Ondersteunde versies voor de gegevensbron van gebeurtenissen in het Gmail-logboek in de onderzoekstool:
Enterprise Plus, Education Plus
Als beheerder van uw organisatie kunt u de tool voor beveiligingsonderzoek gebruiken om zoekopdrachten voor Gmail-logboekgebeurtenissen uit te voeren en actie te ondernemen op basis van zoekresultaten. In de onderzoekstool kunt u een overzicht van acties bekijken om de gebruikers- en beheerdersactiviteiten in uw organisatie te bekijken in Gmail, bijvoorbeeld als e-mails worden geclassificeerd als spam, worden vrijgegeven uit de quarantaine of in de beheerdersquarantaine worden geplaatst. Als u de juiste rechten heeft in de onderzoekstool, kunt u ook de inhoud van een Gmail-bericht bekijken als onderdeel van een onderzoek.
U kunt ook een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en vervolgens de onderzoekstool gebruiken om acties uit te voeren, bijvoorbeeld om specifieke berichten te verwijderen, berichten te markeren als spam of phishing, berichten in de quarantaine te plaatsen of berichten te verzenden naar de inbox van gebruikers.
Uw toegang tot de tool voor beveiligingsonderzoek
- De tool voor beveiligingsonderzoek wordt ondersteund in onder andere Enterprise Plus, Education Standard, Education Plus en Enterprise Essentials Plus.
- Beheerders met Cloud Identity Premium, Frontline Standard, Enterprise Standard en Education Standard kunnen de onderzoekstool ook gebruiken voor een deel van de gegevensbronnen.
- Of u een zoekopdracht kunt uitvoeren in de onderzoekstool, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. Als u geen zoekopdracht kunt uitvoeren in de onderzoekstool voor een specifieke gegevensbron, kunt u wel de controle- en onderzoekspagina gebruiken. Ga naar Nieuwe UI voor controle en onderzoek voor meer informatie.
- U kunt in de onderzoekstool een zoekopdracht uitvoeren voor alle gebruikers, ongeacht de Google-versie die ze gebruiken.
Zoeken in Gmail-logboekgebeurtenissen
Als u een zoekopdracht wilt uitvoeren in de onderzoekstool, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingBeveiligingscentrumOnderzoekstool.
- Klik op Gegevensbron en selecteer Gmail-logboekgebeurtenissen.
- Klik op Voorwaarde toevoegen.
Tip: U kunt een of meer voorwaarden toevoegen aan de zoekopdracht of de zoekopdracht aanpassen met geneste zoekopdrachten. Zie Een zoekopdracht aanpassen met geneste zoekopdrachten voor meer informatie. - Klik op Kenmerkselecteer een optie.
Ga naar het gedeelte Kenmerkbeschrijvingen hieronder voor de volledige lijst met kenmerken. - Klik op Bevatselecteer een operator.
- Vul een waarde in of selecteer een waarde in het dropdownmenu.
- (Optioneel) Herhaal stap 4-7 om meer zoekvoorwaarden toe te voegen.
- Klik op Zoeken.
In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina. - (Optioneel) Als u het onderzoek wilt opslaan, klikt u op Opslaan vul een titel en een beschrijving inklik op Opslaan.
Opmerking:
- Op het tabblad Voorwaardenbuilder worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.
- Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld OudeNaam@example.com de naam NieuweNaam@example.com geeft, ziet u geen gebeurtenissen gerelateerd aan OudeNaam@example.com.
Kenmerkbeschrijvingen
Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u zoekt naar gegevens uit logboekgebeurtenissen:
Attribute | Description |
---|---|
Attachment extension | ID of the Chrome browser |
Attachment hash | SHA256 hash of the attachment |
Attachment malware family | Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm |
Attachment name | Name of the attachment |
Date | Date and time of the event (displayed in your browser's default time zone) |
Delegate | Email address of the delegate user who performed the action on the owner's behalf |
DKIM domain | The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism |
Domain | The domain where the action occurred |
Event | The logged event action, such as Attachment download, Link click, or Send. |
From (Envelope) | Sender's envelope address |
From (Header address) | Sender's header address as it appears in the message headers, for example, user@example.com |
From (Header name) | Sender's header display name as it appears in the message header |
Geo location | ISO country code based on the relay IP |
Has attachment | Email includes an attachment |
Has delegate | Whether or not there was a delegate user who performed the action on the owner's behalf |
IP address | IP address of the mail client that started or interacted with the message |
Link domain | Domain(s) extracted from link URLs in the message body |
Message ID | The unique message ID located in the message header |
OAuth project ID | Cloud console project ID of the developer who authenticated with OAuth |
Owner | Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender. |
Sender domain | Domain of the sender |
Spam classification | Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam) |
Spam classification reason | Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment |
SPF domain | Domain name used for Sender Policy Framework (SPF) authentication |
Subject | The email subject line |
Target attachment hash | Information about the SHA256 attachment hash if a user interacts with a message's attachment |
Target attachment malware family | Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm |
Target attachment name | Information about the attachment name if users interact with a message's attachment |
Target drive ID | Information about the Drive ID if users interact with a message's Drive item |
Target link URL | Information about the link URL if users interact with a message's link |
To (Envelope) | Recipient's envelope address |
Traffic source | Indicates if an email is sent/received internally (within your domain) or externally |
Acties uitvoeren op basis van zoekresultaten
Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de onderzoekstool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Zie Acties uitvoeren op basis van zoekresultaten voor meer informatie over acties in de onderzoekstool.
Activiteitsregels maken en meldingen instellen
U kunt acties in de onderzoekstool automatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Zie Activiteitsregels maken en beheren voor meer informatie en instructies.
Uw onderzoeken beheren
De lijst met onderzoeken bekijkenKlik op Onderzoeken bekijken om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.
In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.
Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.
Klik als hoofdbeheerder op Instellingen om het volgende te doen:
- De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
- Beoordeling vereisen aan- of uitzetten. Zie Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
- Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
- De instelling Reden voor actie aanzetten aan- of uitzetten.
Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.
U kunt bepalen welke gegevenskolommen worden getoond in de zoekresultaten.
- Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
- (Optioneel) Als u huidige kolommen wilt verwijderen, klikt u op Item verwijderen .
- (Optioneel) Als u kolommen wilt toevoegen, klikt u naast 'Nieuwe kolom toevoegen' op de pijl-omlaag en selecteert u de juiste gegevenskolom.
Herhaal de stappen indien nodig. - (Optioneel) Als u de volgorde van kolommen wilt wijzigen, versleept u de kolomnaam.
- Klik op Opslaan.
- Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
- Vul een naam inklik op Exporteren.
De export wordt onder de tabel met zoekresultaten weergegeven, onder Actieresultaten exporteren. - Klik op de naam van de export om de gegevens te bekijken.
De export wordt geopend in Google Spreadsheets.
Het volgende geldt als u geëxporteerde zoekresultaten bekijkt:
- Nadat u bovenaan de tabel op de knop Alles exporteren heeft geklikt, wordt er een Google-spreadsheet met de zoekresultaten gemaakt in de map Mijn Drive. Afhankelijk van de hoeveelheid resultaten kan de export enige tijd duren en kunnen er meerdere Google-spreadsheets worden gemaakt. Er kunnen in totaal niet meer dan 30 miljoen rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 1,25 miljoen rijen).
- Tijdens de export worden er Google-spreadsheets gemaakt met een tijdelijke naam, zoals TMP-1-<titel>. Als er meerdere Google-spreadsheets worden gemaakt, krijgen aanvullende bestanden de naam TMP-2-<titel>, TMP-3-<titel> etc. Wanneer de export is voltooid, krijgen de bestanden automatisch de naam <titel> [1 van N], <titel> [2 van N] etc. Als de geëxporteerde gegevens in één Google-spreadsheet staan, krijgt dit de naam <titel>.
- Welke rechten voor delen gelden voor bestanden met de geëxporteerde zoekresultaten, hangt af van uw domeinconfiguratie. Als gemaakte bestanden bijvoorbeeld standaard worden gedeeld met iedereen in het bedrijf, geldt deze zichtbaarheid ook voor de geëxporteerde gegevens.
Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.
Zie Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.
Zie Bewaartijden van gegevens en vertragingstijden voor meer informatie over gegevensbronnen.
Gerelateerde onderwerpen