安全调查工具
搜索某个数据源(例如搜索 Gmail 日志事件,以查找并删除恶意电子邮件)后,您可以进行数据透视并在其他数据源中进行搜索,从而调查特定用户(例如搜索云端硬盘日志事件,以调查与该用户相关的文件共享情况)。
举例来说,如果用户帐号遭到黑客攻击,而且有恶意电子邮件从该帐号发出,您就需要采取这种做法。之后,您可以调查该用户帐号在云端硬盘中的其他操作。
注意:Cloud Identity 专业版或 Google Workspace 企业标准版客户无法使用安全调查工具的某些功能,例如与 Gmail 和云端硬盘相关的数据。有关详情,请参阅调查工具中的数据源。
要调查用户在各种数据源中的数据,请执行以下操作:
- 按照查找并删除恶意电子邮件中的说明完成搜索。
- 在搜索结果中,将鼠标悬停在发件人列中的相应用户(例如 <用户>@example.com)上方。
- 将鼠标悬停在搜索结果中相应内容的上方,然后点击数据透视按钮以打开菜单选项。
- 点击设备日志事件 > 执行者。
系统会打开一个以云端硬盘日志事件为数据源的新搜索页,并包含将所选用户作为“执行者”的搜索条件。 - 如果需要,您可以点击添加条件,增加更多搜索条件。
- 点击搜索。
- 查看并导出搜索结果。
注意:您还可以对搜索结果中的整列内容进行数据透视。为此,请将鼠标悬停在列名称上方,然后从菜单选项中进行选择。
您对安全调查工具的访问权限
- 安全调查工具支持的版本包括企业 Plus 版、教育标准版、教育 Plus 版和 Enterprise Essentials Plus。
- Cloud Identity 专业版、Frontline Standard、企业标准版和教育标准版的管理员也可以使用安全调查工具,但只能处理一部分数据源。
- 能否在调查工具中进行搜索取决于您的 Google 版本、管理特权和数据源。如果您无法在调查工具中搜索特定数据源,可以改为访问审核和调查页面。 有关详情,请参阅改进的审核和调查功能体验。
- 您可以在调查工具中针对所有用户执行搜索,无论他们使用的是哪个 Google 版本。