Анализ сообщений о вредоносных письмах

Инструмент "Анализ безопасности"

Иногда администратору может поступать информация о том, что некоторые пользователи организации получили вредоносное письмо.

С помощью инструмента "Анализ безопасности" можно определить, кто именно получил это письмо, а затем удалить его из папки входящих сообщений этих пользователей. Следует учитывать, однако, что данные журнала синхронизируются с инструментом с некоторым запозданием.

Кроме того, с помощью инструмента "Анализ безопасности" можно помечать письма как спам или фишинг, а также перемещать во входящие.

Доступ к инструменту "Анализ безопасности"

  • Инструмент "Анализ безопасности" доступен в версиях Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus.
  • Администраторы Cloud Identity Premium, Frontline Standard, Enterprise Standard и Education Standard также могут использовать инструмент "Анализ безопасности", но список источников данных для них ограничен.
  • Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, можно найти информацию на странице аудита и анализа. Подробнее о расширенных возможностях аудита и анализа
  • В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.

Примечание. В версиях Cloud Identity Premium и Enterprise Standard некоторые возможности инструмента "Анализ безопасности" недоступны, например нельзя посмотреть данные, связанные с Gmail и Google Диском. Подробнее об этом рассказывается в разделе Источники данных и условия в инструменте "Анализ безопасности".

Как искать и удалять вредоносные письма

1. Проанализируйте данные
  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. Нажмите Источник данных и выберите События журнала Gmail.
  4. Нажмите Добавить условие.
  5. Нажмите Атрибута затемКому (конверт).
  6. Нажмите Содержита затемРавно.
  7. В поле Кому (конверт) введите имя пользователя, получившего вредоносное письмо, например user@example.com.
  8. Нажмите Добавить условие.
  9. Нажмите Атрибута затем Тема и выберите условие Содержит (это вариант по умолчанию).
  10. В поле Тема введите слова, содержащиеся в теме вредоносного письма, например Дед Мороз зажигает.
    Тему не обязательно указывать дословно.
  11. Нажмите Добавить условие.
  12. В меню Условие выберите Дата.
  13. Измените условие на После.
  14. В поле Дата укажите день, в который сотрудники начали получать подозрительные письма.
  15. Нажмите Поиск.
2. Проверьте и экспортируйте результаты поиска

Результаты поиска появятся в таблице внизу страницы. Для каждого письма будут указаны дата и время отправки, идентификатор сообщения, тема и адреса электронной почты отправителя и получателя.

Чтобы экспортировать результаты поиска в папку "Мой диск", нажмите Экспортировать все вверху таблицы.

Подробнее о том, как работать с результатами поиска в инструменте "Анализ безопасности"

3. Найдите других возможных получателей вредоносного письма
  1. Чтобы удалить условие Получатель из параметров поиска, нажмите . Теперь поиск будет выполняться только по теме и дате.
  2. Нажмите Поиск.

    Результаты поиска появятся в таблице внизу страницы. Как и на шаге 1, для каждого письма будут указаны дата и время отправки, идентификатор сообщения, тема, тип события и адрес электронной почты отправителя, но кроме этого, в результаты будут включены адреса всех пользователей организации, получивших вредоносное письмо.
     
  3. Чтобы экспортировать результаты поиска в папку "Мой диск", нажмите на значок экспорта вверху таблицы.
4. Удалите вредоносное письмо из почтовых ящиков пользователей
  1. В таблице внизу окна инструмента "Анализ безопасности" установите флажок Выбрать все. Напротив каждой строки будут установлены флажки.
  2. В меню Действия выберите Удалить сообщения.
  3. Укажите причину удаления, например "Возможно, это вредоносные письма".
  4. Нажмите Удалить.

    В результате из почтовых ящиков пользователей будут удалены письма, у которых идентификатор и владелец (отправитель или получатель в зависимости от типа события) совпадает с указанными в выбранных событиях журнала Gmail. На удаленные сообщения распространяются все правила хранения, настроенные в Сейфе. Подробные сведения об этом можно найти в Справочном центре.

Примечание. Вы можете не только удалять письма, но и отмечать их как спам или фишинг, а также перемещать во входящие.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
9914020382182979064
true
Поиск по Справочному центру
true
true
true
false
false