В инструменте "Анализ безопасности" можно использовать журнал Gmail в качестве источника данных о событиях в следующих версиях:
Enterprise Plus, Education Plus.
С помощью инструмента "Анализ безопасности" администратор организации может искать события журнала Gmail, выполнять действия с результатами поиска, а также просматривать записи из этого журнала. Это позволяет узнать, какие действия в Gmail совершают пользователи и администраторы, входящие в организацию, например когда электронные письма классифицируются как спам, перемещаются из карантина или отправляются в административный карантин. При наличии прав в инструменте "Анализ безопасности" в ходе анализа также можно изучить содержимое письма Gmail.
Сообщения, найденные при поиске по событиям журнала Gmail, можно, например, удалять, отмечать как спам или фишинг, отправлять в карантин либо помещать в папки "Входящие" пользователей.
Доступ к инструменту "Анализ безопасности"
- Для работы с инструментом "Анализ безопасности" требуется версия премиум-версии Google Workspace (Enterprise Standard, Enterprise Plus, or Education Plus).
- Журналы для установленных приложений Google (например, Gmail) можно просматривать из браузера Chrome.
- Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, информацию можно найти на странице аудита и анализа.
- В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.
Как найти события из журнала Gmail
Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска. Присвойте каждому условию атрибут, оператор и значение.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Центр безопасности
- Нажмите Источник данных и выберите События журнала Gmail.
- Нажмите Добавить условие.
Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске… - Нажмите Атрибут
Полный список атрибутов приведен в разделе Описания атрибутов ниже. - Нажмите Содержит
- Введите значение или выберите его в раскрывающемся списке.
- Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
- Нажмите Поиск.
Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы. - Чтобы сохранить анализ, нажмите Сохранить
Примечания
- На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
- Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если OldName@example.com заменили на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
| Атрибут | Описание |
|---|---|
| Расширение прикрепленного файла | Идентификатор браузера Chrome. |
| Хеш прикрепленного файла | Хеш SHA256 прикрепленного файла. |
| Семейство вредоносного ПО в прикрепленном файле | Категория вредоносного ПО в случае обнаружения. Примеры: Потенциально вредоносное содержание, Известная вредоносная программа, Вирус или червь. |
| Имя прикрепленного файла | Имя прикрепленного файла. |
| Тип клиента | Тип клиента Gmail, например "Web", "Android", "iOS" или "POP3". |
| Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
| Представитель | Адрес электронной почты пользователя, совершившего действие от имени владельца. |
| Идентификатор сеанса на устройстве | Уникальный идентификатор, сгенерированный для сеанса пользователя почтового клиента. |
| Домен DKIM | Домен, прошедший аутентификацию с помощью механизма DKIM. |
| Домен | Домен, в котором было выполнено действие. |
| Событие | Сведения о зарегистрированном действии, например скачивании прикрепленного файла, нажатии по ссылке, отправке или просмотре*. |
| От (конверт) | Адрес конверта отправителя. |
| От (адрес заголовка) | Адрес заголовка отправителя в том же виде, что и в заголовках писем, например user@example.com. |
| От (название заголовка) | Отображаемое имя в заголовке отправителя в том же виде, что и в заголовке письма. |
| Местоположение | Код страны ISO на основании IP-адреса ретранслятора. |
| С прикрепленными файлами | Письмо содержит прикрепленный файл. |
| Есть представитель | Выполнил ли действие представитель от имени владельца. |
| IP-адрес | IP-адрес почтового клиента, который запустил письмо или взаимодействовал с ним. |
| Домен, связанный со ссылкой | Домены, извлеченные из URL ссылок в тексте письма. |
| Идентификатор сообщения | Уникальный идентификатор, содержащийся в заголовке письма. |
| Идентификатор проекта OAuth | Идентификатор проекта Cloud Console разработчика, который прошел аутентификацию с использованием OAuth. |
| Владелец | Владелец электронного письма. Для входящего письма это получатель, а для исходящего – отправитель. |
| Домен отправителя | Домен отправителя. |
| Фильтрация спама | Категория спама, к которой отнесено письмо, например спам, вредоносное ПО, фишинг, подозрительные или обычные (не спам). |
| Причина фильтрации как спама | Причина, по которой письмо отнесено к спаму, например явный спам, специальное правило, репутация отправителя или подозрительный прикрепленный файл. |
| Домен SPF | Доменное имя, использованное для аутентификации Sender Policy Framework (SPF). |
| Тема | Тема электронного письма. |
| Хеш целевого прикрепленного файла | Информация о хеше SHA256 прикрепленного файла, если пользователь взаимодействует с прикрепленным к письму файлом. |
| Семейство вредоносного ПО в целевом прикрепленном файле | Информация о семействе вредоносного ПО в прикрепленном файле, если пользователь взаимодействует с прикрепленным к письму файлом. Примеры: Потенциально вредоносное содержание, Известная вредоносная программа или Вирус или червь. |
| Название целевого прикрепленного файла | Информация о названии прикрепленного файла, если пользователь взаимодействует с прикрепленным к письму файлом. |
| Идентификатор целевого диска | Информация об идентификаторе Диска, если пользователь взаимодействует с объектом на Диске, указанным в письме. |
| URL целевой ссылки | Информация о URL ссылки, если пользователь взаимодействует со ссылкой в письме. |
| Кому (конверт) | Адрес конверта получателя. |
| Источник трафика | Указывает, было ли письмо отправлено или получено в пределах домена или за его пределами. |
| *Для типа события Просмотр нельзя создавать ни правила активности, ни специальные диаграммы. | |
Какие действия можно выполнить с результатами поиска
Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробная информация о возможных действиях в инструменте "Анализ безопасности" приведена в статье Какие действия можно выполнять с результатами поиска.
Как создавать правила активности и настраивать оповещения
Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробные сведения и инструкции приведены в статье Как создавать правила активности с использованием инструмента "Анализ безопасности".
Как управлять процессом анализа
Как посмотреть список анализовЧтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставили доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.
На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.
Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.
Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:
- Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
- Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
- Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
- Включить или отключить параметр Включить обоснование действия.
Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы результатов поиска нажмите на значок "Управление столбцами"
.
- Чтобы удалить отображаемые столбцы, нажмите на значок "Удалить"
.
- Чтобы добавить столбцы, рядом с надписью "Добавить столбец" нажмите на стрелку вниз
и выберите вариант из списка.
При необходимости повторите действия для другого запроса. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
- В верхней части таблицы результатов поиска нажмите Экспортировать все.
- Введите название
Экспортированные данные будут показаны под таблицей результатов поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы посмотреть данные, нажмите на название экспорта.
Данные откроются в Google Таблицах.
При работе с экспортированными результатами поиска обратите внимание на приведенные ниже примечания.
- После того как вы нажмете кнопку Экспортировать все в верхней части таблицы, в папке "Мой диск" будет создана таблица Google с результатами поиска. Если их окажется много, экспорт займет больше времени, а вместо одной таблицы может появиться несколько. Всего можно экспортировать не более 30 млн строк (1,25 млн строк для писем Gmail).
- В процессе экспорта таблице Google присваивается временное название, например TMP-1-<название>. Если файлов окажется больше одного, им будут даны названия TMP-2-<название>, TMP-3-<название> и т. д. После окончания экспорта файлы будут автоматически переименованы в <название> [1 из N], <название> [2 из N] и т. д. Если все результаты поместятся в один файл, он будет переименован в <название>.
- Права доступа к файлам с экспортированными результатами поиска определяются настройками, заданными в домене. Например, если по умолчанию создаваемые объекты видны всем пользователям в организации, то файлы с результатами действий тоже будут доступны каждому сотруднику.
Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.
Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.
Чтобы узнать больше об источниках данных, изучите статью Задержка при обновлении отчетов и сроки хранения данных.
Статьи по теме
