Como administrador, você pode receber um aviso sobre um e-mail malicioso que vários usuários da sua organização receberam.
Com a ferramenta de investigação, você identifica todos os usuários no seu domínio que receberam a mensagem (por exemplo, um e-mail de phishing). Depois disso, use essa ferramenta para apagar o e-mail das Caixas de entrada do Gmail dos usuários. Os dados de registro podem levar alguns minutos para aparecer na ferramenta de investigação.
Você também pode usar a ferramenta de investigação para outras ações, como marcar um e-mail como spam ou phishing ou enviá-lo para a Caixa de entrada de um usuário.
Seu acesso à ferramenta de investigação de segurança
- As edições compatíveis com a ferramenta de investigação de segurança incluem Enterprise Plus, Education Standard, Education Plus e Enterprise Essentials Plus.
- Os administradores com o Cloud Identity Premium, Frontline Standard, Enterprise Standard e Education Standard também podem usar a ferramenta de investigação em um subconjunto de origens de dados.
- A possibilidade de fazer uma pesquisa na ferramenta de investigação depende da edição do Google, dos privilégios administrativos e da origem de dados. Se não for possível pesquisar uma origem de dados específica na ferramenta de investigação, use a página de auditoria e investigação. Confira mais informações em Experiência aprimorada de auditoria e investigação.
- Você pode fazer uma pesquisa na ferramenta de investigação para todos os usuários, seja qual for a edição do Google.
Observação: alguns recursos da ferramenta de investigação de segurança, como dados relacionados ao Gmail e ao Drive, não estão disponíveis nas edições Cloud Identity Premium ou Enterprise Standard. Veja mais detalhes em Origens de dados na ferramenta de investigação.
Encontrar e excluir e-mails maliciosos
1. Primeiros passos na investigação-
-
No Admin Console, acesse Menu SegurançaCentral de segurançaFerramenta de investigação.
- Clique em Origem de dados e selecione Eventos de registro do Gmail.
- Clique em Adicionar condição.
- Clique em AtributoPara (Envelope).
- Clique em ContémÉ.
- Em Para (envelope), digite o nome de usuário que recebeu o e-mail malicioso, por exemplo, usuario@example.com.
- Clique em Adicionar condição.
- Clique em Atributo Assunto e verifique se a condição está definida como Contém (opção padrão).
- Em Assunto, digite palavras que correspondam ao assunto do e-mail malicioso, por exemplo, Papai Noel dançante.
As palavras na sua pesquisa não precisam corresponder exatamente ao assunto do e-mail. - Clique em Adicionar condição.
- Em Condição, clique em Data.
- Mude a condição para Depois.
- Em Data, digite a data e a hora mais antigas em que o e-mail suspeito foi recebido pelos usuários.
- Clique em Pesquisar.
Depois que você concluir as etapas acima, os resultados da pesquisa aparecerão em uma tabela na parte inferior da página. A tabela exibe a data e a hora em que a mensagem foi enviada, o código da mensagem, o assunto, o endereço de e-mail do remetente e o endereço de e-mail do destinatário.
Se você quiser exportar esses resultados da pesquisa para a pasta "Meu Drive", clique em Exportar tudo na parte superior da tabela.
Saiba mais detalhes em Ver os resultados da pesquisa na ferramenta de investigação.
- Para remover a condição Destinatário dos critérios de pesquisa acima, clique em. Sua pesquisa incluirá apenas os critérios Assunto e Data.
- Para saber se outros usuários receberam o e-mail nocivo, clique em Pesquisar.
Os resultados da pesquisa aparecem em uma tabela na parte inferior da página. Assim como os resultados da pesquisa na etapa 1 acima, a tabela mostra a data e a hora em que a mensagem foi enviada, o código da mensagem, o assunto, o tipo de evento e o endereço de e-mail do remetente. Os resultados também incluem os endereços de e-mail de outros usuários na sua organização que receberam o e-mail nocivo.
- Se você quiser exportar esses resultados da pesquisa para a pasta "Meu Drive", clique no ícone Exportar na parte superior da tabela.
- Na tabela na parte inferior da ferramenta de investigação, clique na caixa de seleção para selecionar todos os e-mails. Isso marca automaticamente todas as caixas na página dos resultados da pesquisa.
- No menu Ações, clique em Apagar mensagens.
- Digite uma justificativa para a tarefa de exclusão, por exemplo, "E-mails suspeitos maliciosos"
- Clique em Excluir.
Essa ação exclui as mensagens das Caixas de entrada dos usuários que têm o mesmo código e proprietário, seja remetente ou destinatário, dependendo do tipo de evento, de acordo com os eventos de registro do Gmail selecionados. As mensagens apagadas ainda estarão sujeitas às regras de retenção e às guardas de documentos definidas no Vault. Veja mais detalhes na Central de Ajuda do Vault.
Observação: além de apagar um e-mail, você também pode realizar outras ações, por exemplo, marcar o e-mail como spam ou phishing ou enviá-lo para a caixa de entrada de um usuário.