Investigar relatórios de e-mails maliciosos

Ferramenta de investigação de segurança

Como administrador, você pode receber um aviso sobre um e-mail malicioso que vários usuários da sua organização receberam.

Com a ferramenta de investigação, você identifica todos os usuários no seu domínio que receberam a mensagem (por exemplo, um e-mail de phishing). Depois disso, use essa ferramenta para apagar o e-mail das Caixas de entrada do Gmail dos usuários. Os dados de registro podem levar alguns minutos para aparecer na ferramenta de investigação.

Você também pode usar a ferramenta de investigação para outras ações, como marcar um e-mail como spam ou phishing ou enviá-lo para a Caixa de entrada de um usuário.

Seu acesso à ferramenta de investigação de segurança

  • As edições compatíveis com a ferramenta de investigação de segurança incluem Enterprise Plus, Education Standard, Education Plus e Enterprise Essentials Plus.
  • Os administradores com o Cloud Identity Premium, Frontline Standard, Enterprise Standard e Education Standard também podem usar a ferramenta de investigação em um subconjunto de origens de dados.
  • A possibilidade de fazer uma pesquisa na ferramenta de investigação depende da edição do Google, dos privilégios administrativos e da origem de dados. Se não for possível pesquisar uma origem de dados específica na ferramenta de investigação, use a página de auditoria e investigação. Confira mais informações em Experiência aprimorada de auditoria e investigação.
  • Você pode fazer uma pesquisa na ferramenta de investigação para todos os usuários, seja qual for a edição do Google.

Observação: alguns recursos da ferramenta de investigação de segurança, como dados relacionados ao Gmail e ao Drive, não estão disponíveis nas edições Cloud Identity Premium ou Enterprise Standard. Veja mais detalhes em Origens de dados na ferramenta de investigação.

Encontrar e excluir e-mails maliciosos

1. Primeiros passos na investigação
  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisCentral de segurançae depoisFerramenta de investigação.
  3. Clique em Origem de dados e selecione Eventos de registro do Gmail.
  4. Clique em Adicionar condição.
  5. Clique em Atributoe depoisPara (Envelope).
  6. Clique em Contéme depoisÉ.
  7. Em Para (envelope), digite o nome de usuário que recebeu o e-mail malicioso, por exemplo, usuario@example.com
  8. Clique em Adicionar condição.
  9.  Clique em Atributoe depois Assunto e verifique se a condição está definida como Contém (opção padrão).
  10. Em Assunto, digite palavras que correspondam ao assunto do e-mail malicioso, por exemplo, Papai Noel dançante.
    As palavras na sua pesquisa não precisam corresponder exatamente ao assunto do e-mail.
  11. Clique em Adicionar condição.
  12. Em Condição, clique em Data.
  13. Mude a condição para Depois.
  14. Em Data, digite a data e a hora mais antigas em que o e-mail suspeito foi recebido pelos usuários.
  15. Clique em Pesquisar.
2. Ver e exportar os resultados da pesquisa

Depois que você concluir as etapas acima, os resultados da pesquisa aparecerão em uma tabela na parte inferior da página. A tabela exibe a data e a hora em que a mensagem foi enviada, o código da mensagem, o assunto, o endereço de e-mail do remetente e o endereço de e-mail do destinatário.

Se você quiser exportar esses resultados da pesquisa para a pasta "Meu Drive", clique em Exportar tudo na parte superior da tabela. 

Saiba mais detalhes em Ver os resultados da pesquisa na ferramenta de investigação.

3. Pesquisar se outros usuários receberam o e-mail malicioso
  1. Para remover a condição Destinatário dos critérios de pesquisa acima, clique em. Sua pesquisa incluirá apenas os critérios Assunto e Data.
  2. Para saber se outros usuários receberam o e-mail nocivo, clique em Pesquisar.

    Os resultados da pesquisa aparecem em uma tabela na parte inferior da página. Assim como os resultados da pesquisa na etapa 1 acima, a tabela mostra a data e a hora em que a mensagem foi enviada, o código da mensagem, o assunto, o tipo de evento e o endereço de e-mail do remetente. Os resultados também incluem os endereços de e-mail de outros usuários na sua organização que receberam o e-mail nocivo.
     
  3. Se você quiser exportar esses resultados da pesquisa para a pasta "Meu Drive", clique no ícone Exportar na parte superior da tabela. 
4. Apagar os e-mails maliciosos das Caixas de entrada dos seus usuários
  1. Na tabela na parte inferior da ferramenta de investigação, clique na caixa de seleção para selecionar todos os e-mails. Isso marca automaticamente todas as caixas na página dos resultados da pesquisa.
  2. No menu Ações, clique em Apagar mensagens.
  3. Digite uma justificativa para a tarefa de exclusão, por exemplo, "E-mails suspeitos maliciosos" 
  4. Clique em Excluir.

    Essa ação exclui as mensagens das Caixas de entrada dos usuários que têm o mesmo código e proprietário, seja remetente ou destinatário, dependendo do tipo de evento, de acordo com os eventos de registro do Gmail selecionados. As mensagens apagadas ainda estarão sujeitas às regras de retenção e às guardas de documentos definidas no Vault. Veja mais detalhes na Central de Ajuda do Vault.

Observação: além de apagar um e-mail, você também pode realizar outras ações, por exemplo, marcar o e-mail como spam ou phishing ou enviá-lo para a caixa de entrada de um usuário.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
10934714861739497789
true
Pesquisar na Central de Ajuda
true
true
true
false
false