作为 Google Workspace 管理员,如果用户因可疑的会话 Cookie 而退出账号,则您可以使用电子邮件提醒来通知您。Cookie 盗用劫持(即会话劫持)是指使用在用户登录账号时生成的 Cookie 来窃取用户的会话 ID。只要检测到可疑的会话 Cookie,相应会话就会终止,且用户会在该会话及相应设备上任何相关的可疑会话期间退出账号。
当用户尝试在同一设备上重新登录时,系统会显示一条消息,提示他们移除恶意软件或不安全的软件。在设备上重新登录账号时,用户还必须执行额外的验证步骤。
利用安全调查工具 (SIT) 或审核和调查工具,您可以发现试图通过贵组织中的会话 Cookie 劫持用户账号的行为。
第 1 步:开始调查
方法 1:调查 SIT 中的可疑会话 Cookie
以下版本中的调查工具支持用户日志事件数据源:
企业 Plus 版、教育 Plus 版、Cloud Identity 专业版、企业标准版、教育标准版
-
-
在管理控制台中,依次点击“菜单”图标 安全性 安全中心 调查工具。
- 在数据源菜单中,选择用户日志事件。
- 在添加条件菜单中,选择事件,并确保条件已设置为为(默认选项)。
- 在事件菜单中,选择用户因为可疑的会话 Cookie 而退出账号。
- 点击搜索。
搜索结果会显示在页面底部。
方法 2:在“审核和调查”页面中调查可疑的会话 Cookie
-
-
在管理控制台中,依次点击“菜单”图标 报告审核和调查用户日志事件。
- 点击添加过滤条件,然后选择事件。
- 在弹出式窗口中,确保顶部菜单中的运算符设置为为(默认选项),从底部菜单中选择用户因为可疑的会话 Cookie 而退出账号,然后点击应用。
- 点击搜索。
日志会显示在页面底部。
第 2 步:采取行动
在说明列中,点击可疑的会话 Cookie 以打开“日志详细信息”窗格。如果可疑行中显示 True,请帮助受影响的用户完成移除恶意软件或不安全的软件的步骤。
保护被盗用的账号
如果您怀疑某个账号可能被盗用或劫持,那么作为管理员,您可以确保用户账号的安全。与受影响的用户合作,识别并保护被盗用的账号。