安全調查工具
如果您是管理員,可能會注意到貴機構中有幾位使用者收到了惡意電子郵件。
在這種情況下,您可以使用調查工具找出網域中收到惡意郵件 (例如網路詐騙電子郵件) 的所有使用者,然後使用調查工具將該郵件從使用者的 Gmail 收件匣中刪除。請注意,您可能要等候幾分鐘,才可在調查工具中取得記錄資料。
您也可以使用調查工具執行其他操作,例如將電子郵件標示為垃圾郵件或網路詐騙郵件,或是將郵件傳送至使用者的收件匣。
您的安全調查工具存取權
- 支援安全調查工具的版本包括 Enterprise Plus、Education Standard、Education Plus 和 Enterprise Essentials Plus。
- 使用 Cloud Identity 進階版、Frontline Standard、Enterprise Standard 和 Education Standard 的管理員也可以使用調查工具,但僅限部分資料來源。
- 能否使用調查工具執行搜尋,取決於您的 Google 版本、管理員權限和資料來源。如果您無法在調查工具中執行特定資料來源的搜尋,可以改用稽核與調查頁面。 詳情請參閱「更完善的稽核與調查服務」。
- 您可以在調查工具中對所有使用者執行搜尋作業,不論對方擁有的 Google 版本為何。
注意:Cloud Identity 進階版或 Enterprise Standard 版本客戶無法使用安全調查工具的部分功能,例如與 Gmail 和雲端硬碟相關的資料。詳情請參閱「調查工具中的資料來源」。
尋找並刪除惡意電子郵件
1. 開始進行調查-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「安全中心」「調查工具」。
- 按一下「資料來源」,然後選取「Gmail 記錄事件」。
- 按一下「新增條件」。
- 依序按一下「屬性」「收件者」(信封)。
- 依序按一下「包含」「是」。
- 在「收件者 (信封)」部分,輸入收到惡意電子郵件的使用者名稱,例如 <使用者名稱>@example.com。
- 按一下「新增條件」。
- 依序按一下「屬性」 「主旨」,並確認條件已設為「包含」(預設選項)。
- 在「主旨」欄位中,輸入與惡意電子郵件主旨相符的字詞,例如「跳舞的聖誕老人」。
搜尋字詞不必與電子郵件主旨完全相符。 - 按一下「新增條件」。
- 在「條件」部分,按一下「日期」。
- 將條件變更為 [使用後]。
- 在「日期」部分,輸入使用者最早收到可疑電子郵件的日期和時間。
- 按一下「搜尋」。
完成上述步驟後,搜尋結果會顯示在頁面底部的表格中。這個表格會顯示郵件的寄送日期和時間、郵件 ID、主旨、寄件者的電子郵件地址,以及收件者的電子郵件地址。
如要將這些搜尋結果匯出至您的「我的雲端硬碟」資料夾,請按一下表格頂端的「全部匯出」。
詳情請參閱在調查工具中查看搜尋結果。
- 如要移除上述搜尋條件中的「收件者」條件,請按一下 圖示。讓搜尋條件只剩下「主旨」和「日期」。
- 按一下「搜尋」,搜尋其他可能收到惡意電子郵件的使用者。
搜尋結果會顯示在頁面底部的表格中。與上述步驟 1 的搜尋結果類似,這個表格會顯示郵件的寄送日期和時間、郵件 ID、主旨、事件類型,以及寄件者的電子郵件地址。不過,如果貴機構中有其他使用者收到惡意電子郵件,搜尋結果還會包含這些使用者的電子郵件地址。
- 如要將這些搜尋結果匯出至您的「我的雲端硬碟」資料夾,請按一下表格頂端的「匯出」圖示。
- 在調查工具底部的表格中,勾選 [全選] 核取方塊。系統隨即會自動勾選目前搜尋結果頁面中的所有方塊。
- 在「動作」選單中,按一下「刪除郵件」。
- 為刪除作業輸入原因,例如「疑似惡意的電子郵件」。
- 按一下「刪除」。
執行這項操作後,若郵件 ID 和擁有者 (可能是寄件者或收件者,取決於事件類型) 與所選 Gmail 記錄事件相符,系統就會將相關郵件從使用者的收件匣中刪除。遭到清除的郵件仍會受到保管箱中設定的所有適用資料保留規則和訴訟保留規範。如要進一步瞭解資料保留規則和訴訟保留,請前往保管箱說明中心。
注意:除了清除電子郵件以外,您還可以選擇執行其他操作,例如將電子郵件標示為垃圾郵件或網路詐騙郵件,或將郵件傳送至使用者的收件匣。