安全调查工具
作为管理员,您可能会发现组织中有一些用户收到恶意电子邮件。
借助调查工具,您可以找出网域中收到过恶意电子邮件(例如网上诱骗电子邮件)的所有用户,然后通过该工具从用户的 Gmail 收件箱中删除这类电子邮件。请注意,您最长可能需要等待数分钟的时间,才能在调查工具中获得日志数据。
您还可以使用调查工具执行其他操作,例如将电子邮件标记为垃圾邮件、钓鱼邮件,还可以将其发送至用户的收件箱。
您对安全调查工具的访问权限
- 安全调查工具支持的版本包括企业 Plus 版、教育标准版、教育 Plus 版和 Enterprise Essentials Plus。
- Cloud Identity 专业版、Frontline Standard、企业标准版和教育标准版的管理员也可以使用安全调查工具,但只能处理一部分数据源。
- 能否在调查工具中进行搜索取决于您的 Google 版本、管理特权和数据源。如果您无法在调查工具中搜索特定数据源,可以改为访问审核和调查页面。 有关详情,请参阅改进的审核和调查功能体验。
- 您可以在调查工具中针对所有用户执行搜索,无论他们使用的是哪个 Google 版本。
注意:Cloud Identity 专业版或 Google Workspace 企业标准版客户无法使用安全调查工具的某些功能,例如与 Gmail 和云端硬盘相关的数据。有关详情,请参阅调查工具中的数据源。
查找并删除恶意电子邮件
1.开始调查-
-
在管理控制台中,依次点击“菜单”图标 安全性 安全中心 调查工具。
- 点击数据源,然后选择 Gmail 日志事件。
- 点击添加条件。
- 依次点击属性 收件人(信包)。
- 依次点击 Contains Is。
- 在收件人(信包)部分,输入收到恶意电子邮件的用户的用户名,例如“user@example.com”。
- 点击添加条件。
- 依次点击属性 主题,并确保条件已设置为 Contains(默认选项)。
- 在主题部分,输入与恶意电子邮件主题匹配的字词(例如“跳舞的圣诞老人”)。
您搜索的字词不一定要与电子邮件的主题完全匹配。 - 点击添加条件。
- 在条件部分,点击日期。
- 将条件改为之后。
- 在日期部分,输入用户最早收到可疑电子邮件的日期和时间。
- 点击搜索。
当您完成上述步骤后,搜索结果会显示在页面底部的一个表格中。该表格会显示邮件的发送日期和时间、邮件 ID、主题、发件人电子邮件地址和收件人电子邮件地址。
如要将这些搜索结果导出至“我的云端硬盘”文件夹,请点击表格顶部的全部导出。
有关详情,请参阅在调查工具中查看搜索结果。
- 如要从上述搜索条件中移除收件人条件,请点击 。如此一来,系统就只会根据主题和日期这两个搜索条件进行搜索。
- 点击搜索,即可搜索可能收到恶意电子邮件的其他用户。
搜索结果会显示在页面底部的一个表格中。与上述第 1 步的搜索结果类似,表格会显示邮件的发送日期和时间、邮件 ID、主题、事件类型和发件人的电子邮件地址。不过,搜索结果还会包含您单位中收到了相应恶意电子邮件的其他用户的电子邮件地址。
- 如要将这些搜索结果导出至您的“我的云端硬盘”文件夹,请点击表格顶部的“导出”图标。
- 在调查工具底部的表格中,点击“全选”对应的复选框。这样可以自动选中当前搜索结果页面中的每一个复选框。
- 在操作菜单中,点击删除邮件。
- 输入删除任务的理由,例如“疑似恶意电子邮件”。
- 点击删除。
如果执行此操作,系统会将邮件 ID 和所有者(所有者既可能是发件人也可能是收件人,具体取决于事件类型)与所选 Gmail 日志事件中相应信息一致的邮件从用户的收件箱中删除。已清除的邮件将仍受保险柜中设置的所有适用保留规则和保全的约束(要详细了解保留规则和保全,请参阅保险柜帮助中心)。
注意:除了清除电子邮件,您还可以选择执行其他操作,例如将电子邮件标记为垃圾邮件、网上诱骗邮件,还可以将其发送至用户的收件箱。