Melding

Duet AI heet nu Gemini voor Google Workspace. Meer informatie

Gmail-logboekgebeurtenissen

Tool voor beveiligingsonderzoek

Ondersteunde versies voor de gegevensbron van gebeurtenissen in het Gmail-logboek in de onderzoekstool:
Enterprise Plus, Education Plus

Als beheerder van uw organisatie kunt u de tool voor beveiligingsonderzoek gebruiken om zoekopdrachten voor Gmail-logboekgebeurtenissen uit te voeren en actie te ondernemen op basis van zoekresultaten. In de onderzoekstool kunt u een overzicht van acties bekijken om de gebruikers- en beheerdersactiviteiten in uw organisatie te bekijken in Gmail, bijvoorbeeld als e-mails worden geclassificeerd als spam, worden vrijgegeven uit de quarantaine of in de beheerdersquarantaine worden geplaatst. Als u de juiste rechten heeft in de onderzoekstool, kunt u ook de inhoud van een Gmail-bericht bekijken als onderdeel van een onderzoek.

U kunt ook een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en vervolgens de onderzoekstool gebruiken om acties uit te voeren, bijvoorbeeld om specifieke berichten te verwijderen, berichten te markeren als spam of phishing, berichten in de quarantaine te plaatsen of berichten te verzenden naar de inbox van gebruikers.

Uw toegang tot de tool voor beveiligingsonderzoek

  • De tool voor beveiligingsonderzoek wordt ondersteund in onder andere Enterprise Plus, Education Standard, Education Plus en Enterprise Essentials Plus.
  • Beheerders met Cloud Identity Premium, Frontline Standard, Enterprise Standard en Education Standard kunnen de onderzoekstool ook gebruiken voor een deel van de gegevensbronnen.
  • Of u een zoekopdracht kunt uitvoeren in de onderzoekstool, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. Als u geen zoekopdracht kunt uitvoeren in de onderzoekstool voor een specifieke gegevensbron, kunt u wel de controle- en onderzoekspagina gebruiken. Ga naar Nieuwe UI voor controle en onderzoek voor meer informatie.
  • U kunt in de onderzoekstool een zoekopdracht uitvoeren voor alle gebruikers, ongeacht de Google-versie die ze gebruiken.

Zoeken in Gmail-logboekgebeurtenissen

Als u een zoekopdracht wilt uitvoeren in de onderzoekstool, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenBeveiligingscentrumand thenOnderzoekstool.
  3. Klik op Gegevensbron en selecteer Gmail-logboekgebeurtenissen.
  4. Klik op Voorwaarde toevoegen.
    Tip: U kunt een of meer voorwaarden toevoegen aan de zoekopdracht of de zoekopdracht aanpassen met geneste zoekopdrachten. Zie Een zoekopdracht aanpassen met geneste zoekopdrachten voor meer informatie.
  5. Klik op Kenmerkand thenselecteer een optie.
    Ga naar het gedeelte Kenmerkbeschrijvingen hieronder voor de volledige lijst met kenmerken.
  6. Klik op Bevatand thenselecteer een operator.
  7. Vul een waarde in of selecteer een waarde in het dropdownmenu.
  8. (Optioneel) Herhaal stap 4-7 om meer zoekvoorwaarden toe te voegen.
  9. Klik op Zoeken.
    In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina.
  10. (Optioneel) Als u het onderzoek wilt opslaan, klikt u op Opslaan and thenvul een titel en een beschrijving inand thenklik op Opslaan.

Opmerking:

  • Op het tabblad Voorwaardenbuilder worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld OudeNaam@example.com de naam NieuweNaam@example.com geeft, ziet u geen gebeurtenissen gerelateerd aan OudeNaam@example.com.

Kenmerkbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u zoekt naar gegevens uit logboekgebeurtenissen:

 
Attribute Description
Attachment extension ID of the Chrome browser
Attachment hash SHA256 hash of the attachment
Attachment malware family Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm
Attachment name Name of the attachment
Date Date and time of the event (displayed in your browser's default time zone)
Delegate Email address of the delegate user who performed the action on the owner's behalf
DKIM domain The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism
Domain The domain where the action occurred
Event The logged event action, such as Attachment download, Link click, or Send.
From (Envelope) Sender's envelope address
From (Header address) Sender's header address as it appears in the message headers, for example, user@example.com
From (Header name) Sender's header display name as it appears in the message header
Geo location ISO country code based on the relay IP
Has attachment Email includes an attachment
Has delegate Whether or not there was a delegate user who performed the action on the owner's behalf
IP address IP address of the mail client that started or interacted with the message
Link domain Domain(s) extracted from link URLs in the message body
Message ID The unique message ID located in the message header
OAuth project ID Cloud console project ID of the developer who authenticated with OAuth
Owner Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender.
Sender domain Domain of the sender
Spam classification Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam)
Spam classification reason Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment 
SPF domain Domain name used for Sender Policy Framework (SPF) authentication
Subject The email subject line 
Target attachment hash Information about the SHA256 attachment hash if a user interacts with a message's attachment
Target attachment malware family Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm
Target attachment name Information about the attachment name if users interact with a message's attachment
Target drive ID Information about the Drive ID if users interact with a message's Drive item
Target link URL Information about the link URL if users interact with a message's link
To (Envelope) Recipient's envelope address
Traffic source Indicates if an email is sent/received internally (within your domain) or externally

Acties uitvoeren op basis van zoekresultaten

Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de onderzoekstool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Zie Acties uitvoeren op basis van zoekresultaten voor meer informatie over acties in de onderzoekstool.

Activiteitsregels maken en meldingen instellen

U kunt acties in de onderzoekstool automatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Zie Activiteitsregels maken en beheren voor meer informatie en instructies.

Uw onderzoeken beheren

De lijst met onderzoeken bekijken

Klik op Onderzoeken bekijken  om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.

In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.

Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.

Instellingen instellen voor onderzoeken

Klik als hoofdbeheerder op Instellingen  om het volgende te doen:

  • De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
  • Beoordeling vereisen aan- of uitzetten. Zie Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
  • Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
  • De instelling Reden voor actie aanzetten aan- of uitzetten.

Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.

Kolommen in de zoekresultaten beheren

U kunt bepalen welke gegevenskolommen worden getoond in de zoekresultaten.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
  2. (Optioneel) Als u huidige kolommen wilt verwijderen, klikt u op Item verwijderen .
  3. (Optioneel) Als u kolommen wilt toevoegen, klikt u naast 'Nieuwe kolom toevoegen' op de pijl-omlaag  en selecteert u de juiste gegevenskolom.
    Herhaal de stappen indien nodig.
  4. (Optioneel) Als u de volgorde van kolommen wilt wijzigen, versleept u de kolomnaam.
  5. Klik op Opslaan.
Gegevens exporteren uit zoekresultaten
  1. Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
  2. Vul een naam inand thenklik op Exporteren.
    De export wordt onder de tabel met zoekresultaten weergegeven, onder Actieresultaten exporteren.
  3. Klik op de naam van de export om de gegevens te bekijken.
    De export wordt geopend in Google Spreadsheets.

Het volgende geldt als u geëxporteerde zoekresultaten bekijkt:

  • Nadat u bovenaan de tabel op de knop Alles exporteren heeft geklikt, wordt er een Google-spreadsheet met de zoekresultaten gemaakt in de map Mijn Drive. Afhankelijk van de hoeveelheid resultaten kan de export enige tijd duren en kunnen er meerdere Google-spreadsheets worden gemaakt. Er kunnen in totaal niet meer dan 30 miljoen rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 1,25 miljoen rijen).
  • Tijdens de export worden er Google-spreadsheets gemaakt met een tijdelijke naam, zoals TMP-1-<titel>. Als er meerdere Google-spreadsheets worden gemaakt, krijgen aanvullende bestanden de naam TMP-2-<titel>, TMP-3-<titel> etc. Wanneer de export is voltooid, krijgen de bestanden automatisch de naam <titel> [1 van N], <titel> [2 van N] etc. Als de geëxporteerde gegevens in één Google-spreadsheet staan, krijgt dit de naam <titel>.
  • Welke rechten voor delen gelden voor bestanden met de geëxporteerde zoekresultaten, hangt af van uw domeinconfiguratie. Als gemaakte bestanden bijvoorbeeld standaard worden gedeeld met iedereen in het bedrijf, geldt deze zichtbaarheid ook voor de geëxporteerde gegevens.
Onderzoeken delen, verwijderen en dupliceren

Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.

Zie Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.

Wanneer en hoelang zijn gegevens beschikbaar?

Zie Bewaartijden van gegevens en vertragingstijden voor meer informatie over gegevensbronnen.

Gerelateerde onderwerpen

 

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
17514743049877362848
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false