В инструменте "Анализ безопасности" можно использовать журнал Gmail в качестве источника данных о событиях в следующих версиях:
Enterprise Plus, Education Plus.
С помощью инструмента "Анализ безопасности" администратор организации может искать события журнала Gmail, выполнять действия с результатами поиска, а также просматривать записи из этого журнала. Это позволяет узнать, какие действия в Gmail совершают пользователи и администраторы, входящие в организацию, например когда электронные письма классифицируются как спам, перемещаются из карантина или отправляются в административный карантин. При наличии прав в инструменте "Анализ безопасности" в ходе анализа также можно изучить содержимое письма Gmail.
Сообщения, найденные при поиске по событиям журнала Gmail, можно, например, удалять, отмечать как спам или фишинг, отправлять в карантин либо помещать в папки "Входящие" пользователей.
Доступ к инструменту "Анализ безопасности"
- Инструмент "Анализ безопасности" доступен в версиях Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus.
- Администраторы Cloud Identity Premium, Frontline Standard, Enterprise Standard и Education Standard также могут использовать инструмент "Анализ безопасности", но список источников данных для них ограничен.
- Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, можно найти информацию на странице аудита и анализа. Подробнее о расширенных возможностях аудита и анализа…
- В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.
Как найти события из журнала Gmail
Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска. Присвойте каждому условию атрибут, оператор и значение.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Центр безопасности
- Нажмите Источник данных и выберите События журнала Gmail.
- Нажмите Добавить условие.
Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске… - Нажмите Атрибут
Полный список атрибутов приведен в разделе Описания атрибутов ниже. - Нажмите Содержит
- Введите значение или выберите его в раскрывающемся списке.
- Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
- Нажмите Поиск.
Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы. - Чтобы сохранить анализ, нажмите Сохранить
Примечания
- На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
- Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если OldName@example.com заменили на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
| Attribute | Description |
|---|---|
| Attachment extension | ID of the Chrome browser |
| Attachment hash | SHA256 hash of the attachment |
| Attachment malware family | Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Attachment name | Name of the attachment |
| Date | Date and time of the event (displayed in your browser's default time zone) |
| Delegate | Email address of the delegate user who performed the action on the owner's behalf |
| DKIM domain | The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism |
| Domain | The domain where the action occurred |
| Event | The logged event action, such as Attachment download, Link click, or Send. |
| From (Envelope) | Sender's envelope address |
| From (Header address) | Sender's header address as it appears in the message headers, for example, user@example.com |
| From (Header name) | Sender's header display name as it appears in the message header |
| Geo location | ISO country code based on the relay IP |
| Has attachment | Email includes an attachment |
| Has delegate | Whether or not there was a delegate user who performed the action on the owner's behalf |
| IP address | IP address of the mail client that started or interacted with the message |
| Link domain | Domain(s) extracted from link URLs in the message body |
| Message ID | The unique message ID located in the message header |
| OAuth project ID | Cloud console project ID of the developer who authenticated with OAuth |
| Owner | Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender. |
| Sender domain | Domain of the sender |
| Spam classification | Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam) |
| Spam classification reason | Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment |
| SPF domain | Domain name used for Sender Policy Framework (SPF) authentication |
| Subject | The email subject line |
| Target attachment hash | Information about the SHA256 attachment hash if a user interacts with a message's attachment |
| Target attachment malware family | Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Target attachment name | Information about the attachment name if users interact with a message's attachment |
| Target drive ID | Information about the Drive ID if users interact with a message's Drive item |
| Target link URL | Information about the link URL if users interact with a message's link |
| To (Envelope) | Recipient's envelope address |
| Traffic source | Indicates if an email is sent/received internally (within your domain) or externally |
Какие действия можно выполнить с результатами поиска
Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробная информация о возможных действиях в инструменте "Анализ безопасности" приведена в статье Какие действия можно выполнять с результатами поиска.
Как создавать правила активности и настраивать оповещения
Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробные сведения и инструкции приведены в статье Как создавать правила активности с использованием инструмента "Анализ безопасности".
Как управлять процессом анализа
Как посмотреть список анализовЧтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставили доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.
На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.
Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.
Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:
- Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
- Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
- Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
- Включить или отключить параметр Включить обоснование действия.
Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы результатов поиска нажмите на значок "Управление столбцами"
.
- Чтобы удалить отображаемые столбцы, нажмите на значок "Удалить"
.
- Чтобы добавить столбцы, рядом с надписью "Добавить столбец" нажмите на стрелку вниз
и выберите вариант из списка.
При необходимости повторите действия для другого запроса. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
- В верхней части таблицы результатов поиска нажмите Экспортировать все.
- Введите название
Экспортированные данные будут показаны под таблицей результатов поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы посмотреть данные, нажмите на название экспорта.
Данные откроются в Google Таблицах.
При работе с экспортированными результатами поиска обратите внимание на приведенные ниже примечания.
- После того как вы нажмете кнопку Экспортировать все в верхней части таблицы, в папке "Мой диск" будет создана таблица Google с результатами поиска. Если их окажется много, экспорт займет больше времени, а вместо одной таблицы может появиться несколько. Всего можно экспортировать не более 30 млн строк (1,25 млн строк для писем Gmail).
- В процессе экспорта таблице Google присваивается временное название, например TMP-1-<название>. Если файлов окажется больше одного, им будут даны названия TMP-2-<название>, TMP-3-<название> и т. д. После окончания экспорта файлы будут автоматически переименованы в <название> [1 из N], <название> [2 из N] и т. д. Если все результаты поместятся в один файл, он будет переименован в <название>.
- Права доступа к файлам с экспортированными результатами поиска определяются настройками, заданными в домене. Например, если по умолчанию создаваемые объекты видны всем пользователям в организации, то файлы с результатами действий тоже будут доступны каждому сотруднику.
Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.
Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.
Чтобы узнать больше об источниках данных, изучите статью Задержка при обновлении отчетов и сроки хранения данных.
Статьи по теме
