Администраторы Google Workspace могут настроить оповещения по электронной почте, чтобы узнавать о случаях, когда выполняется автоматический выход из аккаунта из-за подозрительных файлов cookie сеанса. Несанкционированный доступ к файлам cookie, также известный как перехват сеанса, – это получение доступа к идентификатору сеанса пользователя незаконным путем с помощью файлов cookie, создаваемых при входе пользователя в аккаунт. При обнаружении подозрительного файла cookie сеанса текущий сеанс завершается и выполняется выход из аккаунта во всех подозрительных сеансах на устройстве.
Когда пользователь пытается повторно войти в систему на том же устройстве, появляется рекомендация удалить вредоносное или небезопасное ПО. Кроме того, пользователь должен пройти дополнительный этап проверки.
Используя инструмент "Анализ безопасности" (SIT) или инструмент "Аудит и анализ безопасности", вы можете выявить попытки взлома аккаунтов пользователей в организации с помощью файлов cookie сеанса.
Шаг 1. Начните анализ
Вариант 1. Изучите подозрительные файлы cookie сеанса в инструменте "Анализ безопасности"
В инструменте "Анализ безопасности" можно использовать журнал пользователя в качестве источника данных о событиях в следующих версиях:
Enterprise Plus, Education Plus, Cloud Identity Premium, Enterprise Standard, Education Standard.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Центр безопасности
- В меню Источник данных выберите События журнала пользователя.
- В меню Добавить условие выберите Событие и убедитесь, что задано условие Равно (вариант по умолчанию).
- В меню Событие выберите Сеанс пользователя завершен из-за подозрительных файлов cookie.
- Нажмите Поиск.
Результаты поиска появятся внизу страницы.
Вариант 2. Изучите подозрительные файлы cookie сеанса на странице "Аудит и анализ"
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- Нажмите Добавить фильтр, а затем выберите Событие.
- Убедитесь, что в верхнем меню всплывающего окна выбран оператор Равно (вариант по умолчанию), а затем в нижнем меню выберите Сеанс пользователя завершен из-за подозрительных файлов cookie и нажмите Применить.
- Нажмите Поиск.
Журналы будут показаны в нижней части страницы.
Шаг 2. Примите меры
В столбце Описание нажмите Подозрительный файл cookie сеанса, чтобы открыть панель "Сведения в журнале". Если в строке Подозрительный указано Истина, помогите пользователям, которых затронула проблема, удалить вредоносное или небезопасное ПО.
Защитите взломанные аккаунты
Если вы подозреваете, что аккаунт взломан, вы как администратор можете защитить аккаунты ваших пользователей. Выявите и защитите взломанные аккаунты при участии пользователей.