Как просматривать сведения об оповещениях

Вы получите это оповещение, если возникнет подозрение, что пользователь за пределами вашей организации выдает себя за ее сотрудника, используя отображаемое имя, соответствующее одному из ваших пользователей. При этом не имеет значения, отправлял ли он ранее письма или спам.

Примечание. Это оповещение возникает только в том случае, если параметр настроек безопасности для спуфинга и аутентификации, обеспечивающий защиту от спуфинга имен сотрудников, отключен. Инструкции по включению и отключению этой функции приведены в разделе Как включить настройки безопасности для спуфинга и аутентификации статьи Расширенные настройки для защиты от фишинга и вредоносного ПО. 

Найти и удалить сообщения, с которыми взаимодействовали пользователи, можно с помощью инструмента "Анализ безопасности". Инструкции приведены в статье Какие действия можно выполнять с результатами поиска. Также вы можете заблокировать адрес электронной почты или домен отправителя.

На странице "Сведения об оповещении" приведена следующая информация:

• Обзор: сводные данные об оповещении, например количество возможных спуфинговых писем, используемое отображаемое имя и число получателей.
• Дата и время события.
• Отправитель: имя пользователя отправителя.
• Общее количество сообщений о нарушении, полученных от пользователей.
• Получатели: количество получателей и их имена пользователей.

На странице сведений также приведена таблица с информацией о письмах, которая может пригодиться в ходе анализа. В таблицу включены следующие данные: дата, идентификатор письма, хеш темы, хеш текста письма, имя пользователя получателя, хеши прикрепленных файлов и ваше основное доменное имя. Дополнительные полезные сведения также можно получить с помощью инструмента "Анализ безопасности".

Примечание. Если в связи с внешним отправителем уже существует активное оповещение, новое оповещение не создается, чтобы ограничить их общее количество.

Неоткрытые сообщения, идентифицированные как вредоносные после доставки, автоматически переносятся в соответствующую категорию и удаляются из папки "Входящие" пользователя. Однако если получатель открыл письмо или как-то взаимодействовал с ним, то оно останется в папке "Входящие" и его потребуется удалить вручную. Открытые вредоносные сообщения необходимо удалять из папки "Входящие" пользователей как можно скорее.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении, например число вредоносных писем и их получателей.
• Дата и время события.
• Отправитель: имя пользователя отправителя.
• Общее количество событий доставки.
• Получатели: количество получателей и их имена пользователей.

На странице сведений также есть список примеров событий доставки сообщений. Он приведен в таблице в нижней части страницы. Каждая позиция списка содержит дату, идентификатор письма, хеш темы, хеш текста письма, имя пользователя получателя, хеши прикрепленных файлов и ваше основное доменное имя.

Найти и удалить сообщения, с которыми взаимодействовали пользователи, можно с помощью инструмента "Анализ безопасности". Также вы можете заблокировать адрес электронной почты или домен отправителя.

Письма, отмеченные фильтрами Gmail как спам, могут попадать в папки "Входящие" пользователей из-за того, что настройки белого списка в консоли администратора Google переопределяют параметры спам-фильтров. По этой причине пользователи вашей организации могут получать фишинговые письма. Оповещение Фишинговые письма в папках "Входящие" из-за проблем с белым списком содержит сведения о таком событии безопасности.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении, например число фишинговых писем и их получателей.
• Дата и время события.
• Отправитель: имя пользователя отправителя.
• Исходный IP-адрес: IP-адрес домена отправителя.
• Тип белого списка: параметр в консоли администратора Google, переопределивший спам-фильтры.
• События доставки сообщений: количество событий.
• Получатели: количество получателей и их имена пользователей.

На странице сведений также есть список примеров событий доставки сообщений. Он приведен в таблице в нижней части страницы. Каждая позиция списка содержит дату, идентификатор письма, хеш темы, хеш текста письма, имя пользователя получателя, хеши прикрепленных файлов и ваше основное доменное имя.

Используя эти данные, вы можете заблокировать отправителя.

Неоткрытые сообщения, идентифицированные как фишинг после доставки, автоматически определяются и удаляются из папки "Входящие" пользователя. Однако если получатель открыл письмо или как-то взаимодействовал с ним, то оно останется в папке "Входящие" и его потребуется удалить вручную. Открытые фишинговые письма необходимо удалять из папки "Входящие" пользователей как можно скорее.

Найти и удалить сообщения, с которыми взаимодействовали пользователи, можно с помощью инструмента "Анализ безопасности". Также вы можете заблокировать адрес электронной почты или домен отправителя.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении, например число фишинговых писем и их получателей.
• Дата и время события.
• Отправитель: имя пользователя отправителя.
• Общее количество событий доставки.
• Получатели: количество получателей и их имена пользователей.

На странице сведений также есть список примеров событий доставки сообщений. Он приведен в таблице в нижней части страницы. Каждая позиция списка содержит дату, идентификатор письма, хеш темы, хеш текста письма, имя пользователя получателя, хеши прикрепленных файлов и ваше основное доменное имя.

Это оповещение появляется, когда пользователи в вашей организации отмечают необычно большое количество сообщений как спам.

Инструкции по блокировке отправителя можно найти в этой статье. Чтобы найти похожие письма, пропущенные пользователями, отметить их как спам и удалить из почтовых ящиков, воспользуйтесь инструментом "Анализ безопасности" (инструкции приведены в статье Какие действия можно выполнять с результатами поиска).

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении, например число писем со спамом и получателей.
• Дата: дата и время, когда произошло событие. Как правило, это дата первого сообщения, которое было отмечено как спам во время внезапного роста количества таких сообщений.
• Общее количество сообщений о нарушении, полученных от пользователей.
• Получатели: количество получателей и их имена пользователей.

На странице сведений также есть список примеров сообщений от пользователей. Он приведен в таблице в нижней части страницы. Каждая позиция списка содержит дату, идентификатор письма, хеш темы, хеш текста письма, имя пользователя получателя, хеши прикрепленных файлов и ваше основное доменное имя.

Это оповещение свидетельствует о том, что внешний пользователь отправил в вашу организацию сообщения, которые сотрудники отметили как спам.

Сообщения классифицируются как подозрительные, если они обладают некоторыми признаками спама, но информации недостаточно, чтобы сделать окончательный вывод. Данное оповещение создается, когда пользователь помечает такие сообщения как спам, подтверждая предположение систем Google.

Инструкции по блокировке отправителя можно найти в этой статье. Чтобы найти похожие письма, пропущенные пользователями, отметить их как спам и удалить из почтовых ящиков, воспользуйтесь инструментом "Анализ безопасности" (инструкции приведены в статье Какие действия можно выполнять с результатами поиска).

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении, например число подозрительных писем и их получателей.
• Дата и время события.
• Отправитель: имя пользователя отправителя.
• Общее количество сообщений о нарушении, полученных от пользователей.
• Получатели: количество получателей и их имена пользователей.

На странице сведений также есть список примеров сообщений от пользователей. Он приведен в таблице в нижней части страницы. Каждая позиция списка содержит дату, идентификатор письма, хеш темы, хеш текста письма, имя пользователя получателя, хеши прикрепленных файлов и ваше основное доменное имя.

Внезапный рост числа сообщений о фишинге от пользователей может свидетельствовать о том, что ваша организация подвергается фишинговой атаке. Оповещение Сообщения пользователей о фишинге содержит сведения о таком событии безопасности.

На странице Сведения об оповещении приведены следующие важные данные об этом оповещении:

• Обзор: сводные данные об оповещении, например число фишинговых писем и их получателей.
• Дата и время события.
• Отправитель: имя пользователя отправителя.
• Общее количество сообщений от пользователей: количество сообщений от пользователей.
• Получатели: количество получателей и их имена пользователей.

На странице сведений также есть список примеров сообщений от пользователей. Он приведен в таблице в нижней части страницы. Каждая позиция списка содержит дату, идентификатор письма, хеш темы, хеш текста письма, имя пользователя получателя, хеши прикрепленных файлов и ваше основное доменное имя.

Используя эти данные, вы можете заблокировать отправителя.

Когда специалисты Google обнаруживают, что учетные данные пользователя могли быть украдены, они требуют сбросить его пароль, прежде чем пользователь сможет выполнить вход.

Кража паролей обычно происходит следующим образом: пользователь подвергается вирусной атаке, отвечает на фишинговые письма или использует один и тот же пароль на нескольких веб-сайтах, один из которых оказывается взломан. 

Мы рекомендуем сбросить пароль пользователя и проверить, был ли его аккаунт взломан. Мы также советуем попросить пользователя выполнить все шаги проверки безопасности Gmail. 

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата совершения входа.
• Аккаунт, в который попытались войти злоумышленники: имя пользователя, учетные данные которого украдены.

Подробные сведения о том, как Google выявляет взломанные аккаунты, можно найти здесь: Как сменить ненадежные пароли в аккаунте Google > Подробнее о похищенных паролях.

Оповещение Пользователь добавлен информирует о том, что в вашу организацию был добавлен новый пользователь.

На странице Сведения об оповещении приведены следующие важные данные об этом оповещении:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата и время события.
• Пользователь: имя пользователя, добавленного в организацию.
• Кто внес изменения: пользователь, добавивший нового пользователя в организацию.

Важно! Оповещения о подозрительных действиях при входе в аккаунт скрыты в стандартном списке Центра оповещений. Их можно посмотреть, отфильтровав оповещения по типу Подозрительные действия при входе в аккаунт. Хотя эти оповещения скрыты в стандартном списке, они будут срабатывать (создавать уведомления по электронной почте), если они включены.

Действия, связанные со входом в аккаунт, считаются подозрительными, если попытка входа выглядит необычно (например, вход выполняется с нового устройства или из другой страны либо способ входа характерен для взлома). 

Как правило, прежде чем отправлять оповещение, система предлагает пользователю пройти дополнительную аутентификацию. Если он ее не пройдет, система уведомит администратора о подозрительной попытке входа.

Пока вы принимаете меры по защите аккаунта, мы рекомендуем заблокировать его. Это можно сделать на странице настроек или с помощью инструмента "Анализ безопасности".

Вы можете восстановить аккаунт пользователя и сбросить пароль, когда это будет безопасно. Мы советуем попросить пользователя пройти проверку безопасности Gmail. Настоятельно рекомендуем включить двухэтапную аутентификацию в домене и внедрить обязательное использование электронных ключей.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата регистрации подозрительной попытки входа.
• Дата попытки входа.
• Аккаунт, в который попытались войти злоумышленники: имя пользователя, в аккаунт которого была совершена подозрительная попытка входа.
• IP-адрес, с которого совершена попытка входа.

Действия, связанные со входом в аккаунт, считаются подозрительными, если попытка входа выглядит необычно (например, вход выполняется с нового устройства или из другой страны либо способ входа характерен для взлома). 

Небезопасные приложения не отвечают современным стандартам безопасности, например в них не поддерживается OAuth. Использование подобных приложений и устройств увеличивает риск взлома аккаунта.

Вот примеры приложений, которые не отвечают современным стандартам безопасности:

• встроенные синхронизируемые приложения (почта, контакты, календарь) в ранних версиях iOS и OSX;
• некоторые почтовые клиенты для компьютеров, например старые версии Microsoft Outlook.

На странице Сведения об оповещении приведены важные данные об оповещении Подозрительная попытка входа из небезопасного приложения, в том числе его краткое описание, а также дата и время события.

Подробнее о том, как управлять доступом к небезопасным приложениям…

Действия, связанные со входом в аккаунт, считаются подозрительными, если попытка входа выглядит необычно (например, вход выполняется с нового устройства или из другой страны либо способ входа характерен для взлома). 

Программный вход (через приложения) также может представлять риск для безопасности. При обнаружении подозрительных попыток программного входа Google блокирует доступ к рабочим и учебным аккаунтам пользователей.

Настоятельно рекомендуем при работе с пользовательскими данными использовать аутентификацию с помощью OAuth. Если вы обнаружили попытку подозрительного программного входа, советуем узнать у пользователя, какое приложение он установил, а также пытался ли он войти в аккаунт. Кроме того, рекомендуем перевести пользователя на приложение с поддержкой протокола OAuth и закрыть доступ для небезопасных приложений для него и как можно большего количества других пользователей.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата регистрации подозрительной попытки входа.
• Дата попытки входа.
• Аккаунт, в который попытались войти злоумышленники: имя пользователя, в аккаунт которого была совершена подозрительная попытка входа.
• IP-адрес, с которого совершена попытка входа.

Оповещение Пользователь разблокирован информирует о том, что пользователь с временно заблокированным аккаунтом был разблокирован.

На странице Сведения об оповещении приведены следующие важные данные об этом оповещении:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата и время события.
• Пользователь: имя заблокированного пользователя, который был разблокирован.
• Кто внес изменения: пользователь, который разблокировал заблокированный аккаунт.

Оповещение Пользователь удален информирует о том, что из вашей организации был удален пользователь.

На странице Сведения об оповещении приведены следующие важные данные об этом оповещении:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата и время события.
• Пользователь: имя пользователя, удаленного из организации.
• Кто внес изменения: пользователь, удаливший другого пользователя из организации.

Оповещение Пользователю предоставлены права администратора информирует о том, что пользователю были предоставлены права администратора.

На странице Сведения об оповещении приведены следующие важные данные об этом оповещении:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата и время события.
• Пользователь: имя пользователя, которому были предоставлены права администратора.
• Кто внес изменения: имя пользователя, предоставившего права администратора.

Когда специалисты Google обнаруживают подозрительные действия, которые могут свидетельствовать о взломе аккаунта, они как можно быстрее блокируют его. 

Администратор также может блокировать аккаунты пользователей на странице настроек или с помощью инструмента "Анализ безопасности".

Вы можете восстановить аккаунт пользователя и сбросить пароль, когда это будет безопасно. Прежде чем восстанавливать аккаунт, рекомендуем выполнить эти инструкции.

Мы также советуем попросить пользователя выполнить все шаги проверки безопасности Gmail. Настоятельно рекомендуем включить двухэтапную аутентификацию в домене и внедрить обязательное использование электронных ключей.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата совершения входа.
• Аккаунт, в который попытались войти злоумышленники: имя пользователя, в аккаунте которого совершены подозрительные действия.

Оповещение Пользователь заблокирован администратором информирует о том, что администратор заблокировал пользователя в вашей организации.

На странице Сведения об оповещении приведены следующие важные данные об этом оповещении:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата и время события.
• Пользователь: имя заблокированного пользователя.
• Кто внес изменения: имя администратора, который заблокировал пользователя.

Это оповещение свидетельствует о том, что аккаунт пользователя заблокирован по причине подозрительной активности. Чтобы прояснить ситуацию, вы можете поговорить с пользователем или обратиться в Google за дополнительной информацией.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата регистрации подозрительной попытки входа.
• Дата попытки входа.
• Аккаунт, в который попытались войти злоумышленники: имя пользователя, в аккаунте которого совершены подозрительные действия.
• IP-адрес, с которого совершена попытка входа.

Когда специалисты Google обнаруживают подозрительные действия (например, распространение спама), которые могут свидетельствовать о взломе аккаунта, они как можно быстрее блокируют его.

Вы можете восстановить аккаунт пользователя и сбросить пароль, когда это будет безопасно. Мы советуем попросить пользователя пройти проверку безопасности Gmail. Настоятельно рекомендуем включить двухэтапную аутентификацию в домене и внедрить обязательное использование электронных ключей.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата.
• Аккаунт, в который попытались войти злоумышленники: имя пользователя, в аккаунте которого совершены подозрительные действия.

Когда специалисты Google обнаруживают подозрительные действия (например, распространение спама через службу ретрансляции SMTP), которые могут свидетельствовать о взломе аккаунта, они как можно быстрее блокируют его.

Вы сможете восстановить аккаунт пользователя, устранив проблему с распространением спама через службу ретрансляции. Пока аккаунт заблокирован, пользователь не сможет входить в сервисы Google и отправлять письма, однако по-прежнему будет их получать.

На странице Сведения об оповещении приведена следующая информация:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата.
• Аккаунт, в который попытались войти злоумышленники: имя пользователя, в аккаунте которого совершены подозрительные действия.

Оповещение Права администратора отозваны информирует о том, что администратор отозвал права администратора у пользователя в вашей организации.

На странице Сведения об оповещении приведены следующие важные данные об этом оповещении:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата и время события.
• Пользователь: имя пользователя, у которого были отозваны права администратора.
• Кто внес изменения: имя администратора, который отозвал права.

Оповещение Пароль пользователя изменен информирует об изменении пароля пользователя в организации.

На странице Сведения об оповещении приведены следующие данные:

• Обзор: сводные данные об оповещении и общие сведения о проблеме.
• Дата и время события.
• Пользователь: имя пользователя, пароль которого был изменен.

• Сводка. Сводная информация об оповещении.
• Дата окончания срока действия сертификата APNS. Дата и время, когда действие сертификата прекратилось.
• Идентификатор Apple ID, который использовался при создании сертификата APNS. Используйте этот идентификатор Apple ID для продления сертификата.
• Уникальный идентификатор сертификата APNS. Убедитесь, что вы продлеваете сертификат с правильным уникальным идентификатором.
• Дальнейшие действия. Что нужно сделать, чтобы исправить проблему.