Jako administrator Google Workspace możesz otrzymywać alerty e-mail informujące o wylogowaniu użytkowników z powodu podejrzanych plików cookie sesji. Włamanie przy użyciu pliku cookie (nazywane również przechwyceniem sesji) polega na kradzieży identyfikatora sesji użytkownika za pomocą plików cookie generowanych, gdy użytkownik loguje się na swoje konto. Po wykryciu podejrzanego pliku cookie sesji następuje zakończenie sesji oraz wylogowanie użytkownika z jego konta w zakresie tej sesji i wszystkich podejrzanych sesji na danym urządzeniu.
Jeśli użytkownik spróbuje ponownie zalogować się na tym samym urządzeniu, zobaczy komunikat z prośbą o usunięcie złośliwego lub niebezpiecznego oprogramowania. Podczas ponownego logowania się na konto na tym urządzeniu użytkownik musi też wykonać dodatkowy etap weryfikacji.
Za pomocą narzędzia do analizy zagrożeń oraz narzędzia do kontroli i analizy zagrożeń możesz wykrywać próby przejęcia kont użytkowników w organizacji za pomocą plików cookie sesji.
Krok 1. Rozpocznij analizę zagrożeń
Opcja 1. Zbadaj podejrzane pliki cookie sesji w narzędziu do analizy zagrożeń
Obsługiwane wersje w przypadku źródła danych Zdarzenia z dziennika użytkownika w narzędziu do analizy zagrożeń:
Enterprise Plus, Education Plus, Cloud Identity Premium, Enterprise Standard i Education Standard
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz menu
Zabezpieczenia
Centrum bezpieczeństwa
- W menu Źródło danych wybierz Zdarzenia w dzienniku użytkownika.
- W menu Dodaj warunek wybierz Zdarzenie i sprawdź, czy warunek jest ustawiony na Jest (opcja domyślna).
- W menu Zdarzenie wybierz Użytkownik został wylogowany z powodu podejrzanego pliku cookie sesji.
- Kliknij Szukaj.
Wyniki wyszukiwania pojawią się na dole strony.
Opcja 2. Zbadaj podejrzane pliki cookie sesji na stronie kontroli i analizy zagrożeń
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu
Raportowanie
- Kliknij kolejno Dodaj filtr i Zdarzenie.
- W wyskakującym okienku sprawdź, czy operator w górnym menu jest ustawiony na Jest (opcja domyślna), a następnie w dolnym menu wybierz Użytkownik został wylogowany z powodu podejrzanego pliku cookie sesji i kliknij Zastosuj.
- Kliknij Szukaj.
Logi pojawią się na dole strony.
Krok 2. Podejmij działania
W kolumnie Opis kliknij Podejrzany plik cookie sesji, aby otworzyć panel Szczegóły dziennika. Jeśli w wierszu Wzbudza podejrzenia widoczna jest wartość Prawda, pomóż użytkownikom, których dotyczy ten problem, wykonać czynności opisane w artykule Usuwanie złośliwego lub niebezpiecznego oprogramowania.
Zabezpieczanie przejętych kont
Jeśli podejrzewasz, że konto zostało przejęte lub zhakowane, jako administrator możesz zapewnić bezpieczeństwo kont użytkowników. Wspólnie z użytkownikami, których dotyczy ten problem, zidentyfikuj i zabezpiecz przejęte konta.