Éditions compatibles avec cette fonctionnalité : Enterprise Standard et Enterprise Plus, Education Plus Comparer votre édition
En tant qu'administrateur, vous pouvez afficher et examiner les données d'état en direct des utilisateurs de votre organisation à l'aide de l'outil d'investigation de sécurité. Par exemple, grâce à la source de données "Utilisateurs", vous pouvez savoir si un utilisateur est inscrit ou non à la validation en deux étapes, vérifier si la validation en deux étapes est appliquée ou non au sein de son organisation, identifier l'ID d'un utilisateur suspendu, et plus encore.
Exécuter une recherche portant sur les données utilisateur
Votre capacité à effectuer une recherche dépend de votre édition de Google Workspace, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.
Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu
Sécurité
Centre de sécurité
- Cliquez sur Source de données et sélectionnez Utilisateurs.
- Cliquez sur Ajouter une condition.
Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées. - Cliquez sur Attribut
Pour obtenir la liste complète des attributs, consultez Descriptions des attributs ci-dessous. - Sélectionnez un opérateur.
- Saisissez une valeur ou sélectionnez-en une dans la liste déroulante.
- (Facultatif) Pour ajouter d'autres critères de recherche, répétez les étapes 4 à 7.
- Cliquez sur Rechercher.
Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page. - (Facultatif) Pour enregistrer votre enquête, cliquez sur Enregistrer
Remarque :
- Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
- Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
| Attribut | Description |
|---|---|
| Validation en deux étapes activée dans l'org. | Indique si la validation en deux étapes est appliquée ou non à l'organisation |
| Modifier le mot de passe à la connexion | Indique si les utilisateurs doivent modifier leur mot de passe lors de la connexion. |
| Administrateur délégué | Indique si le rôle d'administrateur est délégué à un utilisateur |
| Adresse e-mail de l'utilisateur concerné par l'action | |
| Inscrit à la validation en deux étapes | Indique si un utilisateur est inscrit ou non à la validation en deux étapes. |
| Prénom | Prénom de l'utilisateur concerné par l'action |
| Dernière connexion | Date et heure de la dernière connexion de l'utilisateur |
| Nom | Nom de famille de l'utilisateur concerné par l'action |
| Configuration de la boîte aux lettres | Indique si une boîte aux lettres est configurée pour un utilisateur. |
| Unité organisationnelle | Unité organisationnelle de l'utilisateur |
| Super-administrateur | Indique si un utilisateur est configuré en tant que super-administrateur. |
| État de suspension | ID d'un compte utilisateur suspendu |
Prendre des mesures en fonction des résultats de recherche
Après avoir effectué une recherche dans l'outil d'investigation, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil d'investigation, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus sur les actions disponibles dans l'outil d'investigation, consultez Effectuer des actions en fonction des résultats de recherche.
Gérer vos enquêtes
Tout développer | Tout réduire et revenir en haut de la page
Afficher la liste d'enquêtesPour afficher la liste des enquêtes dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification.
Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.
Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.
En tant que super-administrateur, cliquez sur Paramètres pour effectuer les actions suivantes :
- Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
- Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
- Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
- Activer ou désactiver l'option Activer la justification des actions.
Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes
.
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément
.
- (Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas
, puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
Vous pouvez exporter les résultats d'une recherche dans l'outil d'investigation vers Google Sheets ou un fichier CSV. Pour savoir comment procéder, consultez Exporter les résultats de recherche.
Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.
Pour en savoir plus, consultez Enregistrer et partager des enquêtes.
Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.
Articles associés au centre de sécurité
- Utiliser l'outil d'investigation avec le tableau de bord de sécurité
- Créer un graphique personnalisé basé sur une investigation
- Lancer une enquête à partir du centre d'alerte
- Examiner les rapports d'e-mails malveillants
- Effectuer une recherche dans le partage de fichiers
- Rechercher un utilisateur dans différentes sources de données