Verdachte sessiecookies onderzoeken en actie ondernemen

Als Google Workspace-beheerder kunt u instellen dat u een e-mailmelding krijgt als gebruikers zijn uitgelogd vanwege verdachte sessiecookies. Cookie-diefstal, -kaping of sessie-kaping, is het stelen van de sessie-ID van een gebruiker met behulp van cookies die worden gegenereerd wanneer iemand zich aanmeldt bij een account. Wanneer een verdachte sessiecookie wordt gedetecteerd, wordt de sessie beëindigd en wordt de gebruiker uitgelogd van het account voor die sessie en alle gerelateerde verdachte sessies op dat apparaat.

Als gebruikers opnieuw proberen in te loggen op hetzelfde apparaat, zien ze een bericht waarin ze wordt gevraagd malware of onveilige software te verwijderen. De gebruiker moet ook een extra verificatiestap invoeren als deze weer inlogt op het account op het apparaat.

Met de tool voor beveiligingsonderzoek (SIT) of de controle- en onderzoekstool kunt u pogingen om gebruikersaccounts te hacken via sessiecookies in uw organisatie identificeren.

Stap 1: Het onderzoek starten

Optie 1: Verdachte sessiecookies onderzoeken in SIT

Ondersteunde versies voor de gegevensbron Gebeurtenissen in het logboek Gebruikers in de onderzoekstool:
Enterprise Plus, Education Plus, Cloud Identity Premium, Enterprise Standard, Education Standard

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenBeveiligingscentrumand thenOnderzoekstool.
  3. Selecteer in het menu Gegevensbron de optie Gebeurtenissen in gebruikerslogboek.
  4. Selecteer in het menu Voorwaarde toevoegen de optie Gebeurtenis en zorg dat de voorwaarde is ingesteld op Is (de standaardoptie).
  5. Selecteer in het menu Gebeurtenis de optie Gebruiker uitgelogd vanwege verdachte sessiecookie.
  6. Klik op Zoeken.
    De zoekresultaten worden onderaan de pagina weergegeven.

Optie 2: Verdachte sessiecookies onderzoeken op de controle- en onderzoekspagina

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Rapportenand thenControle en onderzoekand thenGebeurtenissen in het gebruikerslogboek.
  3. Klik op Een filter toevoegen en selecteer Gebeurtenis.
  4. Zorg dat in het pop-upvenster de operator in het menu bovenaan is ingesteld op Is (de standaardoptie), selecteer Gebruiker uitgelogd wegens verdachte sessiecookie in het onderste menu en klik op Toepassen.
  5. Klik op Zoeken.
    De logboeken worden onderaan de pagina weergegeven.

Stap 2: Actie ondernemen

Klik in de kolom Beschrijving op Verdachte sessiecookie om het deelvenster Logboekgegevens te openen. Als er Waar staat in de rij Is verdacht, helpt u de betreffende gebruikers de stappen uit te voeren om malware of onveilige software te verwijderen.

Herstel gehackte accounts

Als u denkt dat een account is gehackt, kunt u er als beheerder voor zorgen dat de accounts van uw gebruikers veilig zijn. Werk samen met de betreffende gebruikers om gehackte accounts te identificeren en te beveiligen.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
8280495331156904959
true
Zoeken in het Helpcentrum
true
true
true
false
false