In qualità di amministratore di Google Workspace, puoi utilizzare gli avvisi via email per ricevere una notifica se gli utenti si sono disconnessi a causa di cookie di sessione sospetti. La compromissione tramite furto di cookie, o dirottamento di sessione, consiste nel sottrarre l'ID sessione di un utente utilizzando i cookie generati quando quest'ultimo accede al proprio account. Ogni volta che viene rilevato un cookie di sessione sospetto, la sessione viene interrotta e l'utente viene disconnesso dal proprio account per quella sessione e tutte le sessioni sospette correlate sul dispositivo.
Quando l'utente tenta di accedere di nuovo sullo stesso dispositivo, viene visualizzato un messaggio che lo invita a rimuovere malware o software non sicuro. L'utente deve inoltre eseguire un passaggio di verifica aggiuntivo quando accede di nuovo all'account sul dispositivo.
Utilizzando lo strumento di indagine sulla sicurezza (SIT) o lo strumento di controllo e indagine, puoi identificare i tentativi di compromissione degli account utente mediante cookie di sessione nella tua organizzazione.
Passaggio 1: avvia l'indagine
Opzione 1: esamina i cookie di sessione sospetta nel SIT
Versioni supportate per l'origine dati Eventi del log utente nello strumento di indagine:
Enterprise Plus, Education Plus, Cloud Identity Premium, Enterprise Standard, Education Standard
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Nel menu Origine dati, seleziona Eventi dei log utente.
- Dal menu Aggiungi condizione, seleziona Evento e assicurati che la condizione sia impostata su È (l'opzione predefinita).
- Dal menu Evento, seleziona L'utente è stato disconnesso a causa di un cookie di sessione sospetto.
- Fai clic su Cerca.
I risultati di ricerca sono visualizzati nella parte inferiore della pagina.
Opzione 2: esamina i cookie di sessione sospetti nella pagina di controllo e indagine
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu ReportControllo e indagineEventi del log utente.
- Fai clic su Aggiungi un filtro, poi seleziona Evento.
- Nella finestra popup, assicurati che l'operatore nel menu in alto sia impostato su È (opzione predefinita), seleziona L'utente è stato disconnesso a causa di un cookie di sessione sospetto dal menu a discesa. menu in basso e fai clic su Applica.
- Fai clic su Cerca.
I log vengono visualizzati nella parte inferiore della pagina.
Passaggio 2: intervieni
Nella colonna Descrizione, fai clic su Cookie di sessione sospetto per aprire il riquadro Dettagli log. Se nella riga È sospetto è indicato Vero, aiuta gli utenti interessati a completare i passaggi per rimuovere malware o software non sicuro.
Metti al sicuro gli account compromessi
Se sospetti che un account sia stato compromesso o violato, in qualità di amministratore puoi assicurarti che gli account dei tuoi utenti siano protetti. Collabora con gli utenti interessati per identificare e proteggere gli account compromessi.