Examiner les rapports d'e-mails malveillants

Outil d'investigation de sécurité

Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Plus. Comparer votre édition

En tant qu'administrateur, vous pouvez découvrir qu'un e-mail malveillant a été reçu par plusieurs utilisateurs de votre organisation.

L'outil d'investigation vous permet d'identifier tous les utilisateurs de votre domaine qui ont reçu le message (un e-mail d'hameçonnage, par exemple). Vous pouvez continuer à utiliser l'outil pour supprimer l'e-mail des boîtes de réception Gmail de vos utilisateurs. Notez qu'un délai de quelques minutes peut être nécessaire pour que les données du journal soient disponibles dans l'outil d'investigation.

L'outil d'investigation vous permet également d'effectuer d'autres actions, comme marquer un e-mail comme spam ou hameçonnage, ou l'envoyer dans la boîte de réception de l'utilisateur.

Rechercher et supprimer des e-mails malveillants

Étape 1 : Commencez votre enquête
  1. Connectez-vous à la Console d'administration Google avec un compte administrateur.

    Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Accédez à Menu  puis  Sécurité > Centre de sécurité > Outil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  3. Cliquez sur Source de données et sélectionnez Événements de journaux Gmail.

    Remarque : Les événements de journaux Gmail ne sont disponibles que dans les éditions Enterprise Plus et Education Plus.

  4. Cliquez sur Ajouter une condition.
  5. Cliquez sur AttributpuisÀ (enveloppe).
  6. Cliquez sur Contient puis Est.
  7. Dans le champ À (enveloppe), saisissez le nom d'utilisateur ayant reçu l'e-mail malveillant (par exemple, user@example.com). 
  8. Cliquez sur Ajouter une condition.
  9.  Cliquez sur Attribut puis Objet et assurez-vous que la condition est définie sur Contient (option par défaut).
  10. Dans le champ Objet, saisissez des mots correspondant à l'objet de l'e-mail malveillant, par exemple La danse du Père Noël.
    Les mots que vous saisissez pour la recherche ne doivent pas obligatoirement correspondre exactement à l'objet de l'e-mail.
  11. Cliquez sur Ajouter une condition.
  12. Pour Condition, cliquez sur Date.
  13. Définissez la condition sur Après.
  14. Pour Date, saisissez la date et l'heure les plus proches auxquelles l'e-mail suspect a été reçu par vos utilisateurs.
  15. Cliquez sur Rechercher.
Étape 2 : Affichez et exportez les résultats de la recherche

Une fois que vous avez terminé de suivre la procédure ci-dessus, les résultats de la recherche s'affichent dans un tableau en bas de la page. Le tableau affiche la date et l'heure d'envoi du message, l'ID du message, l'objet, l'adresse e-mail de l'expéditeur et celle du destinataire.

Pour exporter ces résultats de recherche dans votre dossier Mon Drive, cliquez sur l'icône Tout exporter en haut du tableau. 

Pour en savoir plus, consultez Afficher les résultats de recherche dans l'outil d'investigation.

Étape 3 : Recherchez d'autres utilisateurs susceptibles d'avoir reçu l'e-mail malveillant
  1. Pour supprimer la condition Destinataire des critères de recherche ci-dessus, cliquez sur . Votre recherche inclura alors uniquement les critères Objet et Date.
  2. Pour rechercher d'autres utilisateurs susceptibles d'avoir reçu l'e-mail malveillant, cliquez sur Rechercher.

    Les résultats de la recherche sont affichés dans un tableau en bas de la page. Comme pour les résultats de recherche de l'étape 1 ci-dessus, le tableau affiche la date et l'heure d'envoi du message, l'ID du message, l'objet, le type d'événement et l'adresse e-mail de l'expéditeur. Cependant, les résultats incluent également l'adresse e-mail des autres utilisateurs de votre organisation ayant reçu l'e-mail malveillant.
     
  3. Pour exporter ces résultats de recherche dans votre dossier Mon Drive, cliquez sur l'icône Exporter en haut du tableau. 
Étape 4 : Effacez les e-mails malveillants de la boîte de réception de vos utilisateurs
  1. Dans le tableau en bas de l'outil d'investigation, cochez l'option Tout sélectionner pour cocher automatiquement toutes les cases sur la page des résultats de recherche actuels.
  2. Dans le menu déroulant Actions, cliquez sur Supprimer les messages.
  3. Saisissez le motif de la suppression ("E-mails suspects", par exemple). 
  4. Cliquez sur Supprimer.

    Cette action efface de la boîte de réception des utilisateurs les messages dont l'identifiant et le propriétaire (l'expéditeur ou le destinataire selon le type d'événement) correspondent aux événements de journaux Gmail sélectionnés. Les messages effacés restent soumis aux règles de conservation et de préservation à titre conservatoire applicables définies dans Vault (pour en savoir plus sur ces règles, consultez le Centre d'aide Vault).

Remarque : En plus de pouvoir effacer un e-mail, vous pouvez aussi réaliser d'autres actions, comme marquer un e-mail comme spam ou hameçonnage, ou l'envoyer dans la boîte de réception de l'utilisateur.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
4778156868505983671
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false
false