Personalizar pesquisas na ferramenta de investigação

Este recurso está disponível nas edições G Suite Enterprise, G Suite Enterprise for Education, Drive Enterprise e Cloud Identity Premium.

Com a ferramenta de investigação de segurança, você pode digitar várias condições para personalizar suas pesquisas. As condições disponíveis variam dependendo da origem dos dados da pesquisa (por exemplo, Eventos de registro do dispositivo ou Eventos de registro do Drive).

Para pesquisar com a ferramenta de investigação:

  1. Faça login no Google Admin Console em admin.google.com.
    Para isso, use a conta de administrador, não sua conta pessoal do Gmail.
  2. Clique em Segurança.
  3. Clique em Ferramenta de investigação.
  4. Escolha uma origem de dados para sua pesquisa: Eventos de registro do dispositivo, DispositivosEventos de registro do Drive, Eventos de registro do Gmail, Mensagens do Gmail, Eventos de registro do usuário ou Usuários.

    Observação: as fontes de dados disponíveis variam de acordo com a edição do G Suite.

  5. Clique em ADICIONAR CONDIÇÃO.
    Você pode incluir uma ou mais condições na sua pesquisa. Veja detalhes sobre as condições disponíveis para cada origem de dados nas seções abaixo. 
  6. Clique em PESQUISAR.

Realizar ações com base nos resultados da pesquisa

Quando você terminar de fazer uma pesquisa na ferramenta de investigação, terá várias opções dependendo dos resultados. Por exemplo, você pode fazer uma pesquisa com base nos eventos de registro do Gmail e usar a ferramenta de investigação para excluir mensagens específicas, marcá-las como spam ou phishing, enviá-las para a quarentena ou para as Caixas de entrada dos usuários. Veja mais detalhes sobre as ações na ferramenta de investigação em Realizar ações com base nos resultados da pesquisa.

Observação: se você restringir sua pesquisa, os resultados aparecerão na ferramenta de investigação mais rapidamente. Por exemplo, uma pesquisa restrita aos eventos da última semana retorna resultados em menos tempo do que uma pesquisa sem restrições.

Adicionar uma opção de agrupamento ao personalizar uma pesquisa

Ao personalizar uma pesquisa na ferramenta de investigação, você pode agrupar itens por um atributo de pesquisa específico para entender rapidamente a amplitude de um problema. Por exemplo, ao fazer uma pesquisa com base nos eventos de registro do dispositivo, você pode agrupar os critérios de pesquisa de acordo com o modelo do dispositivo. 

Para adicionar uma opção de agrupamento à sua pesquisa:

  1. Durante a pesquisa, clique em ADICIONAR OPÇÃO "AGRUPAR POR".
  2. No menu suspenso Agrupar por, escolha uma condição para sua pesquisa. Por exemplo, escolha Modelo do dispositivo.
  3. Clique em PESQUISAR.

    Neste exemplo, vários dispositivos aparecem na lista dos resultados da pesquisa. Em cada item, um modelo de dispositivo é exibido. O número de ocorrências de cada modelo também aparece, com o maior número listado na parte superior.

    Para adicionar mais condições aos critérios de pesquisa, role os itens nos resultados da pesquisa, clique em Mais Mais e depois clique em Adicionar condição à pesquisa.

Condições para eventos de registro do dispositivo

Condição    
Data
  • Antes
  • Depois

Digite uma data no campo Data.
Use o seguinte formato:

AAAA-MM-DDThh:mm:ss

Código do dispositivo
  • É
  • Não é
Digite um valor no campo Código do dispositivo.
Evento
  • É
  • Não é

Escolha uma das seguintes opções:

  • Alteração no registro da conta
  • Status de compliance do dispositivo
  • Atualização do sistema operacional do dispositivo
  • Compatibilidade com o perfil de trabalho
  • Alteração das configurações do dispositivo
  • Dispositivo comprometido
  • Tentativas de senha que falharam
  • Atividade suspeita
  • Alteração do app do dispositivo
  • Eventos do ADB
  • Eventos de bloqueio de tela
  • Alteração na propriedade do dispositivo
  • Evento da rede
  • Evento de ação no dispositivo
Proprietário do dispositivo
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor no campo "Proprietário do dispositivo" (endereço de e-mail válido).
Tipo de dispositivo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome OS
Modelo do dispositivo
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor no campo Modelo do dispositivo.
Tentativas de senha que falharam
  • Igual a
  • Menor que ou igual a
  • Maior que ou igual a

Digite um número no campo Valor numérico.

Estado do dispositivo: comprometido
  • É
  • Não é

Escolha uma das seguintes opções:

  • Comprometido
  • Não comprometido
Propriedade do dispositivo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Modelo do dispositivo
  • Número de série
  • Número IMEI
  • Número MEID
  • Endereço MAC Wi-Fi
  • Privilégio do app Device Policy
  • Fabricante
  • Marca do dispositivo
  • Hardware do dispositivo
  • Versão do carregador de inicialização
Configuração do dispositivo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Opções do desenvolvedor
  • Fontes desconhecidas
  • Depuração de USB
  • Verificar apps
Hash SHA-256 do aplicativo
  • É
  • Não é

Digite um valor no campo Hash SHA-256.

ID do aplicativo
  • É
  • Não é
Digite um valor no campo ID do aplicativo.
Estado do aplicativo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Instalado
  • Desinstalado
  • Atualizado
Estado da conta
  • É
  • Não é

Escolha uma das seguintes opções:

  • Registrado
  • Registro cancelado
Privilégio de registro
  • É
  • Não é

Escolha uma das seguintes opções:

  • Administrador do dispositivo
  • Proprietário do dispositivo
  • Proprietário do perfil
Propriedade do dispositivo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Pertence à empresa
  • Pertence ao usuário
Novo código do dispositivo
  • É
  • Não é
Digite um valor no campo Código do dispositivo.
Código do recurso
  • É
  • Não é

Digite um valor no campo Código do recurso.

Número de série
  • É
  • Não é
Digite um valor no campo Número de série.
Código do fornecedor do iOS
  • É
  • Não é

Digite um valor no campo Código do fornecedor do iOS.

Domínio
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor no campo Domínio.
Estado de compliance do dispositivo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Em compliance
  • Sem compliance
Propriedade do sistema operacional
  • É
  • Não é

Escolha uma das seguintes opções:

  • Versão do sistema operacional
  • Número da versão
  • Versão do kernel
  • Versão da banda de base
  • Patch de segurança
  • Carregador de inicialização do dispositivo

Condições para dispositivos

Condição    
Código do dispositivo
  • É
  • Não é

Digite um valor no campo Código do dispositivo.

Proprietário do dispositivo
  • É
  • Não é

Digite um valor no campo Proprietário do dispositivo (endereço de e-mail válido).

Tipo de dispositivo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome OS
Modelo do dispositivo
  • É
  • Não é
Digite um valor no campo Modelo do dispositivo.
Status
  • É
  • Não é

Escolha uma das seguintes opções:

  • Pendente
  • Em execução
  • Bloqueado
  • Limpando
  • Limpo
  • Não aprovisionado
  • Conta em processo de limpeza
  • Conta limpa
  • Registrado
  • Registro cancelado
  • Desativado
  • Aprovado
Data da última sincronização
  • Antes
  • Depois
Digite uma data no campo Data
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss
Estado do dispositivo: comprometido
  • É
  • Não é

Escolha uma das seguintes opções:

  • Comprometido
  • Não comprometido
Status da senha
  • É
  • Não é

Escolha uma das seguintes opções:

  • Ativado
  • Desativado
Tipo de gerenciamento
  • É
  • Não é

Escolha uma das seguintes opções:

  • Nenhum
  • Básico
  • Avançado
Atualização do patch de segurança
  • Antes
  • Depois

Digite uma data no campo Data
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss

Data registrada
  • Antes
  • Depois

Digite uma data no campo Data
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss

Operadora
  • É
  • Não é
Digite um valor no campo Operadora.

Condições para eventos do registro do Drive

Condição    
Data
  • Antes
  • Depois

Digite uma data no campo Data
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss

Código do documento
  • É
  • Não é

Digite um valor no campo Código do documento.

Cargo
  • É
  • Não é
  • Contém
  • Não contém

Digite um valor no campo Cargo.

Tipo de documento
  • É
  • Não é

Escolha uma das seguintes opções:

  • Documento Google
  • Planilha Google
  • Apresentação Google
  • Pasta
  • Formulário Google
  • Desenho Google
  • Drive compartilhado
  • Arquivo de texto
  • JPEG
  • PDF
  • PNG
  • MP4
  • Microsoft Word
  • Microsoft Excel
  • HTML
  • MPEG
  • Quicktime
  • Microsoft PowerPoint
  • Site do Google
Visibilidade anterior
  • É
  • Não é

Escolha uma das seguintes opções:

  • Particular
  • Compartilhado internamente
  • Pessoas no domínio com o link
  • Público no domínio
  • Compartilhado externamente
  • Pessoas com link
  • Público na Web
Visibilidade
  • É
  • Não é

Escolha uma das seguintes opções:

  • Particular
  • Compartilhado internamente
  • Pessoas no domínio com o link
  • Público no domínio
  • Compartilhado externamente
  • Pessoas com link
  • Público na Web
Evento
  • É
  • Não é

Escolha uma das seguintes opções:

  • Criar
  • Fazer upload
  • Editar
  • Ver
  • Renomear
  • Mover
  • Adicionar à pasta
  • Remover da pasta
  • Lixeira
  • Excluir
  • Remover da lixeira
  • Fazer o download
  • Visualizar
  • Impressão
  • Alterar proprietário
  • Alterar editores do ACL
  • Alterar o escopo de acesso
  • Alterar a visibilidade do documento
  • Alterar o acesso do usuário
  • Alterar a associação ao drive compartilhado
Ator
  • É
  • Não é
  • Contém
  • Não contém

Digite um nome de usuário no campo Ator.

Observação: o ator é o usuário que acionou um evento modificando um arquivo.

Proprietário
  • É
  • Não é
  • Contém
  • Não contém

Digite um nome de usuário no campo Proprietário.

Destino
  • É
  • Não é
  • Contém
  • Não contém

Digite um valor no campo Destino.

Observação: o destino é o usuário ou o grupo adicionado ou removido de um arquivo.

Alteração de visibilidade
  • É
  • Não é

Escolha uma das seguintes opções:

  • Interno
  • Externo
  • Nenhum
Endereço IP
  • É
  • Não é
  • Contém
  • Não contém

Digite um valor no campo Endereço IP.

Domínio
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor no campo Domínio.

Sobre a visibilidade dos arquivos em um drive compartilhado

Na sua pasta "Meu Drive", um arquivo visível apenas para o proprietário tem a visibilidade Particular. Em um drive compartilhado, mesmo que um arquivo não seja explicitamente compartilhado com outros usuários, ele tem a visibilidade Compartilhado internamente (os arquivos no drive compartilhado não podem ter a visibilidade Particular).

Condições para eventos de registro do Gmail

Condição    
Data
  • Antes
  • Depois

Digite uma data no campo Data
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss

Código da mensagem
  • É
  • Não é

Digite um valor no campo Código da mensagem.

Assunto
  • É
  • Não é
  • Contém
  • Não contém

Digite um valor no campo Assunto.

Evento
  • É
  • Não é

Escolha uma das seguintes opções:

  • Quarentena de administrador
  • Download de anexos
  • Clique no link do anexo
  • Salvar anexos no Drive
  • Encaminhado automaticamente
  • Salvar item do Drive no Drive
  • Classificação tardia de spam
  • Clique no link
  • Marcar como não lida
  • Remover da lixeira
  • Mover para a Caixa de entrada
  • Mover para a lixeira
  • Abrir
  • Receber
  • Liberar da quarentena
  • Responder
  • Enviar
  • Classificação de spam do usuário
De (endereço do cabeçalho)
  • É
  • Não é
  • Contém
  • Não contém

Digite um endereço no campo De (endereço do cabeçalho).

De (envelope)
  • É
  • Não é
  • Contém
  • Não contém

Digite um endereço no campo De (envelope).

Para (envelope)
  • É
  • Não é
  • Contém
  • Não contém
Digite um endereço no campo Para (envelope).
Proprietário
  • É
  • Não é
  • Contém
  • Não contém

Digite um nome de usuário no campo Proprietário.

Domínio
  • É
  • Não é
  • Contém
  • Não contém

Digite um nome no campo Domínio.

Com anexo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Hashes de anexo
  • É
  • Não é

Digite um valor no campo Hash SHA-256.

Nome do anexo
  • É
  • Não é
  • Contém
  • Não contém

Digite um nome no campo Nome do anexo.

Família do malware do anexo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Programa nocivo conhecido
  • Vírus/worm
  • É possível que o conteúdo seja perigoso
  • Possivelmente indesejado
  • Outro
Endereço IP
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor no campo Endereço IP.
De (nome do cabeçalho)
  • É
  • Não é
  • Contém
  • Não contém
Digite um nome no campo De (nome do cabeçalho).
Domínio do remetente
  • É
  • Não é
  • Contém
  • Não contém
Digite um nome no campo Domínio do remetente.
Vincular domínio
  • É
  • Não é
  • Contém
  • Não contém
Digite um nome no campo Vincula domínio.
Extensões de anexo
  • É
  • Não é
  • Contém
  • Não contém
Digite uma extensão no campo Extensões de anexo.
Domínio SPF
  • É
  • Não é
  • Contém
  • Não contém
Digite um nome no campo Domínio SPF.
Domínios DKIM
  • É
  • Não é
  • Contém
  • Não contém
Digite um nome no campo Domínio DKIM.
Origem do tráfego
  • É
  • Não é

Escolha uma das seguintes opções:

  • Externo
  • Interno
Classificação de spam
  • É
  • Não é

Escolha uma das seguintes opções:

  • Limpar
  • Spam
  • Phishing
  • Suspeito
  • Malware
Motivo da classificação de spam
  • É
  • Não é

Escolha uma das seguintes opções:

  • Padrão
  • Ações executadas pelo usuário
  • Conteúdo suspeito
  • Link suspeito
  • Anexo suspeito
  • Tipo
  • DMARC
  • Domínio em listas negras públicas em tempo real
  • Violação do RFC
  • Violação da política do GMAIL
  • Veredito do aprendizado de máquina
  • Reputação do remetente
  • Spam flagrante
  • Configuração de segurança do GMAIL
Geolocalização
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor no campo Geolocalização.
Código do projeto OAuth
  • Igual a
  • Menor que ou igual a
  • Maior que ou igual a
Digite um valor para o Código do projeto OAuth.
URL do link de destino
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor para o URL do link de destino.
Hash do anexo de destino
  • É
  • Não é
Digite um valor para o Hash do anexo de destino.
Nome do anexo de destino
  • É
  • Não é
Digite um valor para o Nome do anexo de destino.
Família de malware do anexo de destino
  • É
  • Não é

Escolha uma das seguintes opções:

  • É possível que o conteúdo seja perigoso
  • Programa nocivo conhecido
  • Outro
  • Possivelmente indesejado
  • Vírus/worm
Código do drive de destino
  • É
  • Não é
  • Contém
  • Não contém
Digite um valor para o Código do drive de destino.

Condições para mensagens do Gmail

Condição    
Assunto
  • É
  • Não é

Digite um assunto no campo Assunto.

Código da mensagem
  • É
  • Não é

Digite um valor no campo Código da mensagem.

Data
  • Antes
  • Depois

Digite uma data no campo Data
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss

Remetente
  • É
  • Não é

Digite um remetente no campo Remetente.

Destinatários
  • É
  • Não é

Digite um destinatário no campo Destinatário.

Marcador
  • É
  • Não é

Escolha uma das seguintes opções:

  • Inbox
  • Lixeira
  • Spam
  • Não lidas
  • Com estrela
  • Phishing
  • Quarentena de administrador
Nome do anexo
  • É
  • Não é

Digite um nome de anexo no campo Nome do anexo.

Com anexo
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Cc
  • É
  • Não é
Digite um endereço de e-mail válido no campo Cc.
Cco
  • É
  • Não é
Digite um endereço de e-mail válido no campo Cco.
 
Todos os tipos de conteúdo
  • Contém palavra
  • Não contém palavra
Digite um valor no campo Todos os tipos de conteúdo.
Tamanho da mensagem
  • Maior que ou igual a
  • Menor que ou igual a
Digite um valor no campo Tamanho da mensagem.

Condições para eventos de registro do usuário

Disponível para os clientes Beta do G Suite Enterprise, Drive Enterprise e Cloud Identity Premium Edition

Condição    
Data
  • Antes
  • Depois

Digite uma data no campo "Data". 
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss

Usuário
  • É
  • Não é

Digite um valor no campo Usuário.

Evento
  • É
  • Não é

Escolha uma das seguintes opções:

  • Login efetuado
  • Falha no login
  • Desafio de login
  • Sair
  • Alteração de senha
  • Senha redefinida
  • Inscrição na verificação em duas etapas
  • Cancelamento da inscrição na verificação em duas etapas
  • Modificação das informações de recuperação
  • Geração de código alternativo
Tipo de login
  • É
  • Não é

Escolha uma das seguintes opções:

  • Senha do Google
  • SAML
  • Exchange
  • Reautorização
  • Desconhecido
Tipo de desafio
  • É
  • Não é

Escolha uma das seguintes opções:

  • Solicitação do Google
  • Senha
  • Senha única off-line: o usuário digita uma senha única gerada nas configurações do smartphone Android
  • Código de funcionário conhecido: o usuário confirma o código de funcionário
  • E-mail pré-registrado conhecido: o usuário confirma o e-mail pré-registrado conhecido
  • Telefone pré-registrado conhecido: o usuário confirma o telefone pré-registrado conhecido
  • Local de login: o usuário faz login no local de login habitual
  • IDV (qualquer telefone): o usuário precisa informar um número de telefone e depois digitar um código enviado para esse telefone
  • Código alternativo: o usuário precisa digitar um código de verificação extra
  • Chave de segurança: o usuário passa no desafio criptográfico da chave de segurança 
  • Google Authenticator: o usuário precisa digitar uma senha única gerada pelo app de autenticação
  • Outro
  • Nenhum
É suspeito
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Endereço IP
  • É
  • Não é

Digite um valor no campo Endereço IP.

Código do dispositivo
  • É
  • Não é

Digite um valor no campo Código do dispositivo.

Segundo fator
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso

Condições para usuários

Condição    
E-mail
  • É
  • Não é

Digite um endereço de e-mail válido no campo E-mail.

Observação: esse endereço pode corresponder ao endereço de e-mail principal ou a outros endereços de e-mail de um usuário.

Nome
  • É
  • Não é

Digite um valor no campo Nome.

Sobrenome
  • É
  • Não é

Digite um valor no campo Sobrenome.

Último login
  • Antes
  • Depois

Digite uma data no campo Data
Use o seguinte formato:
AAAA-MM-DDThh:mm:ss

Superadministrador
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Administrador delegado
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Inscrito na verificação em duas etapas
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Verificação em duas etapas aplicada à organização
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Código suspenso
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Alterar senha no login
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso
Configuração da caixa de correio
  • É
  • Não é

Escolha uma das seguintes opções:

  • Verdadeiro
  • Falso

Isso foi útil?
Como podemos melhorá-lo?