คุณอาจมีสิทธิ์เข้าถึงเครื่องมือตรวจสอบความปลอดภัยซึ่งมีฟีเจอร์ขั้นสูงมากกว่า ทั้งนี้ขึ้นอยู่กับรุ่น Google Workspace ที่คุณใช้ เช่น ผู้ดูแลระบบขั้นสูงสามารถระบุ ตรวจสอบ และดำเนินการกับปัญหาด้านความปลอดภัยและความเป็นส่วนตัวได้ ดูข้อมูลเพิ่มเติม
ในฐานะผู้ดูแลระบบขององค์กร คุณสามารถเรียกใช้การค้นหาและดำเนินการกับปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับเหตุการณ์ในบันทึกของอุปกรณ์ได้ ซึ่งคุณสามารถดูบันทึกการดำเนินการในคอมพิวเตอร์ อุปกรณ์เคลื่อนที่ และอุปกรณ์สมาร์ทโฮมที่ใช้เพื่อเข้าถึงข้อมูลขององค์กรคุณได้ ตัวอย่างเช่น คุณสามารถดูวันและเวลาที่ผู้ใช้เพิ่มบัญชีไปยังอุปกรณ์ หรือดูว่ารหัสผ่านของอุปกรณ์ไม่เป็นไปตามนโยบายรหัสผ่านหรือไม่ นอกจากนี้ยังตั้งการแจ้งเตือนเมื่อมีกิจกรรมเกิดขึ้นได้อีกด้วยข้อควรปฏิบัติก่อนที่จะเริ่มต้น
- หากต้องการดูเหตุการณ์การตรวจสอบทั้งหมดในอุปกรณ์เคลื่อนที่ อุปกรณ์นั้นต้องได้รับการจัดการอุปกรณ์ขั้นสูง
- หากต้องการดูการเปลี่ยนแปลงของแอปพลิเคชันในอุปกรณ์ Android คุณต้องเปิดการตรวจสอบแอปพลิเคชัน
- คุณจะไม่เห็นกิจกรรมในอุปกรณ์ที่ซิงค์ข้อมูลบริษัทด้วย Google Sync
- หากคุณดาวน์เกรดเป็นรุ่นที่ไม่รองรับบันทึกการตรวจสอบ บันทึกการตรวจสอบจะหยุดรวบรวมข้อมูลสำหรับเหตุการณ์ใหม่ แต่ผู้ดูแลระบบจะยังคงดูข้อมูลเก่าได้
ส่งต่อข้อมูลเหตุการณ์ในบันทึกไปยัง Google Cloud
คุณสามารถเลือกแชร์ข้อมูลเหตุการณ์ในบันทึกกับ Google Cloud ได้ หากคุณเปิดการแชร์ ข้อมูลจะส่งต่อไปยัง Cloud Logging ซึ่งคุณสามารถค้นหาและดูบันทึก และควบคุมการกำหนดเส้นทางและการจัดเก็บบันทึกของคุณได้
เรียกใช้การค้นหาเหตุการณ์ในบันทึก
ความสามารถในการค้นหาจะขึ้นอยู่กับรุ่นของ Google, สิทธิ์ของผู้ดูแลระบบ และแหล่งข้อมูล คุณจะเรียกใช้การค้นหาของผู้ใช้ทุกคนได้ ไม่ว่าผู้ใช้จะใช้งาน Google Workspace รุ่นใดก็ตาม
หากต้องการเรียกใช้การค้นหาเหตุการณ์ในบันทึก ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกตัวกรองสำหรับการค้นหาอย่างน้อย 1 รายการ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
การรายงาน
การตรวจสอบความถูกต้องและข้อเท็จจริง
- คลิกเพิ่มตัวกรอง จากนั้นเลือกแอตทริบิวต์
- ในหน้าต่างป๊อปอัป ให้เลือกโอเปอเรเตอร์
- (ไม่บังคับ) หากต้องการสร้างตัวกรองหลายรายการสำหรับการค้นหา ให้ทำซ้ำขั้นตอนนี้
- (ไม่บังคับ) หากต้องการเพิ่มโอเปอเรเตอร์การค้นหา ให้เลือก AND หรือ OR เหนือเพิ่มตัวกรอง
- (ไม่บังคับ) หากต้องการสร้างตัวกรองหลายรายการสำหรับการค้นหา ให้ทำขั้นตอนนี้ซ้ำ
- (ไม่บังคับ) หากต้องการเพิ่มโอเปอเรเตอร์การค้นหา ให้เลือก AND หรือ OR เหนือเพิ่มตัวกรอง
- คลิกค้นหา
-
หมายเหตุ: คุณใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และค่าคู่ที่เรียบง่ายเพื่อกรองผลการค้นหาได้ และยังใช้แท็บเครื่องมือสร้างเงื่อนไข ซึ่งมีตัวกรองที่แสดงเงื่อนไขเป็นโอเปอเรเตอร์ AND/OR ได้ด้วย
หากต้องการเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัย ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกเงื่อนไขสำหรับการค้นหาอย่างน้อย 1 รายการ สำหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู
ความปลอดภัย
- คลิกแหล่งข้อมูล แล้วเลือกเหตุการณ์ในบันทึกของอุปกรณ์
- คลิกเพิ่มเงื่อนไข
เคล็ดลับ: คุณจะกำหนดเงื่อนไขในการค้นหาได้มากกว่า 1 รายการ หรือปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน โปรดดูรายละเอียดที่หัวข้อปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน - คลิกแอตทริบิวต์
หากต้องการดูรายการแอตทริบิวต์ทั้งหมด ให้ไปที่ส่วนคําอธิบายแอตทริบิวต์เ้านล่างด้านล่าง - เลือกโอเปอเรเตอร์
- ป้อนค่าหรือเลือกค่าจากรายการแบบเลื่อนลง
- (ไม่บังคับ) หากต้องการเพิ่มเงื่อนไขการค้นหา ให้ทําขั้นตอนที่ 4-7 ซ้ํา
- คลิกค้นหา
ผลการค้นหาในเครื่องมือตรวจสอบจะแสดงในตารางที่ด้านล่างของหน้า - (ไม่บังคับ) หากต้องการบันทึกการตรวจสอบ ให้คลิกบันทึก
หมายเหตุ
- ในแท็บเครื่องมือสร้างเงื่อนไข ตัวกรองจะแสดงเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย
- หากคุณมอบชื่อใหม่ให้กับผู้ใช้ คุณจะไม่เห็นผลการค้นหาหากใช้ชื่อเก่าของผู้ใช้ เช่น หากคุณเปลี่ยนชื่อ OldName@example.com เป็น NewName@example.com คุณจะไม่เห็นผลลัพธ์สำหรับเหตุการณ์ที่เกี่ยวข้องกับ OldName@example.com
คำอธิบายแอตทริบิวต์
สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้
| แอตทริบิวต์ | คำอธิบาย |
|---|---|
| สถานะบัญชี | บัญชีได้รับการลงทะเบียนหรือไม่ได้ลงทะเบียน |
| ชื่อกลุ่มผู้ดำเนินการ |
ชื่อกลุ่มที่ผู้ดำเนินการอยู่ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการกรองผลลัพธ์ตาม Google Group หากต้องการเพิ่มกลุ่มไปยังรายการที่อนุญาตของกลุ่มการกรอง ให้ทำดังนี้
|
| หน่วยขององค์กรผู้ดำเนินการ | หน่วยองค์กรที่ผู้ดำเนินการอยู่ |
| รหัสแอปพลิเคชัน | ตัวระบุสำหรับแอปพลิเคชัน |
| แฮช SHA-256 ของแอปพลิเคชัน | สำหรับเหตุการณ์ที่เกี่ยวกับแอป ระบบจะแสดงแฮช SHA-256 ของแพ็กเกจแอปพลิเคชัน (Android เท่านั้น) |
| สถานะของแอปพลิเคชัน | มีการติดตั้ง ถอนการติดตั้ง หรืออัปเดตแอปพลิเคชันหรือไม่ |
| วันที่ | วันที่และเวลาของเหตุการณ์ (ตามที่แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์) |
| สถานะการปฏิบัติตามข้อกำหนดของอุปกรณ์ |
อุปกรณ์เป็นไปตามนโยบายขององค์กรหรือไม่ ระบบจะทำเครื่องหมายอุปกรณ์ว่าไม่เป็นไปตามข้อกำหนด ในกรณีต่อไปนี้
เช่น Nexus 6P ของผู้ใช้ไม่ปฏิบัติตามนโยบายที่ตั้งไว้เนื่องจากอุปกรณ์ไม่ปฏิบัติตามนโยบายรหัสผ่าน |
| สถานะอุปกรณ์ถูกบุกรุก |
อุปกรณ์ถูกบุกรุกหรือไม่ อุปกรณ์อาจถูกบุกรุกได้หากผ่านการรูทหรือเจลเบรค ซึ่งเป็นกระบวนการที่นำข้อจำกัดในอุปกรณ์ออก อุปกรณ์ถูกบุกรุกอาจเป็นภัยคุกคามด้านความปลอดภัยได้ ระบบจะบันทึกรายการทุกครั้งที่อุปกรณ์ของผู้ใช้ถูกบุกรุกหรือไม่ถูกบุกรุกอีกต่อไป เช่น Nexus 5 ของผู้ใช้ถูกบุกรุก |
| รหัสอุปกรณ์ | ตัวระบุอุปกรณ์ที่มีเหตุการณ์เกิดขึ้น |
| รุ่นอุปกรณ์ | รุ่นของอุปกรณ์ |
| เจ้าของอุปกรณ์ | เจ้าของอุปกรณ์ |
| การเป็นเจ้าของอุปกรณ์ |
สิทธิ์การเป็นเจ้าของอุปกรณ์มีการเปลี่ยนแปลงหรือไม่ เช่น อุปกรณ์ส่วนตัวถูกเปลี่ยนเป็นอุปกรณ์ของบริษัทหลังจากนำเข้ารายละเอียดไปยังคอนโซลผู้ดูแลระบบ การตรวจสอบนี้จะเกิดขึ้นทันทีหลังจากเพิ่มอุปกรณ์ของบริษัทไปยังคอนโซลผู้ดูแลระบบ หากอุปกรณ์ของบริษัทถูกลบออกจากคอนโซลผู้ดูแลระบบ การตรวจสอบจะเกิดขึ้นในการซิงค์ครั้งถัดไป (หลังจากลงทะเบียนเพื่อการจัดการอีกครั้ง) เช่น สิทธิ์การเป็นเจ้าของ Nexus 5 ของผู้ใช้เปลี่ยนเป็นของบริษัทแล้ว รหัสอุปกรณ์ใหม่คือ abcd1234 |
| พร็อพเพอร์ตี้ของอุปกรณ์ | ข้อมูลเกี่ยวกับอุปกรณ์ เช่น รุ่นอุปกรณ์ หมายเลขซีเรียล หรือที่อยู่ MAC ของ Wi-Fi |
| การตั้งค่าอุปกรณ์ |
ผู้ใช้อุปกรณ์เปลี่ยนการตั้งค่าของตัวเลือกสำหรับนักพัฒนาซอฟต์แวร์ แหล่งที่มาที่ไม่รู้จัก การแก้ไขข้อบกพร่อง USB หรือการตั้งค่าตรวจสอบแอปในอุปกรณ์ ระบบจะบันทึกเหตุการณ์นี้ในครั้งถัดไปที่อุปกรณ์ซิงค์ เช่น ผู้ใช้เปลี่ยนการยืนยันแอปใน Nexus 6P จากปิดเป็นเปิด |
| ประเภทอุปกรณ์ | ประเภทอุปกรณ์ที่มีเหตุการณ์เกิดขึ้น เช่น Android หรือ Apple iOS |
| โดเมน | โดเมนที่มีการดำเนินการ |
| เหตุการณ์ | การดำเนินการของเหตุการณ์ที่บันทึกไว้ เช่น การอัปเดตระบบปฏิบัติการของอุปกรณ์หรือเหตุการณ์การซิงค์อุปกรณ์ |
| การป้อนรหัสผ่านไม่ถูกต้อง |
จำนวนครั้งที่ผู้ใช้ปลดล็อกอุปกรณ์ไม่สำเร็จ ระบบจะสร้างเหตุการณ์ก็ต่อเมื่อผู้ใช้ปลดล็อกอุปกรณ์ไม่สำเร็จเกิน 5 ครั้งเท่านั้น เช่น ปลดล็อก Nexus 7 ของผู้ใช้ไม่สำเร็จ 5 ครั้ง |
| รหัสผู้ขาย iOS | ตัวระบุสำหรับผู้ให้บริการ iOS |
| รหัสอุปกรณ์ใหม่ | ตัวระบุสำหรับอุปกรณ์ใหม่ |
| พร็อพเพอร์ตี้ของระบบปฏิบัติการ | ข้อมูลเกี่ยวกับระบบปฏิบัติการ เช่น หมายเลขบิลด์ เวอร์ชันของระบบปฏิบัติการ หรือแพตช์ด้านความปลอดภัย |
| สิทธิ์ในการลงทะเบียน | บทบาทของผู้ใช้สำหรับอุปกรณ์ เช่น เจ้าของอุปกรณ์หรือผู้ดูแลระบบอุปกรณ์ |
| รหัสทรัพยากร | ตัวระบุที่ไม่ซ้ำกันสำหรับอุปกรณ์ |
| หมายเลขซีเรียล |
หมายเลขซีเรียลของอุปกรณ์ หากต้องการแสดงหมายเลขซีเรียลสำหรับคอมพิวเตอร์ ให้ทำดังนี้
|
| อีเมลผู้ใช้ | อีเมลของผู้ใช้อุปกรณ์ |
หมายเหตุ: หากคุณมอบชื่อใหม่ให้กับผู้ใช้ คุณจะมองไม่เห็นผลการค้นหาที่ใช้ชื่อเก่าของผู้ใช้ เช่น หากคุณเปลี่ยนชื่อ OldName@example.com เป็น NewName@example.com คุณจะมองไม่เห็นผลลัพธ์สำหรับเหตุการณ์ที่เกี่ยวข้องกับ OldName@example.com
จัดการข้อมูลเหตุการณ์ในบันทึก
จัดการข้อมูลคอลัมน์ผลการค้นหา
คุณควบคุมได้ว่าจะให้คอลัมน์ข้อมูลใดปรากฏในผลการค้นหา
- คลิก "จัดการคอลัมน์"
ที่ด้านขวาบนของตารางผลการค้นหา
- (ไม่บังคับ) หากต้องการนำคอลัมน์ปัจจุบันออก ให้คลิก "นำออก"
- (ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ ให้คลิกลูกศรลง
ข้างเพิ่มคอลัมน์ใหม่แล้วเลือกคอลัมน์ข้อมูล
ทำซ้ำตามที่จำเป็น - (ไม่บังคับ) หากต้องการเปลี่ยนลำดับของคอลัมน์ ให้ลากชื่อคอลัมน์ข้อมูล
- คลิกบันทึก
ส่งออกข้อมูลผลการค้นหา
คุณสามารถส่งออกผลการค้นหาไปยัง Google ชีตหรือไฟล์ CSV ได้
- คลิกส่งออกทั้งหมดที่ด้านบนของตารางผลการค้นหา
- ป้อนชื่อ
การส่งออกจะแสดงใต้ตารางผลการค้นหาในส่วนผลลัพธ์การดำเนินการส่งออก - หากต้องการดูข้อมูล ให้คลิกชื่อการส่งออก
การส่งออกจะเปิดขึ้นใน Google ชีต
ขีดจํากัดการส่งออกจะแตกต่างกันไปดังนี้
- ผลการส่งออกทั้งหมดจำกัดอยู่ที่ 100,000 แถว (ยกเว้นการค้นหาข้อความ Gmail ซึ่งจำกัดไว้ที่ 10,000 แถว)
- รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
หากคุณมีเครื่องมือตรวจสอบความปลอดภัย ผลการส่งออกทั้งหมดจะจำกัดอยู่ที่ 30 ล้านแถว (ยกเว้นการค้นหาข้อความ Gmail ซึ่งจำกัดไว้ที่ 10,000 แถว)
โปรดดูข้อมูลเพิ่มเติมในส่งออกผลการค้นหา
ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด
ดำเนินการตามผลการค้นหา
- คุณสามารถตั้งค่าการแจ้งเตือนตามข้อมูลเหตุการณ์ในบันทึกได้โดยใช้กฎการรายงาน โปรดดูวิธีการที่หัวข้อสร้างและจัดการกฎการรายงาน
- รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
คุณจะปรับให้การทำงานในเครื่องมือตรวจสอบความปลอดภัยเกิดขึ้นโดยอัตโนมัติและตั้งค่าการแจ้งเตือนได้โดยการสร้างกฎกิจกรรม ซึ่งจะช่วยป้องกัน ตรวจจับ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้น หากต้องการตั้งค่ากฎ ให้กําหนดเงื่อนไขสําหรับกฎ จากนั้นระบุการดําเนินการที่จะเกิดขึ้นเมื่อตรงตามเงื่อนไข โปรดดูรายละเอียดและวิธีการที่หัวข้อสร้างและจัดการกฎกิจกรรม
รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
หลังจากทําการค้นหาในเครื่องมือตรวจสอบความปลอดภัยแล้ว คุณจะดําเนินการกับผลการค้นหาได้ เช่น คุณสามารถค้นหาตามเหตุการณ์ในบันทึกของ Gmail แล้วใช้เครื่องมือเพื่อลบข้อความที่ต้องการ ส่งข้อความไปยังเขตกักบริเวณ หรือส่งข้อความไปยังกล่องจดหมายของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อดำเนินการตามผลการค้นหา
จัดการการตรวจสอบ
รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
ดูรายการการตรวจสอบหากต้องการดูรายการการตรวจสอบที่คุณเป็นเจ้าของและรายการที่ผู้อื่นแชร์กับคุณ ให้คลิกดูการตรวจสอบ รายการการตรวจสอบประกอบด้วยชื่อ คําอธิบาย และเจ้าของการตรวจสอบ และวันที่แก้ไขล่าสุด
จากรายการนี้ คุณจะดำเนินการกับการตรวจสอบที่คุณเป็นเจ้าของได้ เช่น ลบการตรวจสอบ เลือกช่องสำหรับการตรวจสอบแล้วคลิกการดำเนินการ
หมายเหตุ: ที่ด้านบนของรายการการตรวจสอบ ใต้ส่วนการเข้าถึงด่วน คุณจะดูการตรวจสอบที่บันทึกไว้ล่าสุดได้
ในฐานะผู้ดูแลระบบขั้นสูง ให้คลิกการตั้งค่า เพื่อดําเนินการดังนี้
- เปลี่ยนเขตเวลาสําหรับการตรวจสอบ โดยเขตเวลาจะมีผลกับเงื่อนไขการค้นหาและผลการค้นหา
- การเปิดหรือปิดต้องมีผู้ตรวจสอบ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อต้องมีผู้ตรวจสอบสําหรับการดำเนินการหลายรายการพร้อมกัน
- เปิดหรือปิดการดูเนื้อหา การตั้งค่านี้จะอนุญาตให้ผู้ดูแลระบบที่มีสิทธิ์ในระดับที่เหมาะสมดูเนื้อหาได้
- เปิดหรือปิดการเปิดใช้เหตุผลรองรับการดําเนินการ
โปรดดูวิธีการและรายละเอียดที่หัวข้อกําหนดการตั้งค่าสําหรับการตรวจสอบ
หากต้องการบันทึกเกณฑ์การค้นหาหรือแชร์กับคนอื่นๆ คุณสามารถสร้างและบันทึกการตรวจสอบ จากนั้นก็แชร์ ทำซ้ำ หรือลบออกได้
โปรดดูรายละเอียดที่หัวข้อบันทึก แชร์ ลบ และทําซ้ำการตรวจสอบ