À l'aide de l'outil d'investigation, vous pouvez rechercher et examiner les événements de journaux d'utilisateurs, et ainsi prendre les mesures nécessaires en fonction des résultats de vos investigations. Vous pouvez par exemple effectuer les opérations suivantes :
- Identifier et étudier les tentatives de piratage des comptes utilisateur au sein de votre organisation
- Surveiller les méthodes de validation en deux étapes utilisées par les membres de votre organisation
- En apprendre plus sur les tentatives de connexion infructueuses des utilisateurs de votre organisation
- Restaurer ou suspendre des comptes utilisateur
Comment accéder à l'outil d'investigation de sécurité
- Les éditions compatibles avec l'outil d'investigation de sécurité incluent Enterprise Plus, Education Standard, Education Plus et Enterprise Essentials Plus.
- Les administrateurs disposant de Cloud Identity Premium, Frontline Standard, Enterprise Standard et Education Standard peuvent également utiliser l'outil d'investigation pour un sous-ensemble de sources de données.
- La possibilité d'effectuer une recherche dans l'outil d'investigation dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Si vous ne parvenez pas à effectuer de recherche dans l'outil d'investigation pour une source de données spécifique, vous pouvez utiliser la page d'audit et d'enquête à la place. Pour en savoir plus, consultez Expérience d'audit et d'investigation améliorée.
- Vous pouvez effectuer une recherche dans l'outil d'investigation pour tous les utilisateurs, quelle que soit l'édition de Google dont ils disposent.
Rechercher et examiner les événements de journaux d'utilisateurs
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu
Sécurité
Centre de sécurité
- Sélectionnez Événements de journaux des utilisateurs en tant que source de données pour votre recherche.
- Cliquez sur Ajouter une condition.
Vous pouvez inclure une ou plusieurs conditions dans la recherche. Pour en savoir plus sur les conditions disponibles pour la source "Événements de journaux des utilisateurs", consultez l'article Personnaliser les recherches dans l'outil d'investigation > Conditions applicables aux événements de journaux des utilisateurs.
Vous pouvez par exemple affiner votre recherche en fonction de la date de l'événement, du nom de l'utilisateur ou d'un type d'événement, tel qu'une modification de mot de passe, une inscription à la validation en deux étapes ou un échec de connexion. - Cliquez sur Rechercher.
Les résultats de la recherche sont affichés en bas de la page.
Effectuer des actions en fonction des résultats de recherche
Depuis la page des résultats de la recherche, sélectionnez un ou plusieurs utilisateurs. Ensuite, dans le menu déroulant Actions, cliquez sur Restaurer le compte utilisateur ou Suspendre le compte utilisateur.
Afficher les informations relatives à certains utilisateurs dans les résultats de recherche
Depuis la page des résultats de la recherche, sélectionnez un seul utilisateur. Dans le menu déroulant Actions, cliquez sur Afficher les détails. Une page affiche ensuite les informations de connexion, le nom de l'unité organisationnelle, les informations relatives à la sécurité, l'appartenance à un groupe, ainsi que d'autres éléments.
Depuis cette même page, vous pouvez également effectuer des actions sur le compte de l'utilisateur, comme réinitialiser son mot de passe ou lui attribuer un nouveau nom.
