安全調查工具
在調查工具中自訂搜尋方式時,您可以加入一或多個搜尋條件。如果您要自訂含有 2 個以上條件的搜尋方式,也可以選擇建立「巢狀查詢」,也就是包含 2 或 3 層條件的搜尋機制。
透過巢狀查詢,您可以指定更精細且針對特定類型事件的查詢條件,藉此縮小搜尋範圍。如要採取這個做法,只要在自訂搜尋方式時按一下 [新增條件群組] 即可。
舉例來說,您可以針對貴機構的內送電子郵件執行搜尋,以便調查收到附件的使用者。在這類使用者中,您還可以縮小搜尋範圍,選擇只顯示開啟附件的使用者「或」點選電子郵件內連結的使用者。如果您想這麼做,當您自訂搜尋方式時,請根據「Gmail 記錄事件」資料來源執行搜尋,並設定下列搜尋條件:
- 電子郵件必須包含附件。
- 「以及」使用者必須開啟附件「或」點選電子郵件中的連結。
注意:大多數資料來源皆支援 3 層巢狀查詢,不過「使用者」資料來源僅支援 2 層巢狀查詢,而「Chrome 瀏覽器」資料來源則不支援巢狀查詢。