Jako administrator możesz zauważyć, że wielu użytkowników w organizacji otrzymało szkodliwego e-maila.
Korzystając z narzędzia do analizy zagrożeń, możesz ustalić, którzy użytkownicy w domenie otrzymali podejrzaną wiadomość (na przykład e-maila wyłudzającego informacje). Następnie za pomocą tego narzędzia możesz usunąć e-maila ze skrzynek odbiorczych użytkowników Gmaila (dane z dziennika mogą pojawić się w narzędziu do analizy zagrożeń dopiero po kilku minutach).
Możesz też wykonać inne czynności, na przykład oznaczyć wiadomość jako spam lub próbę wyłudzenia informacji albo wysłać ją do skrzynki odbiorczej użytkownika.
Dostęp do narzędzia do analizy zagrożeń
- Narzędzie do analizy zagrożeń jest dostępne w wersjach: Enterprise Plus, Education Standard, Education Plus i Enterprise Essentials Plus.
- Administratorzy Cloud Identity Premium, Frontline Standard, Enterprise Standard i Education Standard również mogą używać narzędzia do analizy zagrożeń w odniesieniu do niektórych źródeł danych.
- Możliwość wyszukiwania w narzędziu do analizy zagrożeń zależy od wersji usługi Google, uprawnień administratora i źródła danych. Jeśli dla danego źródła danych nie możesz przeprowadzić wyszukiwania w narzędziu do analizy zagrożeń, możesz zamiast tego użyć strony kontroli i analizy zagrożeń. Więcej informacji znajdziesz w artykule Ulepszone funkcje kontroli i analizy.
- W narzędziu do analizy zagrożeń możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji usługi Google.
Uwaga: niektóre funkcje narzędzia do analizy zagrożeń (na przykład dane związane z Gmailem i Dyskiem) nie są dostępne w wersji Cloud Identity Premium ani Enterprise Standard. Więcej informacji znajdziesz w sekcji artykułu dotyczącej źródeł danych w narzędziu do analizy zagrożeń.
Znajdowanie i usuwanie złośliwych e-maili
1. Rozpocznij analizę-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz menu Zabezpieczenia Centrum bezpieczeństwa Narzędzie do analizy zagrożeń.
- Kliknij Źródło danych i wybierz Zdarzenia z dziennika Gmaila.
- Kliknij Dodaj warunek.
- Kliknij Atrybut Do (koperta).
- Kliknij Zawiera Równe.
- W polu Do (koperta) wpisz nazwę użytkownika, który otrzymał szkodliwego e-maila – na przykład użytkownik@example.com.
- Kliknij Dodaj warunek.
- Kliknij Atrybut Temat i upewnij się, że warunek jest ustawiony na Zawiera (opcja domyślna).
- W polu Temat wpisz słowa pasujące do tematu szkodliwego e-maila – na przykład Tańczący Mikołaj.
Wyszukiwane słowa nie muszą być takie same jak temat e-maila. - Kliknij Dodaj warunek.
- W menu Warunek kliknij Data.
- Zmień warunek na Po.
- W polu Data podaj datę i godzinę, kiedy po raz pierwszy użytkownicy otrzymali podejrzanego e-maila.
- Kliknij Szukaj.
Gdy wykonasz opisane powyżej czynności, wyniki wyszukiwania pojawią się w tabeli u dołu strony. Wyświetlane dane obejmują datę i godzinę wysłania wiadomości, identyfikator wiadomości, temat, adres e-mail nadawcy oraz adres e-mail odbiorcy.
Aby wyeksportować wyniki wyszukiwania do folderu Mój dysk, kliknij Eksportuj wszystko u góry tabeli.
Więcej informacji znajdziesz w artykule Wyświetlanie wyników wyszukiwania w narzędziu do analizy zagrożeń.
- Aby usunąć warunek Odbiorca z powyższych kryteriów wyszukiwania, kliknij . Spowoduje to zawężenie kryteriów wyszukiwania do tematu i daty.
- Aby wyszukać pozostałych użytkowników, którzy mogli otrzymać szkodliwego e-maila, kliknij Szukaj.
Wyniki wyszukiwania pojawią się w tabeli u dołu strony. Podobnie jak w kroku 1 zawierają one datę i godzinę wysłania wiadomości, identyfikator wiadomości, temat, typ zdarzenia oraz adres e-mail nadawcy. Jednak oprócz tego obejmują adresy e-mail pozostałych użytkowników w organizacji, którzy otrzymali złośliwego e-maila.
- Aby wyeksportować wyniki wyszukiwania do folderu Mój dysk, kliknij ikonę Eksportuj u góry tabeli.
- W tabeli znajdującej się u dołu okna narzędzia do analizy zagrożeń kliknij pole wyboru umożliwiające zaznaczenie wszystkiego. Dzięki temu zostaną zaznaczone wszystkie pola na bieżącej stronie wyników wyszukiwania.
- W menu Działania kliknij Usuń wiadomości.
- Wpisz uzasadnienie zadania usuwania, na przykład „podejrzenie szkodliwych e-maili”.
- Kliknij Usuń.
Ta czynność powoduje usunięcie ze skrzynek odbiorczych użytkowników wiadomości, których identyfikator i właściciel (nadawca lub odbiorca – w zależności od typu zdarzenia) są zgodne z atrybutami wybranych zdarzeń z dziennika Gmaila. Usunięte wiadomości nadal podlegają wszystkim obowiązującym regułom przechowywania i blokadom w Vault (więcej informacji na ten temat znajdziesz w Centrum pomocy Vault).
Uwaga: oprócz usuwania e-maili możesz wykonywać inne działania, takie jak oznaczanie e-maili jako spamu lub próby wyłudzenia informacji albo wysyłanie ich do skrzynki odbiorczej użytkownika.