您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
作为组织的管理员,您可以执行搜索,并针对与 Chrome 日志事件相关的安全问题采取措施。例如,您可以查看操作的记录,以跟踪与受管理的 Chrome 浏览器和 ChromeOS 设备相关的事件。您还可以查看何时访问了不安全的网站。
准备工作
查看所有 Chrome 事件的条件:
- 浏览器必须由 Chrome 浏览器云管理、在贵组织注册的 ChromeOS 设备或 Chrome 浏览器中管理的用户个人资料管理。
- 您必须为 Chrome 安全性事件设置报告功能。有关详情,请参阅管理 Chrome 企业版报告连接器。
- 如要查看 Chrome 数据保护事件,您必须设置 BeyondCorp Enterprise。有关详情,请参阅使用 BeyondCorp Threat and Data Protection 功能保护 Chrome 用户。
将日志事件数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。
搜索 Chrome 日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。
如需搜索日志事件,请先选择数据源。然后选择一个或多个过滤条件以用于搜索。
-
-
在管理控制台中,依次点击“菜单”图标
报告
审核和调查
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR
- 点击搜索。
-
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
- 点击数据源,然后选择 Chrome 日志事件。
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入值或从下拉列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存调查,请点击保存图标
注意:
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门。 |
| 应用名称 | Chrome 应用商店中显示的扩展程序名称。 |
| 浏览器版本 | 分配给 Chrome 浏览器版本的数字,例如 123.0.6312.59 |
| 客户端类型 |
发生事件的受管理 Chrome 表面。
|
| 内容哈希 | 内容的 SHA256 哈希。 |
| 内容名称 | 已下载内容的名称,例如文件名。 |
| 内容大小* | 已下载内容的大小(以字节为单位)。 |
| 内容类型 | 已下载内容的媒体 (MIME) 类型,例如 text/html。 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示)。 |
| 目标 | 文件传输事件的目标文件系统。对于数据控制事件,是文件上传或复制和粘贴操作的目标文件系统或目标网址。 |
| 设备名称 | 设备的名称。 |
| 设备平台 | 运行浏览器的操作系统。 |
| 设备用户 | 操作系统所报告的用户名。 |
| Directory API ID | Directory API 返回的设备 ID。 |
| 网域* | 发生操作的网域。 |
| 扩展程序操作类型 | 触发事件的 Chrome 扩展程序操作的类型。可以是安装、卸载或更新。 |
| 扩展程序来源 | 安装 Chrome 扩展程序的来源。可以是 Chrome 应用商店、外部或未指定。 |
| 扩展程序版本 | 扩展程序的版本。 |
| 事件 | 记录的事件操作,例如内容未经扫描、访问不安全的网站、重复使用密码、敏感数据传输、传输恶意软件或传输内容。 |
| 事件原因* | 操作的详细信息,例如“文件受密码保护”。 |
| 事件结果 | 根据设置的政策和规则产生的事件结果。可能为已绕过、已屏蔽、已警告、已允许或已检测到。 |
| 配置文件用户 | Chrome 浏览器的个人资料用户名。 |
| 扫描 ID | 触发事件的内容分析扫描的扫描 ID。 |
| 来源 | 文件传输事件的来源文件系统。对于数据控制事件,是文件上传或复制和粘贴操作的来源网址。 |
| 标签页网址 |
下载文件时,标签页会重定向到的网址。 此网址可能会触发文件已下载数据泄露防护 (DLP) 规则。例如,当用户从 Google 云端硬盘下载文件时,标签页网址 (drive.google.com) 或下载网址 (googleusercontent.com) 可能会触发规则。 注意:除了下载内容以外,标签页网址与网址完全相同。 |
| 触发器类型 | 触发事件的用户操作,例如未知、打印了页面、文件上传、文件下载、Web 内容上传或文件传输。 |
| 触发者 | 与事件相关的用户名:
|
| 网址 | 生成事件的网址。 |
| 网址类别 | 生成事件的网址的内容类别。 |
| 用户代理 | 用于访问内容的浏览器用户代理字符串。例如,Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36。 |
| 虚拟设备 ID* | 设备的 ID。该值与平台相关。 |
按威胁或数据保护事件过滤数据
- 按照上文访问 Chrome 日志事件数据中的说明打开日志事件。
- 点击添加过滤条件
- 选择运算符。
- 在下拉列表中选择一个选项:
- 点击应用。
Chrome 威胁事件说明
| 事件值 | 说明 | 是否支持报告连接器 |
|---|---|---|
| 崩溃事件 | 检测到标签页或浏览器崩溃了。 | Chrome 浏览器 112 及更高版本支持此事件 |
| 安装了扩展程序 | 通过用户操作或由管理员安装了浏览器扩展程序。 | Chrome 浏览器 110 及更高版本支持此事件 |
| 传输恶意软件 | 用户上传或下载的内容属于恶意、危险或垃圾内容。 | Chrome 浏览器 104 及更高版本支持此事件 |
| 登录事件 |
注意:如需报告此事件,必须启用密码管理工具。 用户成功登录报告连接器设置中指定的网址对应的网域。您可以在 Google 安全中心内查看该事件。系统不会报告登录失败的情况。 |
Chrome 浏览器 105 及更高版本支持此事件 |
| 密码盗用 |
注意:如需报告此事件,必须启用密码管理工具。 用户在某个网站中输入其用户名和密码时,如果他们在其他网站或应用上遭遇了数据泄露,Chrome 会警告他们。有关详情,请参阅更改 Google 账号中的不安全密码。 Chrome 还建议用户在使用该密码的所有其他位置更改密码。对于管理控制台中的指定网址,如果密码保存在密码管理工具中,Google 安全中心窗口中也会显示相应违规行为。每个网址都会显示为单独的记录。 |
Chrome 浏览器 105 及更高版本支持此事件 |
| 更改了密码 |
客户重置了首次登录的用户账号的密码。 |
Chrome 浏览器 104 及更高版本支持此事件 |
| 重复使用密码 | 用户在未列入企业登录网址许可列表的网址中输入了密码。 | Chrome 浏览器 104 及更高版本支持此事件 |
| 访问不安全的网站 | 用户所访问的网址属于欺骗性或恶意网址。 | Chrome 浏览器 104 及更高版本支持此事件 |
Chrome 数据保护事件说明
Chrome 数据保护事件仅适用于购买了 Chrome Enterprise Premium 的客户。
如需详细了解 Chrome Enterprise Premium以及如何设置,请参阅使用 Chrome Enterprise Premium threat and data protection保护 Chrome 用户。
| 事件值 | 说明 | 是否支持报告连接器 |
|---|---|---|
| 内容转移 | 将从 Chrome 上传、下载或打印的内容送交扫描,以确认是否含有恶意软件或敏感数据 |
Chrome 浏览器 104 及更高版本支持此事件 需要 Chrome Enterprise Premium |
| 内容未经扫描 | 文件未经扫描的原因有多种,包括
|
Chrome 浏览器 104 及更高版本支持此事件 需要 Chrome Enterprise Premium |
| 传输敏感数据 | 用户上传、下载、打印或粘贴的内容属于包含敏感数据的内容(按照数据保护规则检测)。 |
Chrome 浏览器 104 及更高版本支持此事件 需要 Chrome Enterprise Premium |
| 网址过滤 | 用户尝试访问与管理员设置的数据保护规则匹配的网址 |
Chrome 浏览器 113 及更高版本支持此事件 需要 Chrome Enterprise Premium |
ChromeOS 安全性事件说明
- 对于受管理的访客、自助服务终端或无关联的用户会话,系统不会收集用户电子邮件地址。如需详细了解用户的关联关系,请参阅了解用户的关联关系。
- 要收集这些事件的数据,您必须启用所有报告或特定选项(详见下文)。有关详情,请参阅设置 ChromeOS 设备政策 > 报告设备遥测、设置 ChromeOS 设备政策 > 报告设备操作系统信息和为用户或浏览器设置 Chrome 政策 > 数据控制报告。
| 事件值 | 说明 | 是否支持报告连接器 | 必要政策 |
|---|---|---|---|
| Chrome 操作系统登录失败 | 用户未能登录其 ChromeOS 设备。 | 支持 | 报告设备遥测 |
| 成功登录 Chrome 操作系统 | 用户已成功登录其 ChromeOS 设备。 | 支持 | |
| 退出 Chrome 操作系统 | 用户已成功退出其 ChromeOS 设备。 | 支持 | |
| 添加了 Chrome 操作系统用户 | 为 ChromeOS 设备添加了用户账号。 | 支持 | |
| 移除了 Chrome 操作系统用户 | 从 ChromeOS 设备中移除了用户账号。 | 支持 | |
| ChromeOS 锁定成功 | ChromeOS 设备的屏幕已锁定。 | 不支持 | |
| ChromeOS 解锁成功 | ChromeOS 设备的屏幕已解锁。 | 不支持 | |
| ChromeOS 解锁失败 | 尝试解锁 ChromeOS 设备失败。 | 不支持 | |
| Chrome 操作系统设备的启动状态发生变化 |
ChromeOS 设备的启动状态已切换为开发者模式或已验证模式。
|
不支持 | 报告设备操作系统信息 |
| Chrome 操作系统添加了 USB 设备 |
USB 设备已添加到 ChromeOS 设备。仅针对关联用户报告此事件。 |
支持 | 报告设备操作系统信息 |
| Chrome 操作系统移除了 USB 设备 | USB 设备已从 ChromeOS 设备中移除。仅针对关联用户报告此事件。 | 支持 | |
| ChromeOS USB 状态更改 | 如果有关联用户登录设备,则报告所有现有 USB 连接。 | 支持 | |
| ChromeOS CRD 主机已开机 | 有关联用户在受管设备上发起了 Chrome Report Desktop (CRD) 主机会话。 | 支持 | 报告设备操作系统信息 |
| ChromeOS CRD 客户端已连接 |
有用户连接到 Chrome Report Desktop (CRD) 会话。 |
支持 | |
| ChromeOS CRD 客户端已断开连接 | 有用户断开与 Chrome Report Desktop (CRD) 会话的连接。 | 支持 | |
| ChromeOS CRD 主机已关机 | 有关联用户在受管设备上停止了 Chrome Report Desktop (CRD) 主机会话。 | 支持 | |
| ChromeOS 回滚成功 | ChromeOS 设备完成了操作系统回滚。 | 不支持 | 报告设备操作系统信息 |
| ChromeOS 版本更新成功 | 用户已成功将 ChromeOS 设备更新到目标 ChromeOS 版本。 | 不支持 | |
| ChromeOS 版本更新失败 | ChromeOS 设备未能更新到目标 ChromeOS 版本。 | 不支持 | |
| 对 ChromeOS 设备执行了 Powerwash 操作 | ChromeOS 设备执行了 Powerwash 操作。 | 不支持 | |
| 数据访问权限控制 | 用户触发了管理员应用的 ChromeOS 数据控制规则。 | 支持 | 数据控制报告 |
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
您可以将搜索结果导出为 Google 表格文件或 CSV 文件。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
导出限制因情况而异:
- 导出结果总数上限为 100,000 行(Gmail 邮件搜索结果除外,其上限为 10,000 行)。
- 支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
如果您拥有安全调查工具,则导出结果总数上限为 3 千万行(Gmail 邮件搜索结果除外,其上限为 10,000 万行)。
如需了解详情,请参阅导出搜索结果。
何时可以查看数据?数据会保留多久?
根据搜索结果执行操作
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
