安全調查工具
以下版本支援在調查工具中使用 Gmail 記錄事件資料來源:
Enterprise Plus、Education Plus
機構管理員可以使用安全調查工具,執行與 Gmail 記錄事件相關的搜尋,並根據搜尋結果執行動作。您可以使用調查工具查看動作記錄,瞭解貴機構使用者和管理員在 Gmail 中的活動,例如將電子郵件歸類為垃圾郵件、從隔離區移出郵件,或將郵件傳送至管理員隔離區。如果您具備調查工具的適當權限,也可以在調查過程中查看 Gmail 郵件的內容。
此外,您也可以根據 Gmail 記錄事件執行搜尋,然後使用調查工具執行相關動作,例如刪除特定郵件、將郵件標示為垃圾郵件或網路詐騙郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。
您的安全調查工具存取權
- 支援安全調查工具的版本包括 Enterprise Plus、Education Standard、Education Plus 和 Enterprise Essentials Plus。
- 使用 Cloud Identity 進階版、Frontline Standard、Enterprise Standard 和 Education Standard 的管理員也可以使用調查工具,但僅限部分資料來源。
- 能否使用調查工具執行搜尋,取決於您的 Google 版本、管理員權限和資料來源。如果您無法在調查工具中執行特定資料來源的搜尋,可以改用稽核與調查頁面。 詳情請參閱「更完善的稽核與調查服務」。
- 您可以在調查工具中對所有使用者執行搜尋作業,不論對方擁有的 Google 版本為何。
針對「Gmail 記錄事件」執行搜尋
如要使用調查工具執行搜尋,請先選擇「資料來源」。然後,您必須選擇加入一或多個搜尋「條件」,再針對每個條件分別選擇「屬性」、「運算子」和「值」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「安全中心」
- 按一下「資料來源」,然後選取「Gmail 記錄事件」。
- 按一下「新增條件」。
提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 - 按一下「屬性」
如需完整的屬性清單,請參閱下方的「屬性說明」一節。 - 按一下「包含」
- 輸入值,或從下拉式清單中選取值。
- (選用) 如要新增更多搜尋條件,請重複執行步驟 4 至 7。
- 按一下「搜尋」。
調查工具中的搜尋結果會顯示在頁面底部的表格中。 - (選用) 如要儲存調查,請按一下「儲存」圖示
注意:
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組來篩選搜尋結果。
- 如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
| Attribute | Description |
|---|---|
| Attachment extension | ID of the Chrome browser |
| Attachment hash | SHA256 hash of the attachment |
| Attachment malware family | Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Attachment name | Name of the attachment |
| Date | Date and time of the event (displayed in your browser's default time zone) |
| Delegate | Email address of the delegate user who performed the action on the owner's behalf |
| DKIM domain | The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism |
| Domain | The domain where the action occurred |
| Event | The logged event action, such as Attachment download, Link click, or Send. |
| From (Envelope) | Sender's envelope address |
| From (Header address) | Sender's header address as it appears in the message headers, for example, user@example.com |
| From (Header name) | Sender's header display name as it appears in the message header |
| Geo location | ISO country code based on the relay IP |
| Has attachment | Email includes an attachment |
| Has delegate | Whether or not there was a delegate user who performed the action on the owner's behalf |
| IP address | IP address of the mail client that started or interacted with the message |
| Link domain | Domain(s) extracted from link URLs in the message body |
| Message ID | The unique message ID located in the message header |
| OAuth project ID | Cloud console project ID of the developer who authenticated with OAuth |
| Owner | Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender. |
| Sender domain | Domain of the sender |
| Spam classification | Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam) |
| Spam classification reason | Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment |
| SPF domain | Domain name used for Sender Policy Framework (SPF) authentication |
| Subject | The email subject line |
| Target attachment hash | Information about the SHA256 attachment hash if a user interacts with a message's attachment |
| Target attachment malware family | Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Target attachment name | Information about the attachment name if users interact with a message's attachment |
| Target drive ID | Information about the Drive ID if users interact with a message's Drive item |
| Target link URL | Information about the link URL if users interact with a message's link |
| To (Envelope) | Recipient's envelope address |
| Traffic source | Indicates if an email is sent/received internally (within your domain) or externally |
根據搜尋結果執行動作
使用調查工具執行搜尋後,您可以對找到的搜尋結果採取行動。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過調查工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。如要進一步瞭解您可以在調查工具中執行的動作,請參閱「根據搜尋結果執行動作」。
建立活動規則及設定快訊
為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。如需詳細資訊和操作說明,請參閱「建立及管理活動規則」。
管理調查項目
查看您的調查清單如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁邊的方塊,然後按一下「動作」。
注意:在調查清單正上方的「快速存取」底下,您可以查看近期儲存的調查項目。
超級管理員可以點選「設定」圖示 並執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「請啟用動作執行原因」設定。
如需操作說明和詳細資訊,請參閱「配置調查設定」。
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。
- (選用) 如要移除目前的資料欄,請按一下「移除項目」圖示
。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
查看匯出的搜尋結果時,請注意以下幾點:
- 點選表格頂端的「全部匯出」按鈕後,「我的雲端硬碟」資料夾中就會建立含有搜尋結果的 Google 試算表。視搜尋結果的資料量而定,匯出程序可能需要一些時間,也可能建立多個 Google 試算表。匯出結果上限為 3,000 萬列 (如果是 Gmail 郵件搜尋結果,則為 125 萬列)。
- 資料匯出的過程中,系統會以暫時的名稱建立 Google 試算表,例如:TMP-1<名稱>。如果建立多個 Google 試算表,系統則會將其他檔案命名為 TMP-2<名稱>、TMP-3<名稱>,以此類推。匯出完畢後,檔案名稱會自動改為 <名稱> [N 之 1]、<名稱> [N 之 2],以此類推。如果只有一個 Google 試算表含有匯出的資料,該檔案的名稱會改為 <名稱>。
- 針對含有匯出搜尋結果的檔案,其共用權限取決於您所屬網域的設定。舉例來說,假如根據預設,建立的檔案會與公司內部的所有人共用,則匯出的資料也會採用這項瀏覽權限設定。
如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。
如需詳細資訊,請參閱「儲存、共用、刪除及複製調查項目」。
如要進一步瞭解資料來源,請參閱「資料保留和延遲時間」。
