調査ツール内で検索をカスタマイズする

この機能は、G Suite Enterprise、G Suite Enterprise for Education、Drive Enterprise、Cloud Identity Premium でご利用いただけます。

セキュリティ調査ツールを使うと、複数の検索条件を入力して検索をカスタマイズできます。指定できる条件は、検索のデータソース(端末のログイベント、ドライブのログイベントなど)によって異なります。

調査ツールで検索を行うには:

  1. Google 管理コンソール(admin.google.com)にログインします。
    ログインには個人用の Gmail アカウントではなく管理者アカウントを使用してください。
  2. [セキュリティ] をクリックします。
  3. [調査ツール] をクリックします。
  4. 検索に使用するデータソース([デバイスのログのイベント]、[デバイス]、[ドライブのログのイベント]、[Gmail のログのイベント]、[Gmail のメール]、[ユーザーのログのイベント]、[ユーザー])を選択します。

    注: 使用できるデータソースは、ご使用の G Suite のエディションによって異なります。

  5. [条件を追加] をクリックします。
    1 つ以上の条件を指定して検索できます。各データソースで使用できる条件の詳細については、下記をご覧ください。
  6. [検索] をクリックします。

検索結果に基づいて対応する

調査ツールでの検索が終了すると、検索結果に基づいて操作を行うことができます。たとえば、調査ツールを使用して Gmail のログのイベントに対して検索した後に特定のメールを削除したり、迷惑メールやフィッシング メールのマークを設定したり、メールを検疫に送ったり、ユーザーの受信トレイにメールを送信したりすることができます。調査ツールでの操作の詳細については、検索結果に基づいて対応するをご覧ください。

注: 調査ツールでの検索は、範囲を絞り込むほど、結果表示までの時間が短くなります。たとえば、検索を過去 1 週間で発生したイベントに絞り込んだ場合、クエリの対象期間を短くせずに検索した場合よりも速く結果が表示されます。

検索をカスタマイズするときに GROUP BY オプションを追加する

調査ツールで検索をカスタマイズするときに、特定の検索属性で項目をグループにまとめて、問題の規模をすばやく把握できます。たとえば、デバイスのログのイベントに基づいて検索する場合、デバイスのモデルに基づいて検索条件をグループにまとめることができます。

GROUP BY オプションを検索に追加するには:

  1. 検索中に、[GROUP BY オプションを追加] をクリックします。
  2. GROUP BY のプルダウン メニューから検索条件を選択します。たとえば、[デバイスのモデル] を選択します。
  3. [検索] をクリックします。

    この例では、デバイスのリストが検索結果に表示されます。検索結果の各項目にデバイスのモデル名が表示され、各デバイスのモデルの登場回数が最も多いものから順に表示されます。

    検索条件の条件を追加するには、検索結果内の項目をスクロールし、その他アイコン その他、[検索条件を追加] の順にクリックします。

デバイスのログのイベントの検索に使用できる条件

条件    
日付
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。

YYYY-MM-DDThh:mm:ss

デバイス ID
  • 次に一致
  • 等しくない
[端末 ID] に値を入力します。
イベント
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • アカウント登録の変更
  • 端末のコンプライアンスのステータス
  • 端末の OS アップデート
  • 仕事用プロファイルのサポート
  • 端末設定の変更
  • 端末の不正使用
  • パスワードの入力失敗
  • 不審な操作
  • 端末のアプリの変更
  • ADB イベント
  • 画面ロックのイベント
  • 端末の所有者の変更
  • ネットワーク イベント
  • 端末の操作イベント
端末の所有者
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[端末の所有者] に値(有効なメールアドレス)を入力します。
端末の種類
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome OS
端末のモデル
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[端末のモデル] に値を入力します。
パスワードの入力失敗
  • 等しい
  • 次の値以下
  • 次の値以上

[数値] に値を入力します。

端末の不正使用のステータス
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 不正使用端末
  • 不正使用なし
端末のプロパティ
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 端末のモデル
  • シリアル番号
  • IMEI 番号
  • MEID 番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • メーカー
  • 端末のブランド
  • 端末のハードウェア
  • ブートローダーのバージョン
端末設定
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 開発者向けオプション
  • 不明な提供元
  • USB デバッグ
  • アプリの確認
アプリケーションの SHA-256 ハッシュ
  • 次に一致
  • 等しくない

[SHA-256 ハッシュ] に値を入力します。

アプリケーション ID
  • 次に一致
  • 等しくない
[アプリケーション ID] に値を入力します。
アプリケーションのステータス
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • インストール済み
  • アンインストール済み
  • 更新日
アカウントのステータス
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 登録済み
  • 未登録
権限設定
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 端末の管理者
  • 端末の所有者
  • プロフィールの所有者
端末の所有者
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 会社所有
  • ユーザー所有
新しい端末 ID
  • 次に一致
  • 等しくない
[端末 ID] に値を入力します。
リソース ID
  • 次に一致
  • 等しくない

[リソース ID] に値を入力します。

シリアル番号
  • 次に一致
  • 等しくない
[シリアル番号] に値を入力します。
iOS ベンダー ID
  • 次に一致
  • 等しくない

[iOS ベンダー ID] に値を入力します。

ドメイン
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[ドメイン] に値を入力します。
端末のコンプライアンスのステータス
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 準拠
  • 非準拠
OS のプロパティ
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • OS バージョン
  • ビルド番号
  • カーネル バージョン
  • ベースバンド バージョン
  • セキュリティ パッチ
  • 端末ブートローダー

端末の検索に使用できる条件

条件    
デバイス ID
  • 次に一致
  • 等しくない

[端末 ID] に値を入力します。

端末の所有者
  • 次に一致
  • 等しくない

[端末の所有者] に値(有効なメールアドレス)を入力します。

端末の種類
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome OS
端末のモデル
  • 次に一致
  • 等しくない
[端末のモデル] に値を入力します。
ステータス
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 保留
  • 実行中
  • ブロック中
  • ワイプ中
  • ワイプ済み
  • 未プロビジョニング
  • アカウントをワイプしています
  • アカウントをワイプしました
  • 登録済み
  • 未登録
  • 無効
  • 承認済み
最終同期日
  • 以前
  • 以降
[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss
端末の不正使用のステータス
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 不正使用端末
  • 不正使用なし
パスワード ステータス
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • オン
  • オフ
管理の種類
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • なし
  • 標準
  • 詳細
セキュリティ パッチの更新
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss

登録日
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss

携帯通信会社
  • 次に一致
  • 等しくない
[携帯通信会社] に値を入力します。

ドライブのログイベントの検索に使用できる条件

条件    
日付
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss

ドキュメント ID
  • 次に一致
  • 等しくない

[ドキュメント ID] に値を入力します。

タイトル
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[タイトル] に値を入力します。

ドキュメントの種類
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • Google ドキュメント
  • Google スプレッドシート
  • Google プレゼンテーション
  • フォルダ
  • Google フォーム
  • Google 図形描画
  • 共有ドライブ
  • テキスト ファイル
  • JPEG
  • PDF
  • PNG
  • MP4
  • Microsoft Word
  • Microsoft Excel
  • HTML
  • MPEG
  • QuickTime
  • Microsoft PowerPoint
  • Google サイト
以前の公開設定
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 限定公開
  • 内部で共有中
  • リンクを知っているドメイン内のユーザー
  • ドメイン内で一般公開
  • 外部と共有中
  • リンクを知っているユーザー
  • ウェブ上で一般公開
公開設定
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 限定公開
  • 内部で共有中
  • リンクを知っているドメイン内のユーザー
  • ドメイン内で一般公開
  • 外部と共有中
  • リンクを知っているユーザー
  • ウェブ上で一般公開
イベント
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 作成
  • アップロード
  • 編集
  • 表示
  • 名前を変更
  • 移動
  • フォルダに追加
  • フォルダから削除
  • ゴミ箱
  • 削除
  • ゴミ箱から削除
  • ダウンロード
  • プレビュー
  • 印刷
  • オーナーを変更
  • ACL エディタを変更
  • アクセス範囲を変更
  • ドキュメントの公開設定を変更
  • ユーザー アクセスを変更
  • 共有ドライブのメンバーシップを変更
アクター
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[アクター] にユーザー名を入力します。

注: アクターとは、ファイルを変更してイベントをトリガーしたユーザーです。

オーナー
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[オーナー] にユーザー名を入力します。

対象
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[対象] に値を入力します。

注: 対象とは、ファイルに追加またはファイルから削除されたユーザーやグループです。

公開設定の変更
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 内部
  • 外部
  • なし
IP アドレス
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[IP アドレス] に値を入力します。

ドメイン
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[ドメイン] に値を入力します。

共有ドライブのファイルの公開設定について

[マイドライブ] フォルダ内では、オーナーのみが表示できるファイルはその公開設定が「非公開」になっています。ただし、共有ドライブのファイルは、他のユーザーと明示的に共有されていなくても、内部で共有されています(共有ドライブのファイルの公開設定を「非公開」にすることはできません)。

Gmail のログイベントの検索に使用できる条件

条件    
日付
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss

メッセージ ID
  • 次に一致
  • 等しくない

[メッセージ ID] に値を入力します。

件名
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[件名] に値を入力します。

イベント
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 管理者検疫
  • 添付ファイルのダウンロード
  • 添付ファイルのリンクのクリック
  • ドライブへの添付ファイルの保存
  • 自動転送済み
  • ドライブへのドライブ アイテムの保存 \
  • 迷惑メールの分類の遅延
  • リンクのクリック
  • 未読への変更
  • ゴミ箱からの移動
  • 受信トレイに移動
  • ゴミ箱に移動
  • 開く
  • 受信
  • 検疫からの解放
  • 返信
  • 送信
  • ユーザーによる迷惑メールの分類
From(ヘッダー アドレス)
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[From(ヘッダー アドレス)] にアドレスを入力します。

From(エンベロープ)
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[From(エンベロープ)] にアドレスを入力します。

To(エンベロープ)
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[To(エンベロープ)] にアドレスを入力します。
オーナー
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[オーナー] にユーザー名を入力します。

ドメイン
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[ドメイン] に名前を入力します。

添付ファイルあり
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
添付ファイルのハッシュ
  • 次に一致
  • 等しくない

[SHA-256 ハッシュ] に値を入力します。

添付ファイル名
  • 次に一致
  • 等しくない
  • 含む
  • 含まない

[添付ファイル名] に名前を入力します。

添付ファイルの不正なソフトウェア ファミリー
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 報告されている悪意のあるプログラム
  • ウィルスやワーム
  • コンテンツが有害である可能性があります
  • スパムである可能性があります
  • その他
IP アドレス
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[IP アドレス] に値を入力します。
From(ヘッダー名)
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[From(ヘッダー名)] に名前を入力します。
送信元のドメイン
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[送信元のドメイン] に名前を入力します。
リンクドメイン
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[リンクドメイン] に名前を入力します。
添付ファイルの拡張子
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[添付ファイルの拡張子] に拡張子を入力します。
SPF ドメイン
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[SPF ドメイン] に名前を入力します。
DKIM ドメイン
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[DKIM ドメイン] に名前を入力します。
トラフィック ソース
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 外部
  • 内部
迷惑メールの分類
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • クリーン
  • 迷惑メール
  • フィッシング
  • 不審
  • マルウェア
迷惑メールの分類の理由
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • デフォルト
  • ユーザーの過去の行為
  • 不審なコンテンツ
  • 不審なリンク
  • 不審な添付ファイル
  • 種類
  • DMARC
  • 公開 RBL に掲載されているドメイン
  • RFC 違反
  • Gmail のポリシー違反
  • 機械学習判定
  • 送信者の評判
  • 明らかなスパム
  • Gmail の安全性に関する設定
位置情報
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[位置情報] に値を入力します。
OAuth プロジェクト ID
  • 等しい
  • 次の値以下
  • 次の値以上
[OAuth プロジェクト ID] に値を入力します。
ターゲットのリンクの URL
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[ターゲットのリンクの URL] に値を入力します。
ターゲットの添付ファイルのハッシュ
  • 次に一致
  • 等しくない
[ターゲットの添付ファイルのハッシュ] に値を入力します。
ターゲットの添付ファイル名
  • 次に一致
  • 等しくない
[ターゲットの添付ファイル名] に値を入力します。
ターゲットの添付ファイルの不正なソフトウェア ファミリー
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • コンテンツが有害である可能性があります
  • 報告されている悪意のあるプログラム
  • その他
  • スパムである可能性があります
  • ウィルスやワーム
ターゲットのドライブ ID
  • 次に一致
  • 等しくない
  • 含む
  • 含まない
[ターゲットのドライブ ID] に値を入力します。

Gmail のメール検索に使用できる条件

条件    
件名
  • 次に一致
  • 等しくない

[件名] に件名を入力します。

メッセージ ID
  • 次に一致
  • 等しくない

[メッセージ ID] に値を入力します。

日付
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss

送信者
  • 次に一致
  • 等しくない

[送信者] に送信者を入力します。

受信者
  • 次に一致
  • 等しくない

[受信者] に受信者を入力します。

ラベル
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • 受信トレイ
  • ゴミ箱
  • 迷惑メール
  • 未読
  • スター付き
  • フィッシング
  • 管理者検疫
添付ファイル名
  • 次に一致
  • 等しくない

[添付ファイル名] に添付ファイル名を入力します。

添付ファイルあり
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
Cc
  • 次に一致
  • 等しくない
[Cc] に有効なメールアドレスを入力します。
Bcc
  • 次に一致
  • 等しくない
[Bcc] に有効なメールアドレスを入力します。
 
すべてのコンテンツ
  • 語句を含む
  • 語句を含まない
[すべてのコンテンツ] に値を入力します。
メッセージのサイズ
  • 次の値以上
  • 次の値以下
[メッセージのサイズ] に値を入力します。

ユーザーのログイベントの検索に使用できる条件

G Suite Enterprise、Drive Enterprise、Cloud Identity Premium Edition のベータ版をお使いのお客様にご利用いただけます。

条件    
日付
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss

ユーザー
  • 次に一致
  • 等しくない

[ユーザー] に値を入力します。

イベント
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • ログイン成功
  • ログイン失敗
  • ログイン時の本人確認
  • ログアウト
  • パスワードの変更
  • パスワードの再設定
  • 2 段階認証プロセスの登録
  • 2 段階認証プロセスの登録解除
  • 復元情報の変更
  • バックアップ コードの生成
ログインの種類
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • Google のパスワード
  • SAML
  • 交換
  • 再承認
  • 不明
本人確認の種類
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • Google からのメッセージ
  • パスワード
  • オフライン OTP - ユーザーが Android スマートフォンの設定から OTP コードを取得して入力する
  • ナレッジ(従業員 ID)- ユーザーが従業員 ID を知っていることを証明する
  • ナレッジ(登録済みのメール)- ユーザーが事前に登録したメールアドレスを知っていることを証明する
  • ナレッジ(登録済みのスマートフォン)- ユーザーが事前に登録したスマートフォンを知っていることを証明する
  • ログイン場所 - ユーザーが通常のログイン場所からログインする
  • IDV(任意のスマートフォン)- ユーザーが電話番号を指定し、そのスマートフォンに送信されたコードを入力する
  • バックアップ コード - ユーザーがバックアップ認証コードを入力する
  • セキュリティ キー - ユーザーがセキュリティ キーによる暗号を使用して本人であることを確認する
  • Google 認証システム - ユーザーが認証システムアプリに表示される OTP を入力する
  • その他
  • なし
不審
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
IP アドレス
  • 次に一致
  • 等しくない

[IP アドレス] に IP アドレスを入力します。

デバイス ID
  • 次に一致
  • 等しくない

[デバイス ID] にデバイス ID を入力します。

二要素
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False

ユーザーの検索に使用できる条件

条件    
メール
  • 次に一致
  • 等しくない

[メール] に有効なメールアドレスを入力します。

注: ユーザーのメインのメールアドレスまたは他のメールアドレスを使うことができます。

  • 次に一致
  • 等しくない

[名] に値を入力します。

  • 次に一致
  • 等しくない

[姓] に値を入力します。

最終ログイン
  • 以前
  • 以降

[日付] に日付を入力します。
形式は次のようにします。
YYYY-MM-DDThh:mm:ss

特権管理者
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
代理管理者
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
2 段階認証プロセスの登録
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
組織部門で 2 段階認証プロセスを適用済み
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
停止中の ID
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
ログイン時のパスワード変更
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False
メールボックスの設定
  • 次に一致
  • 等しくない

次のいずれかを選択します。

  • True
  • False

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。