安全调查工具
通过调查工具来自定义搜索时,您可以添加一种或多种搜索条件。如果您要自定义包含至少两种条件的搜索查询,也可以选择创建嵌套查询(即包含二级或三级条件的搜索查询)。
使用嵌套查询,您可以指定更为细化且针对特定事件类型的查询条件,从而缩小搜索范围。为此,请在自定义搜索时点击 添加条件组。
例如,您可以针对贵单位的入站电子邮件执行搜索,来查询收到附件的用户。此外,您或许想缩小搜索范围,只搜索打开过这些附件,或点击过电子邮件中的链接的用户。自定义搜索时,您应将要搜索的数据源设为“Gmail 日志事件”,并设置以下搜索条件:
- 电子邮件必须包含附件。
- 且用户必须打开过附件,或点击过电子邮件中的链接。
注意:大多数数据源都支持三级嵌套查询。“用户”数据源最多仅支持二级嵌套查询,而“Chrome 浏览器”数据源不支持嵌套查询。