作为贵组织的管理员,您可以使用安全调查工具运行与情境感知访问权限日志事件相关的搜索,并根据审核结果执行操作。您可以在调查工具中查看操作记录,以排查用户访问应用遭拒的问题。系统通常会在用户访问应用遭拒后的 1 个小时内显示相关条目。
有关详情,请参阅情境感知访问权限概览。
您对安全调查工具的访问权限
- 安全调查工具支持的版本包括企业 Plus 版、教育标准版、教育 Plus 版和 Enterprise Essentials Plus。
- Cloud Identity 专业版、Frontline Standard、企业标准版和教育标准版的管理员也可以使用安全调查工具,但只能处理一部分数据源。
- 能否在调查工具中进行搜索取决于您的 Google 版本、管理特权和数据源。如果您无法在调查工具中搜索特定数据源,可以改为访问审核和调查页面。 有关详情,请参阅改进的审核和调查功能体验。
- 您可以在调查工具中针对所有用户执行搜索,无论他们使用的是哪个 Google 版本。
搜索情境感知访问权限日志事件
如需在调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
-
在管理控制台首页,点击左侧的安全性 安全中心 调查工具。
- 点击数据源 选择情境感知访问权限日志事件。
- 点击添加条件。
注意:您可以添加一种或多种搜索条件。您还可以使用嵌套查询(即包含二级或三级条件的搜索查询)来自定义搜索。有关详情,请参阅使用嵌套查询自定义搜索。 - 点击属性 选择一个属性,例如执行者或日期。如需查看适用于情境感知访问权限日志事件的属性的完整列表,请参阅下文中的“属性说明”。
注意:如果您缩小搜索的日期范围,调查工具就能更快地显示搜索结果。举例来说,如果您将搜索范围缩小为上一周发生的事件,那么相对于不限制时间段的查询,系统将能更快地返回结果。 - 选择运算符,例如为、非、包含或不包含。
- 为该属性选择或输入一个值。对于某些属性,您需要从列表中选择,对于其他属性,请输入值。
- (可选)要包含多个搜索条件,请重复第 4 - 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)要保存搜索结果,请点击右侧的保存图标 输入标题和说明 点击保存。
注意:
- 使用条件构建器标签页时,过滤器将表示为带有 AND/OR 运算符的条件。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
属性 | 说明 |
---|---|
执行者 | 执行此操作的用户的电子邮件地址。 |
执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
执行者组织部门 | 执行者所属的组织部门 |
申请 | 可以是以下任意一项:
|
Blocked API 访问权限 | 用户访问被拒绝的应用的 API。对于 API 访问,调用应用被禁止访问的 API。 |
日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
设备 ID | 设备的 ID,如管理控制台首页 设备中所示 |
设备状态 | 用于执行此访问的设备的状态,例如“正常”“不同步”(过时或较旧)或“跨组织”(设备不属于您的组织) |
事件 | 记录的事件操作:
|
IP 地址 | 执行者的 IP 地址 |
根据搜索结果执行操作
在调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用调查工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。要详细了解可在调查工具中执行的操作,请参阅根据搜索结果执行操作。
创建活动规则和设置提醒
为了有效防范、检测和解决安全问题,您可以创建活动规则,让调查工具自动执行操作和设置提醒。设置规则时,请先设置规则的条件,然后指定在条件满足时要执行的操作。有关详情和说明,请参阅创建和管理活动规则。
管理调查
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标 。
- (可选)如要移除当前列,请点击“移除内容”图标 。
- (可选)如要添加列,请点击“新增列”旁边的向下箭头 ,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动列名称。
- 点击保存。
- 点击搜索结果表格顶部的全部导出。
- 输入名称 点击导出。
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
查看导出的搜索结果时,请注意以下事项:
- 您点击表格顶部的全部导出按钮后,系统会在您的“我的云端硬盘”文件夹中创建一个包含相应搜索结果的 Google 表格。导出过程可能需要一段时间,而系统也可能会创建多个 Google 表格,具体取决于导出结果的大小。导出结果总数上限为 3 千万行(但 Gmail 邮件搜索结果除外,其上限为 125 万行)。
- 在导出过程中,系统会以临时名称(例如 TMP-1-<标题>)来创建 Google 表格。如果创建了多个 Google 表格,则会将其他文件命名为 TMP-2-<标题>、TMP-3-<标题>,以此类推。导出完毕后,文件会自动重命名为 <标题> [1/N]、<标题> [2/N],以此类推。如果导出数据只有一个 Google 表格,则文件将重命名为 <标题>。
- 对于包含导出的搜索结果的文件,其共享权限与您的网域配置为准。举例来说,如果创建的文件在默认情况下会与公司中的所有人共享,那么导出的数据也会与公司中的所有人共享。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
要详细了解数据源,请参阅数据保留时间和延迟时间。