視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情
機構管理員可以執行搜尋,並對與 Chrome 記錄事件相關的安全性問題採取行動。舉例來說,在該頁面查看動作記錄,即可追蹤與受管理 Chrome 瀏覽器和 ChromeOS 裝置相關的事件。您也可以查看何時有使用者造訪不安全的網站。
事前準備
如要查看所有 Chrome 事件,請注意以下事項:
- 瀏覽器必須由 Chrome 瀏覽器雲端管理服務、貴機構所註冊的 ChromeOS 裝置,或 Chrome 瀏覽器中管理的使用者設定檔來管理。
- 您必須為 Chrome 安全性事件設定報告。詳情請參閱「管理 Chrome Enterprise 報告連接器」。
- 如要查看 Chrome 資料保護事件,您必須設定 BeyondCorp Enterprise。詳情請參閱「透過 BeyondCorp Threat and Data Protection 保護 Chrome 使用者」。
針對「Chrome 記錄事件」執行搜尋
是否可以執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者執行搜尋作業,不論對方擁有的 Google Workspace 版本為何。
如要針對記錄事件執行搜尋,請先選擇資料來源,然後選擇一或多個搜尋篩選器。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 按一下「新增篩選器」,然後選取屬性。
- 在彈出式視窗中選取運算子
選取所需值
- (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。
注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 按一下「資料來源」,然後選取「Chrome 記錄事件」。
- 按一下「新增條件」。
提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 - 按一下「屬性」
如需完整的屬性清單,請參閱下方的「屬性說明」一節。 - 選取運算子。
- 輸入值,或從下拉式清單中選取值。
- (選用) 如要新增更多搜尋條件,請重複執行步驟 4 至 7。
- 按一下「搜尋」。
調查工具中的搜尋結果會顯示在頁面底部的表格中。 - (選用) 如要儲存調查,請按一下「儲存」圖示
注意:
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組來篩選搜尋結果。
- 如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
屬性說明
針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:
| 屬性 | 說明 |
|---|---|
| 執行者群組名稱 |
執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。 如何將群組加入篩選群組許可清單:
|
| 執行者機構單位 | 執行者的機構單位。 |
| 應用程式名稱 | Chrome 線上應用程式商店中的擴充功能名稱。 |
| 瀏覽器版本 | 指派給 Chrome 瀏覽器版本的編號,例如「123.0.6312.59」 |
| 用戶端類型 |
事件發生所在的受管理 Chrome 介面。
|
| 內容雜湊 | 內容的 SHA256 雜湊。 |
| 內容名稱 | 下載內容的名稱,例如檔案名稱。 |
| 內容大小* | 下載內容的大小 (以位元組為單位)。 |
| 內容類型 | 下載內容的媒體 (MIME) 類型,例如「text/html」。 |
| 日期 | 事件發生的日期和時間 (以您的瀏覽器預設時區為準)。 |
| 目的地 | 檔案傳輸事件的目的地檔案系統。如為資料控管事件,則是檔案上傳/複製及貼上動作的目的地檔案系統或到達網頁網址。 |
| 裝置名稱 | 裝置的名稱。 |
| 裝置平台 | 執行瀏覽器的 OS。 |
| 裝置使用者 | OS 回報的使用者名稱。 |
| Directory API ID | 由 Directory API 傳回的裝置 ID。 |
| 網域* | 動作發生的網域。 |
| 擴充功能動作類型 | 觸發事件的 Chrome 擴充功能動作類型,可能是「安裝」、「解除安裝」或「更新」。 |
| 擴充功能來源 | Chrome 擴充功能的安裝來源,可能是「Chrome 線上應用程式商店」、「外部」或「未指定」。 |
| 擴充功能版本 | 擴充功能的版本。 |
| 活動 | 系統記錄的事件動作,例如「未掃描內容」、「造訪不安全的網站」、「密碼重複使用」、「機密資料傳輸」、「惡意軟體傳輸」或「內容傳輸」。 |
| 事件原因* | 動作的詳細資訊,例如「檔案受密碼保護」。 |
| 事件結果 | 根據所設政策和規則產生的事件結果,可能是「已略過」、「已封鎖」、「已警告」、「已允許」或「已偵測」。 |
| 設定檔使用者 | Chrome 瀏覽器設定檔的使用者名稱。 |
| 掃描 ID | 內容分析掃描觸發事件時的掃描 ID。 |
| 來源 |
與下列事件相關的來源:
|
| 分頁網址 |
下載檔案時,分頁重新導向的網址。 這個網址可能會觸發「已下載檔案」資料遺失防護 (DLP) 規則。舉例來說,當使用者從 Google 雲端硬碟下載檔案時,分頁網址 (drive.google.com) 或下載網址 (googleusercontent.com) 可能會觸發規則。 注意:除了下載項目以外,「分頁網址」和「網址」相同。 |
| 觸發條件類型 | 觸發事件的使用者動作,例如「不明」、「已列印網頁」、「上傳檔案」、「下載檔案」、「上傳網頁內容」或「檔案傳輸」。 |
| 觸發者 | 與下列事件相關的使用者名稱:
|
| 網址 | 產生事件的網址。 |
| 網址類別 | 產生事件網址的內容類別。 |
| 使用者代理程式 | 用來存取內容的瀏覽器使用者代理程式字串,例如「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36」。 |
| 虛擬裝置 ID* | 裝置的 ID,這個值會因平台而有所不同。 |
依威脅或資料保護事件篩選資料
- 按照上方「存取 Chrome 記錄事件資料」一節的說明開啟記錄事件。
- 依序按一下「新增篩選器」
- 選取運算子。
- 從下拉式清單中選取所需選項。
- 按一下「套用」。
Chrome Threat 事件說明
| 事件值 | 說明 | 報告連接器支援 |
|---|---|---|
| 當機事件 | 偵測到分頁或瀏覽器停止運作。 | 適用於 Chrome 瀏覽器 112 以上版本 |
| 安裝擴充功能 | 因使用者執行動作或管理員操作而安裝了瀏覽器擴充功能。 | 適用於 Chrome 瀏覽器 110 以上版本 |
| 轉移惡意軟體 | 使用者上傳或下載惡意、危險或垃圾內容。 | 適用於 Chrome 瀏覽器 104 以上版本 |
| 登入事件 |
注意:您必須啟用「密碼管理工具」,系統才會回報此類事件。 使用者透過報告連接器設定中指定的網址,成功登入了網域。您可以在 Google 安全中心內查看該事件。如果使用者未成功登入,則系統不會回報。 |
適用於 Chrome 瀏覽器 105 以上版本 |
| 密碼外洩 |
注意:您必須啟用「密碼管理工具」,系統才會回報此類事件。 當使用者在網站中輸入使用者名稱和密碼時,如果這些資訊因資料侵害事件,已經在某些網站或應用程式上遭到外洩,Chrome 即會發出警告。詳情請參閱「變更 Google 帳戶中的低安全性密碼」。 Chrome 也會建議使用者,找出使用這些資訊的所有地方,並變更資訊。此外,當密碼儲存於密碼管理工具內時,如果管理控制台中指定的網址發生密碼外洩事件,「Google 安全中心」視窗中也會加以顯示,而且每個網址都會顯示為獨立的記錄。 |
適用於 Chrome 瀏覽器 105 以上版本 |
| 密碼已變更 |
使用者在首次登入使用者帳戶後即重設密碼。 |
適用於 Chrome 瀏覽器 104 以上版本 |
| 密碼重複使用 | 使用者在未列於企業登入網址許可清單的網址中輸入密碼。 | 適用於 Chrome 瀏覽器 104 以上版本 |
| 造訪不安全的網站 | 使用者造訪的網址屬於詐騙或惡意網址。 | 適用於 Chrome 瀏覽器 104 以上版本 |
Chrome 資料保護事件說明
只有購買 Chrome Enterprise Premium 的客戶能查看 Chrome 資料保護事件。
如要進一步瞭解 Chrome Enterprise Premium及其設定方式,請參閱「透過 Chrome Enterprise Premium threat and data protection保護 Chrome 使用者」。
| 事件值 | 說明 | 報告連接器支援 |
|---|---|---|
| 內容轉移 | 內容已透過 Chrome 上傳、下載或列印,並送交掃描以確認是否含有惡意軟體或機密資料 |
適用於 Chrome 瀏覽器 104 以上版本 須具備 Chrome Enterprise Premium |
| 未掃描內容 | 導致檔案未掃描的原因有很多,包括:
|
適用於 Chrome 瀏覽器 104 以上版本 須具備 Chrome Enterprise Premium |
| 機密資料移轉 | 資料保護規則偵測到使用者上傳、下載、列印或貼上的內容含有機密資料。 |
適用於 Chrome 瀏覽器 104 以上版本 須具備 Chrome Enterprise Premium |
| 網址篩選 | 使用者嘗試存取的網址符合管理員所設的資料保護規則 |
適用於 Chrome 瀏覽器 113 以上版本 須具備 Chrome Enterprise Premium |
ChromeOS 安全性事件說明
- 系統不會針對受管理的訪客、資訊站或非關聯使用者工作階段,收集使用者的電子郵件地址。如需進一步瞭解使用者關聯,請參閱「瞭解使用者關聯」。
- 如要收集這些事件資料,您必須啟用所有報表功能或特定選項 (詳情如下)。詳情請參閱「設定 ChromeOS 裝置政策」一文中的「回報裝置遙測資訊」和「回報裝置 OS 資訊」,以及「為使用者或瀏覽器設定 Chrome 政策」一文中的「資料控管報告」。
| 事件值 | 說明 | 報告連接器支援 | 所需政策 |
|---|---|---|---|
| ChromeOS 登入失敗 | 使用者無法登入 ChromeOS 裝置。 | 支援 | 「回報裝置遙測資訊」 |
| ChromeOS 登入成功 | 使用者成功登入 ChromeOS 裝置。 | 支援 | |
| 登出 ChromeOS | 使用者成功登出 ChromeOS 裝置。 | 支援 | |
| 已新增 ChromeOS 使用者 | 已將使用者帳戶新增至 ChromeOS 裝置。 | 支援 | |
| 已移除 ChromeOS 使用者 | 已將使用者帳戶從 ChromeOS 裝置移除。 | 支援 | |
| ChromeOS 鎖定成功 | 已鎖定 ChromeOS 裝置螢幕。 | 不支援 | |
| ChromeOS 解鎖成功 | 已解鎖 ChromeOS 裝置螢幕。 | 不支援 | |
| ChromeOS 解鎖失敗 | 嘗試解鎖 ChromeOS 裝置失敗。 | 不支援 | |
| ChromeOS 裝置啟動狀態變更 |
ChromeOS 裝置的啟動狀態已切換為開發人員或已驗證模式。
|
不支援 | 「回報裝置 OS 資訊」 |
| 已新增 ChromeOS USB 裝置 |
已將 USB 裝置加入 ChromeOS 裝置。系統只會針對關聯使用者回報此事件。 |
支援 | 「回報裝置 OS 資訊」 |
| 已移除 ChromeOS USB 裝置 | 已將 USB 裝置從 Chrome OS 裝置中移除。系統只會針對關聯使用者回報此事件。 | 支援 | |
| ChromeOS USB 狀態變更 | 當關聯使用者登入裝置時,系統會回報所有現有的 USB 連線。 | 支援 | |
| ChromeOS CRD 主機已啟動 | 關聯使用者在受管理的裝置上啟動了 Chrome Report Desktop (CRD) 主機工作階段。 | 支援 | 「回報裝置 OS 資訊」 |
| ChromeOS CRD 用戶端已連線 |
使用者連線至 Chrome Report Desktop (CRD) 工作階段。 |
支援 | |
| ChromeOS CRD 用戶端已中斷連線 | 使用者中斷了與 Chrome Report Desktop (CRD) 工作階段的連線。 | 支援 | |
| ChromeOS CRD 主機已停止 | 關聯使用者在受管理的裝置上停止了 Chrome Report Desktop (CRD) 主機工作階段。 | 支援 | |
| ChromeOS 復原成功 | ChromeOS 裝置已完成 OS 復原作業。 | 不支援 | 「回報裝置 OS 資訊」 |
| ChromeOS 版本更新成功 | 使用者成功將 ChromeOS 裝置更新為目標 Chrome 版本。 | 不支援 | |
| ChromeOS 版本更新失敗 | ChromeOS 裝置無法更新為目標 ChromeOS 版本。 | 不支援 | |
| ChromeOS 裝置已啟動 Powerwash | ChromeOS 裝置已啟動 Powerwash。 | 不支援 | |
| 資料存取權控管 | 使用者觸發了管理員所套用的 ChromeOS 資料控管規則。 | 支援 | 資料控管報告 |
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。
- (選用) 如要移除目前的資料欄,請按一下「移除」圖示
。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
匯出搜尋結果資料
您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
匯出限制因地區而異:
- 匯出結果總上限為 100,000 列。
- 支援這項功能的版本:Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity 進階版。 版本比較
如果您使用安全調查工具,匯出結果總上限為 3,000 萬列 (但若是 Gmail 郵件搜尋結果,則上限為 10,000 列)。
詳情請參閱「匯出搜尋結果」。
資料要處理多久?保留時間有多長?
依據搜尋結果執行所需動作
- 您可以使用報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
- 支援這項功能的版本:Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity 進階版。 版本比較
為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。如需詳細資訊和操作說明,請參閱「建立及管理活動規則」。
支援這項功能的版本:Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity 進階版。 版本比較
使用安全調查工具執行搜尋後,您可以對找到的搜尋結果採取行動。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「依據搜尋結果執行所需動作」。
管理調查項目
支援這項功能的版本:Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity 進階版。 版本比較
查看您的調查清單如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁邊的方塊,然後按一下「動作」。
注意:在調查清單正上方的「快速存取」底下,您可以查看近期儲存的調查項目。
超級管理員可以點選「設定」圖示 並執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「請啟用動作執行原因」設定。
如需操作說明和詳細資訊,請參閱「配置調查設定」。
如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。
如需詳細資訊,請參閱「儲存、共用、刪除及複製調查項目」。
Chrome 擴充功能遙測資料
只有購買 Google Security Operations 授權的客戶才能使用。
您可以在 Google Security Operations 中擷取 Chrome 擴充功能的遙測資料。從 Chrome 中收集擴充功能遙測資料,並傳送至 Google Security Operations,以便即時分析及掌握有風險的活動情況。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
依序點選「選單」圖示
「裝置」>「Chrome」>「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示
「Chrome 瀏覽器」>「設定」。
- 點選「瀏覽器報告功能」。
- 按一下「事件回報功能」,然後選取「啟用事件回報功能」。
- 按一下「其他設定」,然後勾選「擴充功能遙測報表」方塊。
- 按一下「儲存」。
-
- 開啟 Google Security Operations 設定
- 前往「使用者和瀏覽器事件」,然後勾選「選用事件類型」中的「擴充功能遙測報表」方塊。您也可以按一下「新增供應商設定」建立新設定,指定要接收擴充功能遙測事件的位置。
- 按一下「儲存」。
如要進一步瞭解 Google Security Operations 及其設定方式,請與 Google Cloud 安全團隊聯絡。
Chrome 擴充功能遙測資料
|
Chrome 擴充功能值
|
說明
|
報告連接器支援
|
|---|---|---|
| chrome.cookies.get |
擷取單一 Cookie 的相關資訊。 可用於操控 Cookie 的 API。遙測服務會追蹤 API 呼叫和引數,以揭露 Cookie 竊取行為。 |
適用於 Chrome 瀏覽器 129 以上版本。 您必須取得 Google Security Operations 授權,才能查看遙測資料。 |
| chrome.cookies.get(All) |
Chrome 擴充功能遙測信號。從單一 Cookie 儲存庫中擷取與指定資訊相符的所有 Cookie。 可用於操控 Cookie 的 API。遙測服務會追蹤 API 呼叫和引數,以揭露 Cookie 竊取行為。 |
適用於 Chrome 瀏覽器 129 以上版本。 您必須取得 Google Security Operations 授權,才能查看遙測資料。 |
| chrome.tabs | Chrome 擴充功能遙測信號。這個 API 可控制分頁。遙測服務會追蹤建立、更新和移除 API 等操作的使用情形,以揭露搜尋引擎或瀏覽器中存在的駭客行為。 |
適用於 Chrome 瀏覽器 129 以上版本。 您必須取得 Google Security Operations 授權,才能查看遙測資料。 |
| Remote hosts contacted | Chrome 擴充功能遙測信號。遙測服務會記錄使用 http(s) 和 websocket(s) 連線的所有遠端主機清單。 |
適用於 Chrome 瀏覽器 129 以上版本。 您必須取得 Google Security Operations 授權,才能查看遙測資料。 |
| Off-store extensions | Chrome 擴充功能遙測信號。遙測服務會追蹤非從 Chrome 線上應用程式商店安裝的擴充功能檔案名稱和雜湊。 |
適用於 Chrome 瀏覽器 129 以上版本。 您必須取得 Google Security Operations 授權,才能查看遙測資料。 |
