Acties uitvoeren op basis van zoekresultaten

Tool voor beveiligingsonderzoek
Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool, kunt u verschillende acties uitvoeren op basis van de zoekopdracht. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en vervolgens de onderzoekstool gebruiken om specifieke berichten te verwijderen, berichten te markeren als spam of phishing, berichten in de quarantaine te plaatsen of berichten te sturen naar de inbox van gebruikers.

Bekijk de gedeelten hieronder voor meer informatie over de vele acties die u kunt uitvoeren in de onderzoekstool en instructies voor elke actie.

Opmerking:

  • Welke gegevensbronnen u ziet, hangt af van uw versie van Google Workspace.
  • Voordat beheerders in uw organisatie acties uitvoeren op zoekresultaten, zien ze wellicht de mogelijkheid om een reden in te voeren voor de actie(s). Als u hoofdgebruiker bent, kunt u deze optie aanzetten door de instellingen voor de onderzoekstool aan te passen. Zie Instellingen configureren voor onderzoeken voor instructies.
  • Als u een kortere periode instelt voor een zoekopdracht, verschijnen de resultaten sneller in de onderzoekstool. Als u bijvoorbeeld de zoekopdracht verfijnt zodat alleen gebeurtenissen van de afgelopen week worden weergegeven, ziet u de resultaten sneller dan wanneer u zoekt zonder de zoekopdracht te beperken tot een bepaalde periode.
  • Als er een time-out optreedt terwijl er een bulkactie wordt uitgevoerd, maakt u de periode voor de zoekopdracht korter en voert u de zoekopdracht opnieuw uit.

Uw toegang tot de tool voor beveiligingsonderzoek

  • Voor de tool voor beveiligingsonderzoek is een premium Google Workspace-versie (Enterprise Standard, Enterprise Plus of Education Plus) vereist.
  • U kunt via de Chrome-browser toegang krijgen tot logboeken van de Google-apps die u heeft geïnstalleerd. Bijvoorbeeld Gmail.
  • Of u een zoekopdracht kunt uitvoeren in de onderzoekstool, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. Als u geen zoekopdracht kunt uitvoeren in de onderzoekstool voor een specifieke gegevensbron, kunt u wel de controle- en onderzoekspagina gebruiken.
  • U kunt in de onderzoekstool een zoekopdracht uitvoeren voor alle gebruikers, ongeacht de Google-versie die ze gebruiken.

Typen acties in de onderzoekstool

Acties voor apparaten

Als u een zoekopdracht uitvoert op Apparaten of Gebeurtenissen in het apparaatlogboek, kunt u apparaten selecteren in de zoekresultaten en dan de volgende acties uitvoeren:

  • Apparaat goedkeuren: Hiermee wordt het apparaat goedgekeurd. Als u Apparaatactivatie aanzetten heeft geselecteerd, moeten apparaten die worden geregistreerd nadat apparaatactivatie is aangezet, worden goedgekeurd voordat ze kunnen synchroniseren met uw domein. Als u apparaatactivatie aanzet, moet de apparaatgebruiker de Device Policy-app installeren om te synchroniseren met Google Workspace.
  • Apparaat blokkeren: Hiermee wordt de toegang tot Google Workspace-gegevens (Gmail, Agenda en Contacten) op het apparaat geblokkeerd. De gebruiker heeft nog steeds toegang tot Gmail, Agenda en Contacten via een desktop of een mobiele browser.
  • Account van apparaat wissen door beheerder: Hiermee worden alleen Google Workspace-gegevens op afstand gewist van het apparaat. Zie Bedrijfsgegevens verwijderen van een mobiel apparaat voor meer informatie.
  • Apparaat op afstand wissen: Hiermee worden alle gegevens op afstand gewist van het apparaat. Zie Bedrijfsgegevens verwijderen van een mobiel apparaat voor meer informatie.
  • Apparaat op afstand wissen annuleren: Hiermee wordt het op afstand wissen van een apparaat geannuleerd.
Acties voor Drive-logboekgebeurtenissen

Als u een zoekopdracht uitvoert op Drive-logboekgebeurtenissen, kunt u onder andere bestanden selecteren in de zoekresultaten en bekijken welke rechten deze bestanden hebben.

Doe het volgende:

  1. Nadat u een zoekopdracht heeft uitgevoerd in de onderzoekstool op Drive-logboekgebeurtenissen, vinkt u in de zoekresultaten de vakjes aan voor de betreffende bestanden.
  2. Klik op Acties > Bestandsrechten controleren om de pagina Rechten te openen.
    Op het tabblad Bestanden, dat standaard wordt getoond, staan bestanden die zijn opgenomen in de zoekresultaten. Hier kunt u de toegang tot die bestanden beheren. Bestanden in gedeelde Drives worden hier momenteel niet weergegeven.
  3. Klik op Mensen om te zien welke gebruikers en groepen toegang hebben tot de bestanden.
    Mensen in deze lijst hebben toegang tot een of meer items uit de zoekresultaten. In deze weergave kunt u de toegang beheren van mensen (gebruikers en groepen).
  4. Klik op Links om de instellingen voor het delen van links te bekijken of te wijzigen voor de geselecteerde bestanden.
  5. Klik op Gebruikers toevoegen als u meer gebruikers toegang tot bestanden wilt geven. U kunt meerdere gebruikers toevoegen met een door komma's gescheiden lijst. U kunt het toegangsniveau selecteren voor de gebruikers die u toevoegt.

    Opmerking: Voor acties op het tabblad Gedeelde Drives kunt u alleen de toegang bewerken voor bestanden binnen de gedeelde Drive. Bestanden buiten gedeelde Drives worden niet getoond op dit tabblad.
     
  6. Klik op Wijzigingen in behandeling om de wijzigingen te bekijken voordat u deze opslaat.

Acties voor gedeelde Drives

Als u het recht Tool voor beveiligingsonderzoek and then Drive updaten of verwijderen heeft, kunt u ook gedeelde Drives en de bestanden daarin aanpassen:

  • U kunt het toegangsniveau van een lid van een gedeelde Drive wijzigen, verwijderen of verhogen.
  • U kunt de toegangsrechten die gebruikers rechtstreeks zijn gegeven tot een bestand in een gedeelde Drive wijzigen, verwijderen of verhogen.

Opmerking: Hoewel mappen delen en het eigendom van mappen wijzigen is toegestaan in Google Drive, kunnen beheerders dit niet in de onderzoekstool.

Acties voor Gmail-berichten en Gmail-logboekgebeurtenissen

Als u een zoekopdracht uitvoert op Gmail-berichten of Gmail-logboekgebeurtenissen, kunt u berichten selecteren in de zoekresultaten en de volgende acties uitvoeren (de beschikbare acties worden alleen toegepast op berichten in Gmail, niet in Google Groepen):

  • Berichtkop bekijken
  • Berichten weergeven
  • Berichten verwijderen
  • Berichten herstellen
  • Bericht markeren als spam
  • Bericht markeren als phishing
  • Bericht in inbox plaatsen (hierdoor wordt ook de spam- of phishing-classificatie verwijderd)
  • Bericht in de quarantaine plaatsen (berichten worden in de standaardquarantaine geplaatst)

    Belangrijk: Berichten die in de quarantaine worden geplaatst, worden automatisch verwijderd volgens de instellingen in uw Vault-bewaarbeleid. Als deze berichten dus ouder zijn dan ingesteld in het Vault-bewaarbeleid, worden ze verwijderd in plaats van in de quarantaine geplaatst. Standaard worden e-mails 30 dagen bewaard nadat ze zijn verstuurd of gekregen. Met Vault kunt u ook aangepaste bewaarregels instellen.

Doe bijvoorbeeld het volgende als u een bericht in de inbox van een gebruiker wilt plaatsen:

  1. Nadat u de zoekopdracht heeft uitgevoerd in de onderzoekstool, vinkt u in de zoekresultaten de vakjes aan voor de betreffende berichten.
  2. Klik op Acties.
  3. Kies Bericht in de inbox plaatsen.
  4. Klik om te bevestigen op Naar inbox sturen.
  5. Klik onderaan de pagina op Bekijken om het resultaat van de actie te bekijken.
    In de kolom Resultaat staat de status van de actie, bijvoorbeeld: Het bericht is verstuurd naar de inbox.

Opmerking: U kunt ook de inhoud van Gmail-berichten bekijken. Zie De inhoud van Gmail-berichten bekijken voor meer informatie.

Acties voor gebruikers

Wanneer u een zoekopdracht uitvoert op gebruikers, kunt u gebruikers selecteren in de zoekresultaten en vervolgens de volgende acties uitvoeren:

  • Gebruiker herstellen
  • Gebruiker opschorten

Doe bijvoorbeeld het volgende als u specifieke gebruikers in de zoekresultaten wilt opschorten:

  1. Nadat u de zoekopdracht heeft uitgevoerd in de onderzoekstool, vinkt u in de zoekresultaten de vakjes aan voor de betreffende gebruikers.
  2. Klik op Acties.
  3. Kies Gebruiker opschorten.
  4. Klik op Gebruikers opschorten om te bevestigen.

Met vergelijkbare stappen kunt u gebruikers herstellen.

Acties voor logboekgebeurtenissen over gebruikers

Als u een zoekopdracht uitvoert op logboekgebeurtenissen over gebruikers, kunt u gebruikers selecteren in de zoekresultaten en dan de volgende acties uitvoeren:

  • Wachtwoord wijzigen afdwingen
  • Gebruiker herstellen
  • Gebruiker opschorten

Doe bijvoorbeeld het volgende als u specifieke gebruikers in de zoekresultaten wilt opschorten:

  1. Nadat u de zoekopdracht heeft uitgevoerd in de onderzoekstool, vinkt u in de zoekresultaten de vakjes aan voor de betreffende gebruikers.
  2. Klik op Acties.
  3. Kies Gebruiker opschorten.
  4. Klik op Gebruikers opschorten om te bevestigen.

Met vergelijkbare stappen kunt u gebruikers herstellen.

Acties voor Meet-logboekgebeurtenissen

Als u een zoekopdracht uitvoert op Meet-logboekgebeurtenissen, kunt u de actie Vergadering beëindigen voor iedereen gebruiken om alle gebruikers te verwijderen uit geselecteerde vergaderingen binnen uw organisatie. Zo kunt u bijvoorbeeld voorkomen dat gebruikers deelnemen aan vergaderingen zonder toezicht als de host van de vergadering niet aanwezig is of nadat een evenement voorbij is.

Zie Vergaderingen beëindigen via de onderzoekstool voor meer informatie.

Bulkacties op zoekresultaten

U kunt individuele items selecteren in de zoekresultaten en er acties op uitvoeren, maar u kunt ook bulkacties uitvoeren op een hele pagina of op alle resultaten op alle pagina's.

Opmerking: Als er een time-out optreedt terwijl er een bulkactie wordt uitgevoerd, maakt u de periode voor de zoekopdracht korter en voert u de bulkactie opnieuw uit.

Ga als volgt te werk om bulkacties uit te voeren op de zoekresultaten op de pagina die u momenteel bekijkt:

  1. Klik op het selectievakje bovenaan de linkerkolom.
    Alle vakjes op de huidige pagina worden aangevinkt.
  2. Klik in de koptekstbalk op Acties.

Ga als volgt te werk om bulkacties uit te voeren op alle zoekresultaten op alle pagina's:

  1. Klik op het selectievakje bovenaan de linkerkolom.
  2. Klik op Alle resultaten selecteren.
    Alle vakjes op alle pagina's met zoekresultaten worden aangevinkt.
  3. Klik in de koptekstbalk op Acties.

    Opmerking: Als u tijdens dit proces op de volgende pagina in de zoekresultaten klikt, worden de vinkjes weggehaald op alle pagina's van de zoekresultaten en moet u opnieuw beginnen.

De status van de bulkacties controleren

U kunt in de Google Beheerdersconsole zien of grote taken nog in uitvoering zijn of al zijn afgerond.

Als het bijvoorbeeld lang duurt voordat een bulkactie is uitgevoerd in de onderzoekstool, kunt u de Beheerdersconsole verlaten en later terugkeren om de status van de actie te bekijken.

Klik bovenaan de Beheerdersconsole op Taken om de status van grote taken te bekijken.

  Waar u moet klikken op 'Taken'.

Zie ook De status van grote taken controleren voor meer informatie.

Draaien gebaseerd op kolommen in de zoekresultaten

U kunt de zoekresultaten in de onderzoekstool draaien, gebaseerd op kolommen, om gegevens uit een andere gegevensbron te bekijken over een item. U kunt bijvoorbeeld zoeken in Gmail-logboekgebeurtenissen en vervolgens op een ontvanger in de kolom Ontvanger klikken om een zoekopdracht naar Drive-gebeurtenissen te starten, gebaseerd op de eigenaar. Zo kunt u voor een specifieke gebruiker gegevens uit 2 verschillende gegevensbronnen analyseren: zowel Gmail-logboekgebeurtenissen als Drive-logboekgebeurtenissen.

Ga als volgt te werk om de zoekresultaten te draaien van een Gmail-logboekgebeurtenis naar een Drive-logboekgebeurtenis:

  1. Nadat u de zoekopdracht heeft uitgevoerd in de onderzoekstool, plaatst u de muisaanwijzer op de betreffende gebruiker in de kolom Ontvanger.
  2. Klik op het menu-icoon (3 verticale puntjes) voor die gebruiker.
  3. Kies Drive-logboekgebeurtenissen and then Eigenaar.
    De zoekcriteria voor zoeken in Drive-logboekgebeurtenissen worden automatisch ingevoerd.
  4. Voeg extra voorwaarden toe aan de zoekopdracht, zoals Titel of Zichtbaarheid.
  5. Klik op Zoeken.

Op veel items in de zoekresultaten kunt u andere draaiacties uitvoeren. U kunt bijvoorbeeld draaien op een hele kolom, het onderwerp van een bericht, de bericht-ID of de afzender.

Acties annuleren

U kunt acties in de onderzoekstool annuleren voordat ze zijn afgerond. Als u bijvoorbeeld een actie heeft gestart om een aantal gebruikers op te schorten, klikt u onderaan de pagina Onderzoek op Annuleren.

Als u een bulkactie annuleert, krijgt u gedeeltelijke resultaten als de actie al in uitvoering is.

Opmerking: Voor exportacties geldt dat alleen de beheerder die de export heeft gestart, deze kan annuleren. Voor alle andere acties geldt dat beheerders die rechten hebben om acties uit te voeren op de betreffende gegevens (zoals Drive, Gmail of Mobiel) de actie kunnen annuleren.

Acties opnieuw proberen

Wanneer u een bulkactie uitvoert, kunnen er af en toe zoekfouten optreden, bijvoorbeeld als sommige gebruikers niet in de zoekresultaten zijn opgenomen. Als dit gebeurt, kunt u acties opnieuw proberen:

  1. Nadat u een actie heeft afgerond in de onderzoekstool, klikt u op Details bekijken.
  2. Klik in het deelvenster Actiedetails op OPNIEUW PROBEREN.
  3. Klik in het venster Opnieuw proberen op de actie. Klik bijvoorbeeld op MARKEREN ALS SPAM.

Actieresultaten exporteren naar een Spreadsheets-bestand in de map Mijn Drive

Ga als volgt te werk om actieresultaten op te slaan in de map Mijn Drive:

  1. Klik bovenaan de tabel met de actieresultaten op de knop Exporteren file_download_grey600_24dp.png.
  2. Typ een naam voor de export.
  3. Klik op Exporteren.

Geëxporteerde actieresultaten bekijken

Het volgende geldt bij het bekijken van geëxporteerde actieresultaten:

  • Nadat u bovenaan de tabel op de knop Exporteren file_download_grey600_24dp.png heeft geklikt, wordt er een Google-spreadsheet van de actieresultaten gemaakt in de map Mijn Drive. Afhankelijk van de hoeveelheid resultaten kan de export enige tijd duren en kunnen er meerdere Google-spreadsheets worden gemaakt. De export kan in totaal niet meer dan 30 miljoen rijen bevatten.
  • Tijdens de export worden er Google-spreadsheets gemaakt met een tijdelijke naam, zoals TMP-1-<titel>. Als er meerdere Google-spreadsheets worden gemaakt, krijgen aanvullende bestanden de naam TMP-2-<titel>, TMP-3-<titel> etc. Wanneer de export is voltooid, krijgen de bestanden automatisch de naam <titel> [1 van N], <titel> [2 van N] etc. Als de geëxporteerde gegevens in één Google-spreadsheet staan, krijgt dit de naam <titel>.
  • Welke deelrechten gelden voor bestanden met de geëxporteerde actieresultaten hangt af van uw domeinconfiguratie. Als gemaakte bestanden bijvoorbeeld standaard worden gedeeld met iedereen in het bedrijf, geldt deze zichtbaarheid ook voor de geëxporteerde gegevens.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
5613015380112316139
true
Zoeken in het Helpcentrum
true
true
true
false
false