Подробное описание доступных действий и порядок их выполнения изложены ниже.
Примечания
- Доступные источники данных зависят от версии Google Workspace.
- Администраторам может потребоваться указать обоснование для выполнения действий с результатами поиска, если этот параметр задал суперадминистратор в настройках инструмента "Анализ безопасности".Подробнее о том, как задавать настройки анализа…
- Чем точнее задан временной промежуток для поиска, тем быстрее появляются результаты. Например, если указать, что вам нужны данные только за последнюю неделю, поиск будет выполнен быстрее, чем без этого условия.
- Если при выполнении массового действия истекает время ожидания, сократите временной промежуток для поиска и повторите попытку.
Доступ к инструменту "Анализ безопасности"
- Инструмент "Анализ безопасности" доступен в версиях Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus.
- Администраторы Cloud Identity Premium, Frontline Standard, Enterprise Standard и Education Standard также могут использовать инструмент "Анализ безопасности", но список источников данных для них ограничен.
- Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Если поиск для определенного источника данных недоступен, можно найти информацию на странице аудита и анализа. Подробнее о расширенных возможностях аудита и анализа…
- В инструменте "Анализ безопасности" можно искать действия всех пользователей, независимо от того, какая у них версия продукта Google.
Типы действий, доступных в инструменте "Анализ безопасности"
Действия с устройствамиВ процессе поиска по устройствам или событиям журнала устройства вы можете выбрать в результатах отдельные устройства и выполнить с ними перечисленные ниже действия.
- Одобрение устройства. Если вы установили флажок Включить активацию устройств, вам потребуется одобрять устройства, зарегистрированные после включения этой настройки. В противном случае данные на них не будут синхронизироваться с доменом. Кроме этого, пользователям таких устройств придется установить приложение Device Policy, чтобы синхронизировать данные с Google Workspace.
- Заблокировать устройство. Доступ к данным Google Workspace на этом устройстве будет запрещен, но пользователь сможет работать с Gmail, Календарем и контактами с компьютера или через мобильный браузер.
- Выполнить очистку аккаунта на устройстве. С устройства будут дистанционно удалены только данные Google Workspace. Подробнее…
- Удаленная очистка устройства. С устройства будут дистанционно удалены все данные. Подробнее…
- Отмена удаленной очистки устройства.
Выполнив поиск по событиям журнала Диска, вы можете выбрать в результатах отдельные файлы, проверить разрешения на доступ к ним и т. д.
Выполните следующие действия:
- После того как вы выполните поиск по событиям журнала Диска в инструменте "Анализ безопасности", установите флажки напротив интересующих вас файлов.
- Нажмите Действия > Проверить разрешения на доступ. Вы попадете на страницу Разрешения.
На вкладке Файлы, которая открывается по умолчанию, показаны объекты, включенные в результаты поиска. Здесь можно настроить разрешения на доступ к файлам. В настоящее время на этой вкладке не указываются общие диски. - На вкладке Люди показываются пользователи и группы, у которых есть доступ к файлам.
У пользователей или групп в этом списке есть доступ к одному или нескольким объектам из результатов поиска. На этой вкладке можно управлять доступом. - На вкладке Ссылки можно проверить и изменить настройки доступа по ссылкам к выбранным файлам.
- Чтобы предоставить доступ к этим файлам другим пользователям, нажмите Добавить пользователей. Вы можете указать сразу несколько имен, разделив их запятыми, а затем выбрать необходимый уровень доступа.
Примечание. На вкладке "Общий диск" можно изменить параметры доступа только для файлов с общего диска. Остальные объекты не будут видны на этой вкладке.
- Откройте вкладку Несохраненные изменения и проверьте все изменения, прежде чем сохранять их.
Действия с общими дисками
Если вам назначено право Инструмент "Анализ безопасности" Обновление и удаление файлов на Диске, вы можете изменять параметры общих дисков и файлов на них, а именно:
- изменять, удалять и назначать уровни доступа для пользователей общего диска;
- изменять, удалять и назначать уровни доступа к отдельным файлам на общем диске.
Примечание. Хотя Google Диск разрешает открывать доступ к папкам и менять их владельцев, инструмент "Анализ безопасности" не дает администраторам возможности выполнять эти действия.
После осуществления поиска по сообщениям Gmail вы можете выбрать в результатах отдельные письма и выполнить с ними следующие действия (они применяются только к письмам в Gmail и не применяются к сообщениям в Google Группах):
- посмотреть заголовок;
- посмотреть сообщения;
- удалить сообщения;
- восстановить сообщения;
- отметить письмо как спам;
- отметить сообщение как фишинговое;
- переместить сообщение во входящие (при этом письмо перестанет быть помечено как фишинговое или спам);
- переместить сообщение в карантин (письма помещаются в карантин по умолчанию).
Важно! Отправленные в карантин письма автоматически удаляются в соответствии с правилами хранения, заданными в Сейфе. Если срок хранения письма превышает срок, заданный правилами хранения в Сейфе, оно удаляется, а не перемещается в карантин. Срок хранения по умолчанию составляет 30 дней с даты отправки или получения письма. С помощью Сейфа вы также можете настроить специальные правила хранения.
Например, чтобы отправить письмо во входящие пользователя, выполните указанные ниже действия.
- Выполнив поиск в инструменте "Анализ безопасности", установите флажки напротив нужных сообщений.
- Нажмите Действия.
- Выберите Переместить сообщение во входящие.
- Нажмите Переместить во входящие.
- Чтобы проверить результат этого действия, нажмите Посмотреть внизу страницы.
В столбце "Результат" будет показан статус действия (например, Письмо перемещено во входящие).
Примечание. Вы также можете просматривать содержимое сообщений Gmail. Подробнее…
Завершив поиск по пользователям, вы можете выбрать в результатах нужные аккаунты и выполнить с ними следующие действия:
- восстановить;
- заблокировать.
Например, чтобы заблокировать отдельных найденных пользователей, выполните указанные ниже действия.
- Выполнив поиск в инструменте "Анализ безопасности", установите флажки напротив имен нужных пользователей.
- Нажмите Действия.
- Выберите Заблокировать.
- Для подтверждения нажмите Заблокировать пользователей.
Точно так же можно разблокировать пользователей.
После того как вы выполните поиск по событиям в журнале пользователя, вы можете выбрать в результатах аккаунты отдельных пользователей и выполнить с ними следующие действия:
- принудительно сменить пароль;
- восстановить;
- заблокировать.
Например, чтобы заблокировать отдельных найденных пользователей, выполните указанные ниже действия.
- Выполнив поиск в инструменте "Анализ безопасности", установите флажки напротив имен нужных пользователей.
- Нажмите Действия.
- Выберите Заблокировать.
- Для подтверждения нажмите Заблокировать пользователей.
Точно так же можно разблокировать пользователей.
После того как вы выполните поиск по событиям в журнале Meet, можно выполнить действие Завершить для всех и удалить всех участников выбранных встреч, которые относятся к вашей организации. Это может понадобиться, например, чтобы завершить встречу, если ее организатор не может присутствовать или мероприятие окончилось.
Подробнее о том, как завершать встречи с помощью инструмента "Анализ безопасности"…
Массовые действия с результатами поиска
В инструменте "Анализ безопасности" можно выполнять действия не только с отдельными результатами поиска, но и массовые действия с результатами на одной или всех страницах.
Примечание. Если при выполнении массового действия истекает время ожидания, сократите временной промежуток для поиска и повторите попытку.
Чтобы выполнить массовое действие с результатами поиска на текущей странице:
- Установите флажок над крайним слева столбцом.
Напротив всех результатов на странице будут установлены флажки. - Нажмите Действия на панели заголовка.
Чтобы выполнить массовое действие с результатами поиска на всех страницах:
- Установите флажок над крайним слева столбцом.
- Нажмите Выбрать все результаты.
Напротив всех результатов на всех страницах будут установлены флажки. - Нажмите Действия на панели заголовка.
Примечание. Если вы перейдете на другую страницу, не завершив массовое действие, все флажки будут сняты и вам потребуется установить их снова.
Как проверить статус массового действия
В консоли администратора Google можно проверять статус крупных задач.
Например, если одно из действий в инструменте "Анализ безопасности" занимает много времени, вы можете выйти из консоли администратора, а позже вернуться и проверить его статус.
Чтобы узнать статус, нажмите на значок Задачи в верхней части консоли администратора.
Подробнее о проверке статуса крупных задач…
Формирование сводных результатов поиска по столбцу
В инструменте "Анализ данных" можно сформировать сводные результаты поиска по столбцу, чтобы проверить другие источники данных, связанные с выбранным элементом. Например, выполнив поиск по событиям журнала Gmail, выберите одно из сообщений и нажмите на имя пользователя в столбце "Получатель", чтобы найти в журнале Диска события, связанные с файлами, владельцем которых является этот пользователь. Это позволяет проанализировать данные о пользователе из двух источников – журнала событий Gmail и журнала событий Диска.
Чтобы найти события журнала Диска, связанные с пользователем, который фигурирует в результатах поиска по событиям журнала Gmail, сделайте следующее:
- Выполнив поиск в инструменте "Анализ безопасности", наведите указатель мыши на нужного пользователя в столбце "Получатель".
- Нажмите на значок меню (три расположенные друг над другом точки) рядом с именем пользователя.
- Выберите События журнала Диска Владелец.
Настроенные условия поиска автоматически применяются к поиску по событиям журнала Диска. - Укажите дополнительные условия поиска (например, название или видимость документа).
- Нажмите Поиск.
За основу для сведения данных можно брать любые элементы в результатах поиска, например весь столбец, имя отправителя, тему или идентификатор сообщения и другие данные.
Отмена действий
В инструменте "Анализ безопасности" можно отменять незавершенные действия (например, блокировку пользователей). Для этого нажмите Отмена в нижней части страницы "Анализ".
Если отменить незаконченное массовое действие, оно будет выполнено частично.
Примечание. Действия, связанные с экспортом, вправе отменять только тот администратор, который их запустил. Все остальные действия могут отменять администраторы, имеющие полномочия в отношении затрагиваемых данных (например, "Диск", "Gmail" или "Мобильные устройства").
Повтор действий
При выполнении массовых действий могут возникать ошибки – например, из-за отсутствия некоторых пользователей в результатах поиска. В этом случае вы можете повторить действие.
- После завершения действия в инструменте "Анализ безопасности" нажмите ПОДРОБНЕЕ.
- На панели Сведения о действии нажмите ПОВТОРИТЬ.
- Выберите действие в окне повторного выполнения, например ОТМЕТИТЬ КАК СПАМ.
Экспорт результатов в таблицу в папке "Мой диск"
Чтобы сохранить результаты действий в таблице Google в папке "Мой диск", сделайте следующее:
- Нажмите кнопку "Экспорт" в верхней части таблицы с результатами действий.
- Введите название файла.
- Нажмите Экспорт.
Примечания по экспорту результатов
При работе с экспортированными результатами действий примите во внимание изложенное ниже.
- После того как вы нажмете кнопку "Экспорт", в папке "Мой диск" будет создана таблица Google с результатами действий. Если их окажется много, экспорт займет больше времени, а вместо одной таблицы может появиться несколько. Всего разрешено экспортировать не более 30 млн строк.
- В процессе экспорта таблице Google присваивается временное название, например TMP-1-<название>. Если файлов окажется больше одного, им будут даны названия TMP-2-<название>, TMP-3-<название> и т. д. После окончания экспорта файлы будут автоматически переименованы в <название> [1 из N], <название> [2 из N] и т. д. Если все результаты поместятся в один файл, он будет переименован в <название>.
- Права доступа к файлам с экспортированными результатами определяются настройками, заданными в домене. Например, если по умолчанию создаваемые объекты видны всем пользователям в организации, то файлы с результатами действий тоже будут доступны каждому сотруднику.