在調查工具中自訂搜尋方式

這項功能適用於 G Suite Enterprise、G Suite Enterprise 教育版,以及 Cloud Identity 進階版。

透過安全調查工具,您可以輸入多個搜尋條件來自訂搜尋方式。視搜尋的資料來源而定 (例如「裝置記錄事件」或「雲端硬碟記錄事件」),可用的條件會有所不同。

如何使用調查工具執行搜尋:

  1. 前往 admin.google.com 登入 Google 管理控制台。
    請務必使用您的管理員帳戶 (而非個人 Gmail 帳戶) 登入。
  2. 點選 [安全性]。
  3. 按一下 [調查工具]
  4. 選擇搜尋的資料來源:裝置記錄事件裝置雲端硬碟記錄事件Gmail 記錄事件Gmail 郵件使用者記錄事件使用者

    注意:視您的 G Suite 版本而定,可用的資料來源會有所不同。

  5. 按一下 [新增條件]
    您可以加入一或多個搜尋條件。如要進一步瞭解各種資料來源可用的條件,請參閱以下各節。此外,您也可以使用「巢狀查詢」自訂搜尋方式,也就是使用 2 或 3 層條件執行搜尋 (詳情請參閱下一節)。
  6. 按一下 [搜尋]

使用巢狀查詢自訂搜尋方式

在調查工具中自訂搜尋方式時,您可以加入一或多個搜尋條件。如果您要自訂含有 2 個以上條件的搜尋方式,也可以選擇建立「巢狀查詢」,也就是包含 2 或 3 層條件的搜尋機制。

透過巢狀查詢,您可以指定更精細且指定特定類型事件的條件,藉此縮小搜尋範圍。如要採取這個做法,只要在自訂搜尋方式時按一下 [新增條件群組] "" 即可。

舉例來說,您可以針對貴機構的內送電子郵件執行搜尋,以便調查收到附件的使用者。在這類使用者中,您還可以縮小搜尋範圍,選擇只顯示開啟附件的使用者「或」點選電子郵件內連結的使用者。如果您想這麼做,當您自訂搜尋方式時,請根據「Gmail 記錄事件」資料來源執行搜尋,並設定下列搜尋條件:

  • 電子郵件必須包含附件。
  • 「以及」使用者必須開啟附件「或」點選電子郵件中的連結。

注意:大多數資料來源皆支援 3 層巢狀查詢,不過「使用者」資料來源僅支援 2 層巢狀查詢,而「Chrome 瀏覽器」資料來源則不支援巢狀查詢。

根據搜尋結果執行動作

使用調查工具進行搜尋後,您可以根據搜尋結果執行動作。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後使用調查工具刪除特定郵件、將郵件標示為垃圾郵件或網路詐騙郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。如要進一步瞭解可在調查工具中執行的動作,請參閱根據搜尋結果執行動作一文。

注意:如果您限縮搜尋範圍,就能更快在調查工具中看到結果。舉例來說,如果您只搜尋過去七天內發生的事件,則相較於不限制時間範圍的搜尋,前者的查詢傳回速度會較快。

新增分組依據選項以自訂搜尋

使用調查工具自訂搜尋時,您可以將項目依照特定搜尋屬性分組,以便快速瞭解該問題的影響範圍。舉例來說,對裝置記錄事件進行搜尋時,您可以根據裝置型號將搜尋條件分組。

如何在搜尋中新增分組依據選項:

  1. 在進行搜尋時,按一下 [新增分組依據選項]
  2. 在「分組依據」下拉式選單中,為您的搜尋選擇一項條件,例如 [裝置型號]
  3. 按一下 [搜尋]

    在這個例子當中,搜尋結果清單會列出各種型號的裝置。搜尋結果內的每個項目都會顯示該裝置的型號名稱,也會顯示每個裝置型號的出現次數,次數最高者會列在最頂端。

    接著您可以捲動瀏覽搜尋結果中的各個項目,然後依序按一下「更多」圖示 "" 和 [新增搜尋條件],以加入更多搜尋條件。

適用於裝置記錄事件的條件

條件    
日期
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:

YYYY-MM-DDThh:mm:ss

裝置 ID
  • 不是
在「裝置 ID」欄位中輸入值。
事件
  • 不是

選擇下列其中一個選項:

  • 帳戶註冊變更
  • 裝置法規遵循狀態
  • 裝置作業系統更新
  • 工作資料夾支援
  • 裝置設定變更
  • 裝置遭駭
  • 密碼輸入錯誤次數
  • 可疑活動
  • 裝置應用程式變更
  • ADB 事件
  • 螢幕鎖定事件
  • 裝置擁有權變更
  • 網路事件
  • 裝置動作事件
裝置擁有者
  • 不是
  • 包含
  • 不包含
在「裝置擁有者」欄位中輸入值 (有效電子郵件地址)。
裝置類型
  • 不是

選擇下列其中一個選項:

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome 作業系統
裝置型號
  • 不是
  • 包含
  • 不包含
在「裝置型號」欄位中輸入值。
密碼輸入錯誤次數
  • 等於
  • 小於或等於
  • 大於或等於

在「數字值」欄位中輸入值。

裝置遭駭狀態
  • 不是

選擇下列其中一個選項:

  • 遭駭
  • 未遭駭
裝置屬性
  • 不是

選擇下列其中一個選項:

  • 裝置型號
  • 序號
  • IMEI 號碼
  • MEID 號碼
  • Wi-Fi MAC 位址
  • Device Policy 應用程式權限
  • 製造商
  • 裝置品牌
  • 裝置硬體
  • 系統啟動載入程式版本
裝置設定
  • 不是

選擇下列其中一個選項:

  • 開發人員選項
  • 不明來源
  • USB 偵錯
  • 驗證應用程式
應用程式 SHA-256 雜湊
  • 不是

在「SHA-256 雜湊」欄位中輸入值。

應用程式 ID
  • 不是
在「應用程式 ID」欄位中輸入值。
應用程式狀態
  • 不是

選擇下列其中一個選項:

  • 已安裝
  • 已解除安裝
  • 已更新
帳戶狀態
  • 不是

選擇下列其中一個選項:

  • 已註冊
  • 已取消註冊
註冊權限
  • 不是

選擇下列其中一個選項:

  • 裝置管理員
  • 裝置擁有者
  • 設定檔擁有者
裝置擁有權
  • 不是

選擇下列其中一個選項:

  • 公司擁有
  • 使用者擁有
新裝置 ID
  • 不是
在「裝置 ID」欄位中輸入值。
資源 ID
  • 不是

在「資源 ID」欄位中輸入值。

序號
  • 不是
在「序號」欄位中輸入值。
iOS 供應商 ID
  • 不是

在「iOS 供應商 ID」欄位中輸入值。

網域
  • 不是
  • 包含
  • 不包含
在「網域」欄位中輸入值。
裝置法規遵循狀態
  • 不是

選擇下列其中一個選項:

  • 符合規定
  • 不符合規定
作業系統屬性
  • 不是

選擇下列其中一個選項:

  • 作業系統版本
  • 版本號碼
  • 核心版本
  • 基頻版本
  • 安全性修補程式
  • 裝置系統啟動載入程式

適用於裝置的條件

條件    
裝置 ID
  • 不是

在「裝置 ID」欄位中輸入值。

裝置擁有者
  • 不是

在「裝置擁有者」欄位中輸入值 (有效電子郵件地址)。

裝置類型
  • 不是

選擇下列其中一個選項:

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome 作業系統
裝置型號
  • 不是
在「裝置型號」欄位中輸入值。
狀態
  • 不是

選擇下列其中一個選項:

  • 待核准
  • 執行中
  • 已封鎖
  • 正在清除資料
  • 已清除資料
  • 已解除佈建
  • 正在清除帳戶
  • 已清除帳戶
  • 已註冊
  • 已取消註冊
  • 已停用
  • 已核准
上次同步日期
  • 使用前
  • 使用後
在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss
裝置遭駭狀態
  • 不是

選擇下列其中一個選項:

  • 遭駭
  • 未遭駭
密碼狀態
  • 不是

選擇下列其中一個選項:

  • 開啟
  • 關閉
管理服務類型
  • 不是

選擇下列其中一個選項:

  • 基本
  • 進階
安全性修補程式更新
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss

註冊日期
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss

電信業者
  • 不是
在「電信業者」欄位中輸入值。

適用於雲端硬碟記錄事件的條件

條件    
日期
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss

文件 ID
  • 不是

在「文件 ID」欄位中輸入值。

名稱
  • 不是
  • 包含
  • 不包含

在「名稱」欄位中輸入值。

文件類型
  • 不是

選擇下列其中一個選項:

  • Google 文件
  • Google 試算表
  • Google 簡報
  • 資料夾
  • Google 表單
  • Google 繪圖
  • 共用雲端硬碟
  • 文字檔
  • JPEG
  • PDF
  • PNG
  • MP4
  • Microsoft Word
  • Microsoft Excel
  • HTML
  • MPEG
  • QuickTime
  • Microsoft PowerPoint
  • Google 協作平台
先前的顯示設定
  • 不是

選擇下列其中一個選項:

  • 不公開
  • 對內共用
  • 網域中知道連結的使用者
  • 公開在網域中
  • 對外共用
  • 知道連結的使用者
  • 公開在網路上
顯示設定
  • 不是

選擇下列其中一個選項:

  • 不公開
  • 對內共用
  • 網域中知道連結的使用者
  • 公開在網域中
  • 對外共用
  • 知道連結的使用者
  • 公開在網路上
事件
  • 不是

選擇下列其中一個選項:

  • 建立
  • 上傳
  • 編輯
  • 查看
  • 重新命名
  • 移動
  • 新增至資料夾
  • 從資料夾中移除
  • 丟進垃圾桶
  • 刪除
  • 從垃圾桶中移除
  • 下載
  • 預覽
  • 列印
  • 變更擁有者
  • 變更 ACL 編輯者
  • 變更存取權範圍
  • 變更文件瀏覽權限
  • 變更使用者存取權
  • 變更共用雲端硬碟成員身分
執行者
  • 不是
  • 包含
  • 不包含

在「執行者」欄位中輸入使用者名稱。

注意:執行者是因修改檔案而觸發事件的使用者。

擁有者
  • 不是
  • 包含
  • 不包含

在「擁有者」欄位中輸入使用者名稱。

目標
  • 不是
  • 包含
  • 不包含

在「目標」欄位中輸入值。

注意:目標是加進檔案共用對象清單或從清單中移除的使用者或群組。

瀏覽權限變更
  • 不是

選擇下列其中一個選項:

  • 內部
  • 外部
IP 位址
  • 不是
  • 包含
  • 不包含

在「IP 位址」欄位中輸入值。

網域
  • 不是
  • 包含
  • 不包含
在「網域」欄位中輸入值。

關於共用雲端硬碟中檔案的瀏覽權限

在您的「我的雲端硬碟」資料夾中,如果某個檔案只有擁有者可查看,則其瀏覽權限為「不公開」。不過在共用雲端硬碟中,即使您並未明確與他人共用某個檔案,該檔案的瀏覽權限仍會是「對內共用」(共用雲端硬碟中檔案的瀏覽權限不得為「不公開」)。

適用於 Gmail 記錄事件的條件

條件    
日期
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss

郵件 ID
  • 不是

在「郵件 ID」欄位中輸入值。

主旨
  • 不是
  • 包含
  • 不包含

在「主旨」欄位中輸入值。

事件
  • 不是

選擇下列其中一個選項:

  • 管理員隔離區
  • 附件下載
  • 附件連結點擊
  • 附件存入雲端硬碟
  • 已自動轉寄
  • 雲端硬碟項目存入雲端硬碟
  • 逾期垃圾郵件分類
  • 連結點擊
  • 標示為未讀取
  • 移出垃圾桶
  • 移至收件匣
  • 移至垃圾桶
  • 開啟
  • 接收
  • 解除隔離狀態
  • 回覆
  • 傳送
  • 使用者垃圾郵件分類
寄件者 (標頭地址)
  • 不是
  • 包含
  • 不包含

在「寄件者 (標頭地址)」欄位中輸入地址。

寄件者 (信封)
  • 不是
  • 包含
  • 不包含

在「寄件者 (信封)」欄位中輸入地址。

收件者 (信封)
  • 不是
  • 包含
  • 不包含
在「收件者 (信封)」欄位中輸入地址。
擁有者
  • 不是
  • 包含
  • 不包含

在「擁有者」欄位中輸入使用者名稱。

網域
  • 不是
  • 包含
  • 不包含

在「網域」欄位中輸入名稱。

有附件
  • 不是

選擇下列其中一個選項:

  • True
  • False
附件雜湊
  • 不是

在「SHA-256 雜湊」欄位中輸入值。

附件名稱
  • 不是
  • 包含
  • 不包含

在「附件名稱」欄位中輸入名稱。

附件惡意軟體系列
  • 不是

選擇下列其中一個選項:

  • 已知的惡意程式
  • 病毒/蠕蟲
  • 可能包含有害內容
  • 可能包含垃圾內容
  • 其他
IP 位址
  • 不是
  • 包含
  • 不包含
在「IP 位址」欄位中輸入值。
寄件者 (標頭名稱)
  • 不是
  • 包含
  • 不包含
在「寄件者 (標頭名稱)」欄位中輸入名稱。
寄件者網域
  • 不是
  • 包含
  • 不包含
在「寄件者網域」欄位中輸入名稱。
連結網域
  • 不是
  • 包含
  • 不包含
在「連結網域」欄位中輸入名稱。
附件副檔名
  • 不是
  • 包含
  • 不包含
在「附件副檔名」欄位中輸入副檔名。
SPF 網域
  • 不是
  • 包含
  • 不包含
在「SPF 網域」欄位中輸入名稱。
DKIM 網域
  • 不是
  • 包含
  • 不包含
在「DKIM 網域」欄位中輸入名稱。
流量來源
  • 不是

選擇下列其中一個選項:

  • 外部
  • 內部
垃圾郵件分類
  • 不是

選擇下列其中一個選項:

  • 安全郵件
  • 垃圾郵件
  • 網路詐騙
  • 可疑
  • 惡意軟體
垃圾郵件分類原因
  • 不是

選擇下列其中一個選項:

  • 預設
  • 使用者過去執行的動作
  • 可疑內容
  • 可疑連結
  • 可疑的附件
  • 類型
  • DMARC
  • 公開即時黑名單中的網域
  • 違反 RFC 規範
  • 違反 Gmail 政策
  • 機器學習判斷
  • 寄件者聲譽
  • 明確垃圾郵件
  • GMAIL 安全設定
地理位置
  • 不是
  • 包含
  • 不包含
在「地理位置」欄位中輸入值。
OAuth 專案 ID
  • 等於
  • 小於或等於
  • 大於或等於
輸入「OAuth 專案 ID」的值。
目標連結網址
  • 不是
  • 包含
  • 不包含
輸入「目標連結網址」的值。
目標附件雜湊
  • 不是
輸入「目標附件雜湊」的值。
目標附件名稱
  • 不是
輸入「目標附件名稱」的值。
目標附件惡意軟體系列
  • 不是

選擇下列其中一個選項:

  • 可能包含有害內容
  • 已知的惡意程式
  • 其他
  • 可能包含垃圾內容
  • 病毒/蠕蟲
目標雲端硬碟 ID
  • 不是
  • 包含
  • 不包含
輸入「目標雲端硬碟 ID」的值。

適用於 Gmail 郵件的條件

條件    
主旨
  • 不是

在「主旨」欄位中輸入主旨。

郵件 ID
  • 不是

在「郵件 ID」欄位中輸入值。

日期
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss

寄件者
  • 不是

在「寄件者」欄位中輸入寄件者。

收件者
  • 不是

在「收件者」欄位中輸入收件者。

標籤
  • 不是

選擇下列其中一個選項:

  • 收件匣
  • 垃圾桶
  • 垃圾郵件
  • 未讀取
  • 已加星號
  • 網路詐騙
  • 管理員隔離區
附件名稱
  • 不是

在「附件名稱」欄位中輸入附件名稱。

有附件
  • 不是

選擇下列其中一個選項:

  • True
  • False
副本
  • 不是
在「副本」欄位中輸入有效電子郵件地址。
密件副本
  • 不是
在「密件副本」欄位中輸入有效電子郵件地址。
 
所有內容
  • 包含字詞
  • 不包含字詞
在「所有內容」欄位中輸入值。
郵件大小
  • 大於或等於
  • 小於或等於
在「郵件大小」欄位中輸入值。

適用於使用者記錄事件的條件

條件    
受影響的使用者
  • 不是
  • 包含
  • 不包含

在「受影響的使用者」欄位中輸入使用者。

注意:

  • 只有在搜尋系統對使用者帳戶執行的動作時,才需使用「受影響的使用者」篩選器。
  • 在搜尋中使用「使用者」篩選條件,可將篩選條件設為在您正在調查的使用者帳戶。
驗證類型
  • 不是

選擇下列其中一個選項:

  • 備用碼 (系統會要求使用者輸入備用驗證碼)
  • Google Authenticator (系統會要求使用者輸入透過 Authenticator 應用程式取得的動態密碼)
  • Google 提示
  • 對任何手機進行 IDV (系統會要求使用者提供手機號碼,並輸入傳送至該號碼的驗證碼)
  • 透過預先註冊的手機進行身分驗證
  • 內部雙重驗證
  • 驗證員工 ID (使用者證明自己知道員工 ID)
  • 輸入從預先註冊的電子郵件所收到的驗證碼 (使用者證明自己知道預先註冊的電子郵件地址)
  • 輸入從預先註冊的手機所收到的驗證碼 (使用者證明自己知道預先註冊的手機號碼)
  • 登入位置 (使用者從自己平時登入帳戶的位置登入)
  • 離線動態密碼 (使用者輸入透過 Android 手機設定取得的動態密碼)
  • 其他
  • 安全金鑰 (使用者通過安全金鑰密碼編譯驗證)
日期
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss

網域
  • 不是
  • 包含
  • 不包含
在「網域」欄位中輸入網域名稱。
事件
  • 不是

選擇下列其中一個選項:

  • 成功登入
  • 登入失敗
  • 登入驗證
  • 登出
  • 變更密碼
  • 已重設密碼
  • 註冊兩步驟驗證
  • 取消註冊兩步驟驗證
  • 修改備援資訊
  • 產生備用碼
IP 位址
  • 不是
  • 包含
  • 不包含
在「IP 位址」欄位中輸入 IP 位址。
是次要驗證條件
  • 不是

選擇下列其中一個選項:

  • True
  • False
為可疑
  • 不是

選擇下列其中一個選項:

  • True
  • False
登入時間
  • 使用前
  • 使用後

選擇下列其中一個選項:

  • 使用前
  • 使用後
登入類型
  • 不是

選擇下列其中一個選項:

  • Exchange
  • Google 密碼
  • 重新驗證
  • SAML
  • 不明
使用者
  • 不是
  • 包含
  • 不包含

在「使用者」欄位中輸入值。

注意:

  • 在搜尋中使用「使用者」篩選條件,可將篩選條件設為在您正在調查的使用者帳戶。
  • 只有在搜尋系統對使用者帳戶執行的動作時,才需使用「受影響的使用者」篩選器。

適用於使用者的條件

條件    
電子郵件
  • 不是

在「電子郵件」欄位中輸入有效電子郵件地址。

注意:這個地址可用來比對使用者的主要電子郵件地址或其他電子郵件地址。

名字
  • 不是

在「名字」欄位中輸入值。

姓氏
  • 不是

在「姓氏」欄位中輸入值。

上次登入時間
  • 使用前
  • 使用後

在「日期」欄位中輸入日期。
請使用下列格式:
YYYY-MM-DDThh:mm:ss

超級管理員
  • 不是

選擇下列其中一個選項:

  • True
  • False
委派的管理員
  • 不是

選擇下列其中一個選項:

  • True
  • False
已註冊兩步驟驗證
  • 不是

選擇下列其中一個選項:

  • True
  • False
所屬機構強制執行兩步驟驗證
  • 不是

選擇下列其中一個選項:

  • True
  • False
已停權 ID
  • 不是

選擇下列其中一個選項:

  • True
  • False
登入時變更密碼
  • 不是

選擇下列其中一個選項:

  • True
  • False
信箱已設定完成
  • 不是

選擇下列其中一個選項:

  • True
  • False

這對您有幫助嗎?
我們應如何改進呢?