Poniższe sekcje zawierają szczegółowe informacje i instrukcje na temat wielu działań, które możesz wykonać w narzędziu do analizy zagrożeń.
Uwagi:
- Dostępne źródła danych różnią się w zależności od wersji Google Workspace.
- Przed podjęciem działań związanych z wynikami wyszukiwania administratorzy w Twojej organizacji mogą mieć możliwość dodania tekstu uzasadnienia, aby zapisać powody wykonania tych czynności. Jeśli jesteś superadministratorem, możesz włączyć tę opcję, zmieniając ustawienia narzędzia do analizy zagrożeń. Odpowiednie instrukcje znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.
- Jeśli zawęzisz zakres dat wyszukiwania, wyniki w narzędziu do analizy zagrożeń pojawią się szybciej. Na przykład wyszukiwanie zdarzeń z ostatniego tygodnia potrwa krócej niż wyświetlenie wyników wyszukiwania bez ograniczania okresu.
- Jeśli podczas wykonywania działania zbiorczego limit czasu zostanie przekroczony, zmniejsz zakres dat wyszukiwania i spróbuj ponownie.
Dostęp do narzędzia do analizy zagrożeń
- Narzędzie do analizy zagrożeń jest dostępne w wersjach: Enterprise Plus, Education Standard, Education Plus i Enterprise Essentials Plus.
- Administratorzy Cloud Identity Premium, Frontline Standard, Enterprise Standard i Education Standard również mogą używać narzędzia do analizy zagrożeń w odniesieniu do niektórych źródeł danych.
- Możliwość wyszukiwania w narzędziu do analizy zagrożeń zależy od wersji usługi Google, uprawnień administratora i źródła danych. Jeśli dla danego źródła danych nie możesz przeprowadzić wyszukiwania w narzędziu do analizy zagrożeń, możesz zamiast tego użyć strony kontroli i analizy zagrożeń. Więcej informacji znajdziesz w artykule Ulepszone funkcje kontroli i analizy.
- W narzędziu do analizy zagrożeń możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji usługi Google.
Rodzaje działań w narzędziu do analizy zagrożeń
Działania na urządzeniachPo przeprowadzeniu wyszukiwania urządzeń lub zdarzeń z dziennika urządzenia możesz wybrać urządzenia w wynikach wyszukiwania, a następnie wykonać takie działania:
- Zatwierdź urządzenie – zatwierdza urządzenie. W przypadku wybrania ustawienia Włącz aktywację urządzeń urządzenia zarejestrowane po włączeniu aktywacji muszą zostać zatwierdzone, aby można je było synchronizować z domeną. Jeśli włączysz aktywację urządzeń, użytkownik będzie musiał zainstalować aplikację Device Policy, aby synchronizować dane z Google Workspace.
- Zablokuj urządzenie – blokuje dostęp do danych Google Workspace (Gmaila, Kalendarza i kontaktów) na urządzeniu. Użytkownik takiego urządzenia może korzystać ze swoich danych na komputerze lub w przeglądarce mobilnej.
- Wyczyść pamięć urządzenia – zdalnie usuwa dane Google Workspace z urządzenia. Więcej informacji znajdziesz w temacie Usuwanie danych firmowych z urządzenia mobilnego.
- Zdalnie wyczyść pamięć urządzenia – zdalnie usuwa wszystkie dane z urządzenia. Więcej informacji znajdziesz w temacie Usuwanie danych firmowych z urządzenia mobilnego.
- Anuluj zdalne czyszczenie pamięci urządzenia – anuluje zdalne wymazanie pamięci urządzenia.
Po przeprowadzeniu wyszukiwania zdarzeń z dziennika Dysku możesz wybrać pliki w wynikach wyszukiwania, sprawdzić uprawnienia do tych plików oraz wykonać inne czynności.
Wykonaj te czynności:
- Po uruchomieniu wyszukiwania zdarzeń z dziennika Dysku w narzędziu do analizy zagrożeń zaznacz pola obok odpowiednich plików w wynikach wyszukiwania.
- Kliknij Czynności > Sprawdź uprawnienia dotyczące plików, aby otworzyć stronę Uprawnienia.
Na wyświetlanej domyślnie karcie Pliki widać pliki z wyników wyszukiwania. Tutaj możesz zarządzać uprawnieniami dostępu do tych plików. Pliki z dysków współdzielonych są obecnie niedostępne w tym widoku. - Kliknij Osoby, aby wyświetlić użytkowników i grupy z dostępem do tych plików.
Osoby z tej listy mają dostęp do co najmniej jednego elementu z wyników wyszukiwania. W tym widoku możesz zarządzać uprawnieniami dostępu użytkowników i grup. - Kliknij Linki, aby wyświetlić lub zmienić ustawienia udostępniania wybranych plików za pomocą linków.
- Kliknij Dodaj użytkowników, jeśli chcesz zapewnić dostęp do plików nowym osobom. Wpisz nazwy użytkowników, rozdzielając je przecinkami. Możesz wybrać poziom dostępu dodawanych osób.
Uwaga: w przypadku działań dostępnych na karcie Dysk współdzielony możesz edytować dostęp tylko do plików na dysku współdzielonym. Pliki spoza dysku współdzielonego nie są pokazywane na tej karcie.
- Kliknij Oczekujące zmiany, aby przejrzeć zmiany przed ich zapisaniem.
Działania na dyskach współdzielonych
Jeśli masz uprawnienia Narzędzie do analizy zagrożeń Dysk – aktualizowanie i usuwanie, możesz też modyfikować dyski współdzielone oraz zapisane na nich pliki:
- Możesz zmieniać, usuwać i dodawać opcje poziomu dostępu poszczególnych użytkowników dysku współdzielonego.
- Możesz zmieniać, usuwać i dodawać uprawnienia dostępu do poszczególnych plików na dysku współdzielonym, które użytkownicy otrzymali bezpośrednio.
Uwaga: Dysk Google umożliwia udostępnianie folderów i zmianę ich własności, ale narzędzie do analizy zagrożeń nie pozwala administratorom na wykonywanie takich czynności.
Po wyszukaniu wiadomości w Gmailu lub zdarzeń z dziennika Gmaila możesz wybrać wiadomości w wynikach wyszukiwania, a następnie wykonać te czynności (dostępne działania dotyczą tylko wiadomości w Gmailu, a nie wiadomości w Grupach dyskusyjnych Google):
- Wyświetl nagłówek
- Wyświetl wiadomości
- Usuń wiadomości
- Przywróć wiadomości
- Oznacz wiadomość jako spam
- Oznacz wiadomość jako phishing
- Wyślij wiadomość do skrzynki odbiorczej (powoduje usunięcie oznaczenia jako spam lub phishing)
- Wyślij wiadomość do kwarantanny (wiadomości są wysyłane do kwarantanny domyślnej)
Ważne: wiadomości wysłane do kwarantanny są usuwane natychmiast po uruchomieniu zasad przechowywania Vault. Jeśli te e-maile są starsze niż zasady przechowywania Vault, nie zostaną przeniesione do kwarantanny – zostaną usunięte. Domyślny okres przechowywania to 30 dni od daty pierwotnego wysłania lub odebrania e-maila. Za pomocą Vault możesz też ustawić niestandardowe reguły przechowywania.
Aby na przykład wysłać wiadomość do skrzynki odbiorczej użytkowników:
- Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń zaznacz pola obok odpowiednich wiadomości w wynikach wyszukiwania.
- Kliknij Czynności.
- Wybierz Wyślij wiadomość do skrzynki odbiorczej.
- Kliknij Wyślij do skrzynki odbiorczej, by potwierdzić.
- Aby zobaczyć efekt wykonania czynności, kliknij Widok na dole strony.
Kolumna Wynik zawiera informację o stanie czynności – na przykład Wiadomość została wysłana do skrzynki odbiorczej.
Uwaga: możesz też wyświetlać treść wiadomości w Gmailu. Szczegółowe informacje znajdziesz w artykule Wyświetlanie treści wiadomości w Gmailu.
Po wyszukaniu użytkowników możesz wybrać poszczególne konta użytkowników w wynikach wyszukiwania i wykonać te działania:
- Przywróć konto użytkownika
- Zawieś konto użytkownika
Aby na przykład zawiesić niektóre konta użytkowników z wyników wyszukiwania, wykonaj te czynności:
- Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń zaznacz pola obok odpowiednich kont użytkowników w wynikach wyszukiwania.
- Kliknij Czynności.
- Wybierz Zawieś konto użytkownika.
- Kliknij Zawieś konta użytkowników, by potwierdzić tę czynność.
W podobny sposób możesz przywrócić konta użytkowników.
Po wyszukaniu użytkowników lub zdarzeń z dziennika użytkownika możesz wybrać konta użytkowników w wynikach wyszukiwania i wykonać takie działania:
- wymuszenie zmiany hasła,
- przywrócenie konta użytkownika,
- Zawieś konto użytkownika
Aby na przykład zawiesić niektóre konta użytkowników z wyników wyszukiwania, wykonaj te czynności:
- Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń zaznacz pola obok odpowiednich kont użytkowników w wynikach wyszukiwania.
- Kliknij Czynności.
- Wybierz Zawieś konto użytkownika.
- Kliknij Zawieś konta użytkowników, by potwierdzić tę czynność.
W podobny sposób możesz przywrócić konta użytkowników.
Po wyszukaniu zdarzeń w dzienniku Meet możesz wybrać działanie Zakończ spotkanie dla wszystkich, aby usunąć wszystkich użytkowników z wybranych spotkań w organizacji. Możesz na przykład uniemożliwić użytkownikom prowadzenie nienadzorowanych spotkań pod nieobecność gospodarza spotkania lub po zakończeniu wydarzenia.
Więcej informacji znajdziesz w artykule Kończenie spotkań za pomocą narzędzia do analizy zagrożeń.
Działania zbiorcze na wynikach wyszukiwania
Oprócz działań na wybranych elementach z wyników wyszukiwania możesz wykonywać działania zbiorcze na całej stronie lub na wynikach ze wszystkich stron.
Uwaga: jeśli podczas wykonywania działania zbiorczego limit czasu zostanie przekroczony, zmniejsz zakres dat wyszukiwania i spróbuj ponownie.
Aby wykonać działania zbiorcze na wynikach wyszukiwania z aktualnie wyświetlanej strony:
- Kliknij pole wyboru u góry skrajnej lewej kolumny.
Spowoduje to zaznaczenie wszystkich pól na obecnej stronie. - Kliknij Czynności na pasku nagłówka.
Aby wykonać działania zbiorcze na wynikach wyszukiwania ze wszystkich stron:
- Kliknij pole wyboru u góry skrajnej lewej kolumny.
- Kliknij Wybierz wszystkie wyniki.
Spowoduje to zaznaczenie wszystkich pól na wszystkich stronach z wynikami. - Kliknij Czynności na pasku nagłówka.
Uwaga: jeśli podczas wykonywania tych czynności klikniesz następną stronę z wynikami wyszukiwania, pola na wszystkich stronach zostaną odznaczone. W takiej sytuacji będzie trzeba zacząć od początku.
Sprawdzanie stanu działań zbiorczych
Stan obszernych zadań możesz sprawdzić w konsoli administracyjnej Google. Dzięki temu możesz ustalić, czy są one nadal w toku czy zostały zakończone.
Jeśli na przykład wykonywanie jakiegoś działania zbiorczego w narzędziu do analizy zagrożeń trwa długo, możesz zamknąć konsolę administracyjną i sprawdzić stan tego działania później.
U góry konsoli administracyjnej kliknij Zadania , aby zobaczyć stan dużych zadań.
Szczegółowe informacje znajdziesz w artykule Sprawdzanie stanu dużych zadań.
Przestawianie kolumn w wynikach wyszukiwania
W narzędziu do analizy zagrożeń możesz przestawiać kolumny w wynikach wyszukiwania, by wyświetlać informacje związane z wybranym elementem względem innego źródła danych. Na przykład możesz uruchomić wyszukiwanie zdarzeń z dziennika Gmaila, a następnie kliknąć nazwę dowolnego odbiorcy w kolumnie Odbiorca, by utworzyć zapytanie o zdarzenia z Dysku według właściciela. Pozwala to analizować dane o konkretnym użytkowniku na podstawie dwóch różnych źródeł – zdarzeń z dziennika Gmaila i zdarzeń z dziennika Dysku.
Aby przestawić wyniki wyszukiwania zdarzeń z dziennika Gmaila na wyniki wyszukiwania zdarzeń z dziennika Dysku, wykonaj te czynności:
- Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń najedź kursorem na nazwę odpowiedniego użytkownika w kolumnie Odbiorca.
- Kliknij ikonę menu (trzy pionowe kropki) obok nazwy tego użytkownika.
- Wybierz Zdarzenia z dziennika Dysku Właściciel.
Kryteria wyszukiwania Zdarzenia z dziennika Dysku pojawią się automatycznie. - Podaj dodatkowe warunki wyszukiwania, na przykład Tytuł lub Widoczność.
- Kliknij Szukaj.
Możesz wykonywać inne działania przestawne obejmujące wiele elementów w wynikach wyszukiwania. Na przykład możesz przestawiać wyniki względem całej kolumny lub tematu, identyfikatora bądź nadawcy wiadomości.
Anulowanie czynności
Możesz anulować czynności w narzędziu do analizy zagrożeń, zanim zostaną wykonane. Jeśli na przykład zainicjujesz działanie zawieszenia kilku kont użytkowników, możesz kliknąć Anuluj u dołu strony Dochodzenie.
Gdy anulujesz rozpoczętą czynność zbiorczą, otrzymasz częściowe wyniki.
Uwaga: eksportowanie może anulować tylko ten administrator, który uruchomił tę czynność. W przypadku wszystkich pozostałych czynności każdy użytkownik z uprawnieniami do obsługi odpowiednich danych – na przykład Dysk, Gmail lub Urządzenia mobilne – może anulować czynność.
Ponawianie próby wykonania działania
Podczas wykonywania działania zbiorczego mogą czasami wystąpić błędy wyszukiwania – na przykład jeśli niektórzy użytkownicy nie są uwzględnieni w wynikach wyszukiwania. W takim przypadku możesz spróbować ponownie wykonać działanie:
- Po wykonaniu działania w narzędziu do analizy zagrożeń kliknij Wyświetl szczegóły.
- W panelu Szczegóły działania kliknij PONÓW.
- Kliknij działanie w oknie ponawiania, na przykład kliknij OZNACZ JAKO SPAM.
Eksportowanie wyników czynności do pliku Arkuszy w folderze Mój dysk
Aby zapisać wyniki wykonania czynności w folderze Mój dysk:
- Kliknij przycisk Eksportuj u góry tabeli z wynikami.
- Wpisz nazwę pliku eksportu.
- Kliknij Eksportuj.
Wyświetlanie wyników wykonania czynności
Podczas wyświetlania wyeksportowanych wyników czynności weź pod uwagę te informacje:
- Kliknięcie przycisku Eksportuj u góry tabeli powoduje utworzenie pliku Arkuszy Google w folderze Mój dysk. Ten arkusz zawiera wyniki działań. W zależności od liczby wyników proces eksportowania może trochę potrwać. Może też zostać utworzonych wiele plików Arkuszy Google. Limit liczby eksportowanych wyników wynosi 30 milionów wierszy.
- Podczas eksportowania tworzone są tymczasowe pliki Arkuszy Google, np. TMP-1-<tytuł>. Jeśli powstaje wiele takich plików, są one nazywane kolejno TMP-2-<tytuł>, TMP-3-<tytuł> itd. Po zakończeniu eksportowania nazwy plików są automatycznie zmieniane na <tytuł> [1 z N], <tytuł> [2 z N] itd. Jeśli wyeksportowane dane znajdują się w tylko jednym pliku Arkuszy Google, plik ten ma nazwę <tytuł>.
- Uprawnienia udostępniania plików z wyeksportowanymi wynikami są ustawiane zgodnie z konfiguracją domeny. Jeśli na przykład utworzone pliki domyślnie są udostępniane wszystkim osobom w firmie, to wyeksportowane dane też będą miały takie ustawienie widoczności.