Du kan använda utredningsverktyget för att söka efter och utreda händelser i användarloggen och vidta åtgärder baserat på resultaten av dina utredningar. Du kan till exempel göra följande:
- Identifiera och undersöka försök att kapa användarkonton i organisationen.
- Bevaka vilka 2SV-metoder användarna i organisationen utnyttjar.
- Läsa mer om misslyckade inloggningsförsök från användare i organisationen.
- Återställa eller stänga av användare.
Din åtkomst till verktyget för säkerhetsutredningar
- De utgåvor som stöds för verktyget för säkerhetsutredningar är Enterprise Plus, Education Standard, Education Plus och Enterprise Essentials Plus.
- Administratörer med Cloud Identity-premiumversion, Frontline Standard, Enterprise Standard och Education Standard kan också använda utredningsverktyget för en delmängd av datakällorna.
- Möjligheten att göra en sökning i utredningsverktyget beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Om du inte kan köra en sökning i utredningsverktyget för en viss datakälla kan du i allmänhet använda gransknings- och utredningssidan i stället. Mer information finns i Förbättrad granskning och utredning.
- Du kan köra en sökning i utredningsverktyget på alla användare, oavsett vilken Google-utgåva de har.
Söka efter och utreda händelser i användarloggen
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn SäkerhetSäkerhetscenterUtredningsverktyg.
- Välj Händelser i användarlogg som datakälla för sökningen.
- Klicka på Lägg till villkor.
Du kan inkludera ett eller flera villkor i din sökning. Information om vilka villkor som är tillgängliga för händelser i användarlogg finns i Anpassa sökningar inom undersökningsverktyget > Villkor för händelser i användarlogg.
Du kan till exempel begränsa din sökning baserat på datumet för händelsen, namnet på användaren eller en händelsetyp som ett lösenordsbyte, 2SV-registrering eller en misslyckad inloggning. - Klicka på Sök.
Sökresultaten visas längst ned på sidan.
Vidta åtgärder baserat på sökresultat
Välj en eller flera användare på sökresultatsidan. På rullgardinsmenyn Åtgärder klickar du på Återställ användare eller Stäng av användare.
Visa detaljer för enskilda användare i sökresultaten
Välj enbart en användare på sökresultatsidan. På rullgardinsmenyn Åtgärder klickar du på Visa detaljer. En sida med inloggningsinformation, namnet på organisationsenheten, säkerhetsdetaljer, gruppmedlemskap med mera visas.
Från samma sida kan du även vidta åtgärder för användaren, till exempel återställa användarens lösenord eller byta namn på användaren.