender's envelope address |
| From (Header address) | Sender's header address as it appears in the message headers, for example, user@example.com |
| From (Header name) | Sender's header display name as it appears in the message header |
| Geo location | ISO country code based on the relay IP |
| Has attachment | Email includes an attachment |
| Has delegate | Whether or not there was a delegate user who performed the action on the owner's behalf |
| IP address | IP address of the mail client that started or interacted with the message |
| Link domain | Domain(s) extracted from link URLs in the message body |
| Message ID | The unique message ID located in the message header |
| OAuth project ID | Cloud console project ID of the developer who authenticated with OAuth |
| Owner | Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender. |
| Sender domain | Domain of the sender |
| Spam classification | Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam) |
| Spam classification reason | Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment |
| SPF domain | Domain name used for Sender Policy Framework (SPF) authentication |
| Subject | The email subject line |
| Target attachment hash | Information about the SHA256 attachment hash if a user interacts with a message's attachment |
| Target attachment malware family | Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Target attachment name | Information about the attachment name if users interact with a message's attachment |
| Target drive ID | Information about the Drive ID if users interact with a message's Drive item |
| Target link URL | Information about the link URL if users interact with a message's link |
| To (Envelope) | Recipient's envelope address |
| Traffic source | Indicates if an email is sent/received internally (within your domain) or externally |
Adottare azioni basate sui risultati di ricerca
Dopo aver eseguito una ricerca nello strumento di indagine, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento di indagine per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli sulle azioni che puoi eseguire nello strumento di indagine, vedi Adottare azioni basate sui risultati di ricerca.
Creare regole di attività e configurare avvisi
Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire regole di attività.
Gestire le indagini
Visualizzare il proprio elenco di indaginiPer visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini. L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.
Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.
Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.
Come super amministratore, puoi fare clic su Impostazioni per:
- Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
- Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
- Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
- Attivare o disattivare l'opzione Abilita motivazione azione.
Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.
Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.
- Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne
.
- (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi elemento
.
- (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù
in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
Ripeti questa operazione in base alle necessità. - (Facoltativo) Per modificare l'ordine delle colonne, puoi trascinarne il nome.
- Fai clic su Salva.
- Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
- Inserisci un nome
L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta. - Per visualizzare i dati, fai clic sul nome dell'esportazione.
L'esportazione si apre in Fogli Google.
Quando visualizzi i risultati di ricerca esportati, tieni presente quanto segue:
- Dopo aver fatto clic su Esporta tutto nella parte superiore della tabella, nella cartella Il mio Drive viene creato un foglio Google che contiene i risultati di ricerca. A seconda delle dimensioni dei risultati, il processo di esportazione potrebbe richiedere del tempo e potrebbero essere creati più fogli Google. Il numero complessivo dei risultati dell'esportazione è limitato a 30 milioni di righe (ad eccezione delle ricerche di messaggi Gmail, i cui risultati sono limitati a 1,25 milioni di righe).
- Mentre l'esportazione è in corso, ai fogli Google creati viene assegnato un nome provvisorio, ad esempio TMP-1-<titolo>. Se vengono creati più fogli Google, i file aggiuntivi saranno denominati TMP-2-<titolo>, TMP-3-<titolo> e così via. Al termine del processo di esportazione, i file vengono automaticamente rinominati <title> [1 di N], <title> [2 di N] e così via. Se i dati esportati sono contenuti in un solo foglio Google, il file viene rinominato <title>.
- Le autorizzazioni di condivisione per i file contenenti i risultati di ricerca esportati si riferiscono alla configurazione del tuo dominio. Ad esempio, se i file creati vengono condivisi con tutti gli utenti dell'azienda per impostazione predefinita, anche i dati esportati avranno la stessa visibilità.
Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.
Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.
Per saperne di più sulle origini dati, vedi Conservazione dei dati e tempi di attesa.
Argomenti correlati
