Als beheerder van uw organisatie kunt u in de tool voor beveiligingsonderzoek zoekopdrachten uitvoeren en actie ondernemen bij beveiligingsproblemen met logboekgebeurtenissen voor beheerdersacties op gegevens U kunt een overzicht bekijken van de acties die zijn uitgevoerd in de tool voor beveiligingsonderzoek of de Google Workspace Admin SDK Reports API, zoals wanneer een beheerder gevoelige gegevens van gebeurtenissen heeft geopend, verwijderd en hersteld.
Uw toegang tot de tool voor beveiligingsonderzoek
- De tool voor beveiligingsonderzoek wordt ondersteund in onder andere Enterprise Plus, Education Standard, Education Plus en Enterprise Essentials Plus.
- Beheerders met Cloud Identity Premium, Frontline Standard, Enterprise Standard en Education Standard kunnen de onderzoekstool ook gebruiken voor een deel van de gegevensbronnen.
- Of u een zoekopdracht kunt uitvoeren in de onderzoekstool, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. Als u geen zoekopdracht kunt uitvoeren in de onderzoekstool voor een specifieke gegevensbron, kunt u wel de controle- en onderzoekspagina gebruiken. Ga naar Nieuwe UI voor controle en onderzoek voor meer informatie.
- U kunt in de onderzoekstool een zoekopdracht uitvoeren voor alle gebruikers, ongeacht de Google-versie die ze gebruiken.
Logboekgebeurtenisgegevens doorsturen naar Google Cloud
U kunt ervoor kiezen informatie over logboekgebeurtenissen te delen met Google Cloud. Als u delen aanzet, worden gegevens doorgestuurd naar Cloud Logging. Hier kunt u logboeken bekijken en erin zoeken. Ook kunt u bepalen hoe logboeken worden gerouteerd en opgeslagen.
Zoeken naar logboekgebeurtenissen voor beheerdersacties op gegevens
(Geavanceerd) Als u query's wilt automatiseren als u een zoekopdracht uitvoert, kunt u in plaats daarvan de Admin SDK Reports API gebruiken. Ga voor meer informatie naar: Overzicht van de Reports API.
Als u een zoekopdracht wilt uitvoeren in de onderzoekstool, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingBeveiligingscentrumOnderzoekstool.
- Klik op Gegevensbron en selecteer Logboekgebeurtenissen voor beheerdersacties op gegevens.
- Klik op Voorwaarde toevoegen.
Tip: U kunt een of meer voorwaarden toevoegen aan de zoekopdracht of de zoekopdracht aanpassen met geneste zoekopdrachten. Zie Een zoekopdracht aanpassen met geneste zoekopdrachten voor meer informatie. - Klik op Kenmerkselecteer een optie.
Ga naar het gedeelte Kenmerkbeschrijvingen hieronder voor de volledige lijst met kenmerken. - Klik op Bevatselecteer een operator.
- Vul een waarde in of selecteer een waarde in het dropdownmenu.
- (Optioneel) Herhaal stap 4-7 om meer zoekvoorwaarden toe te voegen.
- Klik op Zoeken.
In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina. - (Optioneel) Als u het onderzoek wilt opslaan, klikt u op Opslaan vul een titel en een beschrijving inklik op Opslaan.
Opmerking:
- Op het tabblad Voorwaardenbuilder worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.
- Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld OudeNaam@example.com de naam NieuweNaam@example.com geeft, ziet u geen gebeurtenissen gerelateerd aan OudeNaam@example.com.
Kenmerkbeschrijvingen
Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u zoekt naar gegevens uit logboekgebeurtenissen:
Kenmerk | Beschrijving |
---|---|
Handelende gebruiker | Het e-mailadres van de gebruiker die de actie heeft uitgevoerd. |
Gegevensbron doelgebeurtenis |
App van waaruit gegevens zijn geopend, verwijderd of hersteld Een gebeurtenis kan worden geïdentificeerd met 3 unieke velden:
|
Datum | De datum en tijd van de gebeurtenis (weergegeven in de standaard tijdzone van uw browser). |
ID's doelgebeurtenis |
Gebeurtenis-ID's van de gegevens die zijn geopend, verwijderd of hersteld Een gebeurtenis kan worden geïdentificeerd met 3 unieke velden:
|
Zoekopdracht | Filters die zijn toegepast in de query die wordt gebruikt om gegevens op te halen of te verwerken |
Reden | Als er een reden is vereist voor de actie, de uitleg die is opgegeven door de beheerder. |
Datum doelgebeurtenis |
Datum waarop de doelgebeurtenis heeft plaatsgevonden Een gebeurtenis kan worden geïdentificeerd met 3 unieke velden:
|
Acties uitvoeren op basis van zoekresultaten
Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de onderzoekstool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Zie Acties uitvoeren op basis van zoekresultaten voor meer informatie over acties in de onderzoekstool.
Uw onderzoeken beheren
Alles uitvouwen | Alles samenvouwen en naar bovenkant gaan
De lijst met onderzoeken bekijkenKlik op Onderzoeken bekijken om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.
In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.
Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.
Klik als hoofdbeheerder op Instellingen om het volgende te doen:
- De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
- Beoordeling vereisen aan- of uitzetten. Zie Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
- Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
- De instelling Reden voor actie aanzetten aan- of uitzetten.
Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.
U kunt bepalen welke gegevenskolommen worden getoond in de zoekresultaten.
- Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
- (Optioneel) Als u huidige kolommen wilt verwijderen, klikt u op Item verwijderen .
- (Optioneel) Als u kolommen wilt toevoegen, klikt u naast 'Nieuwe kolom toevoegen' op de pijl-omlaag en selecteert u de juiste gegevenskolom.
Herhaal de stappen indien nodig. - (Optioneel) Als u de volgorde van kolommen wilt wijzigen, versleept u de kolomnaam.
- Klik op Opslaan.
U kunt zoekresultaten in de onderzoekstool exporteren naar Google Spreadsheets of naar een csv-bestand. Ga naar Zoekresultaten exporteren voor instructies.
Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.
Zie Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.
Zie Bewaartijden van gegevens en vertragingstijden voor meer informatie over gegevensbronnen.