セキュリティ調査ツール
あるデータソース内で検索した後に、特定のユーザーについて別のデータソース内でピボット機能を使って検索し、調査することをおすすめします(例: [Gmail のログのイベント] を使用して悪意のあるメールを検索して削除した後に、[ドライブのログのイベント] を検索してそのユーザーに関連するファイル共有について調査する)。
たとえば、ユーザー アカウントがハイジャックされ、そのアカウントから悪意のあるメールが送信されたことが判明した場合に、この方法を使用すると便利です。悪意のあるメールに対処したら、そのユーザー アカウントからドライブで行われた他の操作を調べることができます。
注: セキュリティ調査ツールの一部の機能(Gmail やドライブに関連するデータなど)は、Cloud Identity Premium または Enterprise Standard エディションではご利用いただけません。詳しくは、調査ツールのデータソースに関する記事をご覧ください。
複数のデータソースを使用してユーザーを調べるには:
- 悪意のあるメールを見つけて削除するに記載された手順に沿って検索を行います。
- 検索結果で、[送信者] 列のユーザーにカーソルを合わせます(例: user@example.com)。
- 検索結果の項目にカーソルを合わせ、ピボットボタンをクリックしてメニュー オプションを開きます。
- [ドライブのログのイベント] > [アクター] をクリックします。
この操作により、ドライブのログのイベントがデータソースで、条件に同じアクターを含む新しい検索ページが開きます。 - 必要に応じて、[条件を追加] をクリックして検索条件を追加できます。
- [検索] をクリックします。
- 検索結果を表示して書き出します。
注: 検索結果の列全体をピボットすることもできます。その場合は、目的の列名にカーソルを合わせ、メニュー オプションから選択します。
セキュリティ調査ツールへのアクセス
- セキュリティ調査ツールでサポートされているエディションには、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus が含まれています。
- Cloud Identity Premium、Frontline Standard、Enterprise Standard、Education Standard の管理者も、データソースのサブセットに対して調査ツールを使用できます。
- 調査ツールで検索を実行できるかどうかは、ご利用の Google エディション、管理者権限、データソースによって決まります。調査ツールで特定のデータソースを検索できない場合は、代わりに監査と調査のページをご利用ください。 詳しくは、監査と調査をより行いやすくするための変更をご覧ください。
- ユーザーが使用している Google エディションに関係なく、すべてのユーザーに対して調査ツールで検索を実行できます。