您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
作为组织的管理员,您可以执行搜索,并针对与 Chrome 日志事件相关的安全问题采取措施。例如,您可以查看操作的记录,以跟踪与受管理的 Chrome 浏览器和 ChromeOS 设备相关的事件。您还可以查看何时访问了不安全的网站。
准备工作
查看所有 Chrome 事件的条件:
- 浏览器必须由 Chrome 浏览器云管理、在贵组织注册的 ChromeOS 设备或 Chrome 浏览器中管理的用户个人资料管理。
- 您必须为 Chrome 安全性事件设置报告功能。有关详情,请参阅管理 Chrome 企业版报告连接器。
- 如要查看 Chrome 数据保护事件,您必须设置 BeyondCorp Enterprise。有关详情,请参阅使用 BeyondCorp Threat and Data Protection 功能保护 Chrome 用户。
搜索 Chrome 日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。
如需搜索日志事件,请先选择数据源,然后选择一个或多个过滤条件用于搜索。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
选择一个值
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击数据源,然后选择 Chrome 日志事件。
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入值或从下拉列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存调查,请点击保存图标
注意:
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门。 |
| 应用名称 | Chrome 应用商店中显示的扩展程序名称。 |
| 浏览器版本 | 分配给 Chrome 浏览器版本的数字,例如 123.0.6312.59 |
| 客户端类型 |
发生事件的受管理 Chrome 表面。
|
| 内容哈希 | 内容的 SHA256 哈希。 |
| 内容名称 | 已下载内容的名称,例如文件名。 |
| 内容大小* | 已下载内容的大小(以字节为单位)。 |
| 内容类型 | 已下载内容的媒体 (MIME) 类型,例如 text/html。 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示)。 |
| 目标 | 文件传输事件的目标文件系统。对于数据控制事件,是文件上传或复制和粘贴操作的目标文件系统或目标网址。 |
| 设备名称 | 设备的名称。 |
| 设备平台 | 运行浏览器的操作系统。 |
| 设备用户 | 操作系统所报告的用户名。 |
| Directory API ID | Directory API 返回的设备 ID。 |
| 网域* | 发生操作的网域。 |
| 扩展程序操作类型 | 触发事件的 Chrome 扩展程序操作的类型。可以是安装、卸载或更新。 |
| 扩展程序来源 | 安装 Chrome 扩展程序的来源。可以是 Chrome 应用商店、外部或未指定。 |
| 扩展程序版本 | 扩展程序的版本。 |
| 事件 | 记录的事件操作,例如内容未经扫描、访问不安全的网站、重复使用密码、敏感数据传输、传输恶意软件或传输内容。 |
| 事件原因* | 操作的详细信息,例如“文件受密码保护”。 |
| 事件结果 | 根据设置的政策和规则产生的事件结果。可能为已绕过、已屏蔽、已警告、已允许或已检测到。 |
| 配置文件用户 | Chrome 浏览器的个人资料用户名。 |
| 扫描 ID | 触发事件的内容分析扫描的扫描 ID。 |
| 来源 |
与事件相关的来源:
|
| 标签页网址 |
下载文件时,标签页会重定向到的网址。 此网址可能会触发文件已下载数据泄露防护 (DLP) 规则。例如,当用户从 Google 云端硬盘下载文件时,标签页网址 (drive.google.com) 或下载网址 (googleusercontent.com) 可能会触发规则。 注意:除了下载内容以外,标签页网址与网址完全相同。 |
| 触发器类型 | 触发事件的用户操作,例如未知、打印了页面、文件上传、文件下载、Web 内容上传或文件传输。 |
| 触发者 | 与事件相关的用户名:
|
| 网址 | 生成事件的网址。 |
| 网址类别 | 生成事件的网址的内容类别。 |
| 用户代理 | 用于访问内容的浏览器用户代理字符串。例如,Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36。 |
| 虚拟设备 ID* | 设备的 ID。该值与平台相关。 |
按威胁或数据保护事件过滤数据
- 按照上文访问 Chrome 日志事件数据中的说明打开日志事件。
- 点击添加过滤条件
- 选择运算符。
- 在下拉列表中选择一个选项:
- 点击应用。
Chrome 威胁事件说明
| 事件值 | 说明 | 是否支持报告连接器 |
|---|---|---|
| 崩溃事件 | 检测到标签页或浏览器崩溃了。 | Chrome 浏览器 112 及更高版本支持此事件 |
| 安装了扩展程序 | 通过用户操作或由管理员安装了浏览器扩展程序。 | Chrome 浏览器 110 及更高版本支持此事件 |
| 传输恶意软件 | 用户上传或下载的内容属于恶意、危险或垃圾内容。 | Chrome 浏览器 104 及更高版本支持此事件 |
| 登录事件 |
注意:如需报告此事件,必须启用密码管理工具。 用户成功登录报告连接器设置中指定的网址对应的网域。您可以在 Google 安全中心内查看该事件。系统不会报告登录失败的情况。 |
Chrome 浏览器 105 及更高版本支持此事件 |
| 密码盗用 |
注意:如需报告此事件,必须启用密码管理工具。 用户在某个网站中输入其用户名和密码时,如果他们在其他网站或应用上遭遇了数据泄露,Chrome 会警告他们。有关详情,请参阅更改 Google 账号中的不安全密码。 Chrome 还建议用户在使用该密码的所有其他位置更改密码。对于管理控制台中的指定网址,如果密码保存在密码管理工具中,Google 安全中心窗口中也会显示相应违规行为。每个网址都会显示为单独的记录。 |
Chrome 浏览器 105 及更高版本支持此事件 |
| 密码已更改 |
客户重置了首次登录的用户账号的密码。 |
Chrome 浏览器 104 及更高版本支持此事件 |
| 重复使用密码 | 用户在未列入企业登录网址许可列表的网址中输入了密码。 | Chrome 浏览器 104 及更高版本支持此事件 |
| 访问不安全的网站 | 用户所访问的网址属于欺骗性或恶意网址。 | Chrome 浏览器 104 及更高版本支持此事件 |
Chrome 数据保护事件说明
Chrome 数据保护事件仅适用于购买了 Chrome Enterprise Premium 的客户。
如需详细了解 Chrome Enterprise Premium以及如何设置,请参阅使用 Chrome Enterprise Premium threat and data protection保护 Chrome 用户。
| 事件值 | 说明 | 是否支持报告连接器 |
|---|---|---|
| 内容转移 | 将从 Chrome 上传、下载或打印的内容送交扫描,以确认是否含有恶意软件或敏感数据 |
Chrome 浏览器 104 及更高版本支持此事件 需要 Chrome Enterprise Premium |
| 内容未经扫描 | 文件未经扫描的原因有多种,包括
|
Chrome 浏览器 104 及更高版本支持此事件 需要 Chrome Enterprise Premium |
| 传输敏感数据 | 用户上传、下载、打印或粘贴的内容属于包含敏感数据的内容(按照数据保护规则检测)。 |
Chrome 浏览器 104 及更高版本支持此事件 需要 Chrome Enterprise Premium |
| 网址过滤 | 用户尝试访问与管理员设置的数据保护规则匹配的网址 |
Chrome 浏览器 113 及更高版本支持此事件 需要 Chrome Enterprise Premium |
ChromeOS 安全性事件说明
- 对于受管理的访客、自助服务终端或无关联的用户会话,系统不会收集用户电子邮件地址。如需详细了解用户的关联关系,请参阅了解用户的关联关系。
- 要收集这些事件的数据,您必须启用所有报告或特定选项(详见下文)。有关详情,请参阅设置 ChromeOS 设备政策 > 报告设备遥测、设置 ChromeOS 设备政策 > 报告设备操作系统信息和为用户或浏览器设置 Chrome 政策 > 数据控制报告。
| 事件值 | 说明 | 是否支持报告连接器 | 必要政策 |
|---|---|---|---|
| Chrome 操作系统登录失败 | 用户未能登录其 ChromeOS 设备。 | 支持 | 报告设备遥测 |
| 成功登录 Chrome 操作系统 | 用户已成功登录其 ChromeOS 设备。 | 支持 | |
| 退出 Chrome 操作系统 | 用户已成功退出其 ChromeOS 设备。 | 支持 | |
| 添加了 Chrome 操作系统用户 | 为 ChromeOS 设备添加了用户账号。 | 支持 | |
| 移除了 Chrome 操作系统用户 | 从 ChromeOS 设备中移除了用户账号。 | 支持 | |
| ChromeOS 锁定成功 | ChromeOS 设备的屏幕已锁定。 | 不支持 | |
| ChromeOS 解锁成功 | ChromeOS 设备的屏幕已解锁。 | 不支持 | |
| ChromeOS 解锁失败 | 尝试解锁 ChromeOS 设备失败。 | 不支持 | |
| Chrome 操作系统设备的启动状态发生变化 |
ChromeOS 设备的启动状态已切换为开发者模式或已验证模式。
|
不支持 | 报告设备操作系统信息 |
| Chrome 操作系统添加了 USB 设备 |
USB 设备已添加到 ChromeOS 设备。仅针对关联用户报告此事件。 |
支持 | 报告设备操作系统信息 |
| Chrome 操作系统移除了 USB 设备 | USB 设备已从 ChromeOS 设备中移除。仅针对关联用户报告此事件。 | 支持 | |
| ChromeOS USB 状态更改 | 如果有关联用户登录设备,则报告所有现有 USB 连接。 | 支持 | |
| ChromeOS CRD 主机已开机 | 有关联用户在受管设备上发起了 Chrome Report Desktop (CRD) 主机会话。 | 支持 | 报告设备操作系统信息 |
| ChromeOS CRD 客户端已连接 |
有用户连接到 Chrome Report Desktop (CRD) 会话。 |
支持 | |
| ChromeOS CRD 客户端已断开连接 | 有用户断开与 Chrome Report Desktop (CRD) 会话的连接。 | 支持 | |
| ChromeOS CRD 主机已关机 | 有关联用户在受管设备上停止了 Chrome Report Desktop (CRD) 主机会话。 | 支持 | |
| ChromeOS 回滚成功 | ChromeOS 设备完成了操作系统回滚。 | 不支持 | 报告设备操作系统信息 |
| ChromeOS 版本更新成功 | 用户已成功将 ChromeOS 设备更新到目标 ChromeOS 版本。 | 不支持 | |
| ChromeOS 版本更新失败 | ChromeOS 设备未能更新到目标 ChromeOS 版本。 | 不支持 | |
| 对 ChromeOS 设备执行了 Powerwash 操作 | ChromeOS 设备执行了 Powerwash 操作。 | 不支持 | |
| 数据访问权限控制 | 用户触发了管理员应用的 ChromeOS 数据控制规则。 | 支持 | 数据控制报告 |
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
您可以将搜索结果导出为 Google 表格文件或 CSV 文件。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
导出限制因情况而异:
- 导出结果总数上限为 10 万行。
- 支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
如果您拥有安全调查工具,则导出结果总数上限为 3 千万行(Gmail 邮件搜索结果除外,其上限为 10,000 万行)。
如需了解详情,请参阅导出搜索结果。
何时可以查看数据?数据会保留多久?
根据搜索结果采取行动
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
Chrome 扩展程序遥测数据
仅面向购买了 Google Security Operations 许可的客户提供。
您可以在 Google Security Operations 中捕获 Chrome 扩展程序遥测数据。从 Chrome 中收集扩展程序遥测数据,并将其发送到 Google Security Operations,以便提供有关有风险的活动的即时分析和背景信息。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
设备 > Chrome >设置。默认情况下,系统会打开用户和浏览器设置页面。
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标
Chrome 浏览器 > 设置。
- 找到浏览器报告功能。
- 点击事件报告,然后选择启用事件报告功能。
- 点击其他设置,然后选中扩展程序遥测报告复选框。
- 点击保存。
-
- 打开 Google Security Operations 配置
- 前往与用户和浏览器相关的事件,然后在可选事件类型中勾选扩展程序遥测报告复选框。或者,点击添加新提供商配置,在您希望接收扩展程序遥测事件的位置创建新配置。
- 点击保存。
如需详细了解 Google Security Operations 以及如何进行设置,请与 Google Cloud Security 团队联系。
Chrome 扩展程序遥测数据
|
Chrome 扩展程序值
|
说明
|
是否支持报告连接器
|
|---|---|---|
| chrome.cookies.get |
检索单个 Cookie 的相关信息。 允许操控 Cookie 的 API。遥测服务会跟踪 API 调用和参数,以发现 Cookie 盗用行为。 |
Chrome 浏览器 129 及更高版本支持此事件。 需要拥有 Google Security Operations 许可才能查看遥测数据。 |
| chrome.cookies.get(All) |
Chrome 扩展程序遥测信号。从单个 Cookie 存储区检索与给定信息匹配的所有 Cookie。 允许操控 Cookie 的 API。遥测服务会跟踪 API 调用和参数,以发现 Cookie 盗用行为。 |
Chrome 浏览器 129 及更高版本支持此事件。 需要拥有 Google Security Operations 许可才能查看遥测数据。 |
| chrome.tabs | Chrome 扩展程序遥测信号。此 API 提供对标签页的控制功能。遥测服务会跟踪“创建”“更新”和“移除”API 方法的使用情况,以便发现搜索或浏览器黑客攻击。 |
Chrome 浏览器 129 及更高版本支持此事件。 需要拥有 Google Security Operations 许可才能查看遥测数据。 |
| 联系过的远程主机 | Chrome 扩展程序遥测信号。遥测服务会记录使用 http(s) 和 websocket(s) 与之联系的所有远程主机的列表。 |
Chrome 浏览器 129 及更高版本支持此事件。 需要拥有 Google Security Operations 许可才能查看遥测数据。 |
| 非 Chrome 应用商店扩展程序 | Chrome 扩展程序遥测信号。遥测服务会跟踪并非从 Chrome 应用商店安装的扩展程序的文件名和哈希值。 |
Chrome 浏览器 129 及更高版本支持此事件。 需要拥有 Google Security Operations 许可才能查看遥测数据。 |
