Иногда администратору может поступать информация о том, что некоторые пользователи организации получили вредоносное письмо.
С помощью инструмента "Анализ безопасности" можно определить, кто именно получил это письмо, а затем удалить его из папки входящих сообщений этих пользователей. Следует учитывать, однако, что данные журнала синхронизируются с инструментом с некоторым запозданием.
Кроме того, с помощью инструмента "Анализ безопасности" можно помечать письма как спам или фишинг, а также перемещать во входящие.
Доступ к инструменту "Анализ безопасности"
- Инструмент "Анализ безопасности" доступен в версиях Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus.
- Администраторы Cloud Identity Premium, Frontline Standard, Enterprise Standard и Education Standard также могут использовать инструмент "Анализ безопасности", но список источников данных для них ограничен.
- Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, можно найти информацию на странице аудита и анализа. Подробнее о расширенных возможностях аудита и анализа…
- В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.
Примечание. В версиях Cloud Identity Premium и Enterprise Standard некоторые возможности инструмента "Анализ безопасности" недоступны, например нельзя посмотреть данные, связанные с Gmail и Google Диском. Подробнее об этом рассказывается в разделе Источники данных и условия в инструменте "Анализ безопасности".
Как искать и удалять вредоносные письма
1. Проанализируйте данные-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню БезопасностьЦентр безопасностиИнструмент "Анализ безопасности".
- Нажмите Источник данных и выберите События журнала Gmail.
- Нажмите Добавить условие.
- Нажмите АтрибутКому (конверт).
- Нажмите СодержитРавно.
- В поле Кому (конверт) введите имя пользователя, получившего вредоносное письмо, например user@example.com.
- Нажмите Добавить условие.
- Нажмите Атрибут Тема и выберите условие Содержит (это вариант по умолчанию).
- В поле Тема введите слова, содержащиеся в теме вредоносного письма, например Дед Мороз зажигает.
Тему не обязательно указывать дословно. - Нажмите Добавить условие.
- В меню Условие выберите Дата.
- Измените условие на После.
- В поле Дата укажите день, в который сотрудники начали получать подозрительные письма.
- Нажмите Поиск.
Результаты поиска появятся в таблице внизу страницы. Для каждого письма будут указаны дата и время отправки, идентификатор сообщения, тема и адреса электронной почты отправителя и получателя.
Чтобы экспортировать результаты поиска в папку "Мой диск", нажмите Экспортировать все вверху таблицы.
Подробнее о том, как работать с результатами поиска в инструменте "Анализ безопасности"…
- Чтобы удалить условие Получатель из параметров поиска, нажмите . Теперь поиск будет выполняться только по теме и дате.
- Нажмите Поиск.
Результаты поиска появятся в таблице внизу страницы. Как и на шаге 1, для каждого письма будут указаны дата и время отправки, идентификатор сообщения, тема, тип события и адрес электронной почты отправителя, но кроме этого, в результаты будут включены адреса всех пользователей организации, получивших вредоносное письмо.
- Чтобы экспортировать результаты поиска в папку "Мой диск", нажмите на значок экспорта вверху таблицы.
- В таблице внизу окна инструмента "Анализ безопасности" установите флажок Выбрать все. Напротив каждой строки будут установлены флажки.
- В меню Действия выберите Удалить сообщения.
- Укажите причину удаления, например "Возможно, это вредоносные письма".
- Нажмите Удалить.
В результате из почтовых ящиков пользователей будут удалены письма, у которых идентификатор и владелец (отправитель или получатель в зависимости от типа события) совпадает с указанными в выбранных событиях журнала Gmail. На удаленные сообщения распространяются все правила хранения, настроенные в Сейфе. Подробные сведения об этом можно найти в Справочном центре.
Примечание. Вы можете не только удалять письма, но и отмечать их как спам или фишинг, а также перемещать во входящие.