Éditions compatibles avec cette fonctionnalité: Frontline Standard et Frontline Plus; Business Plus; Enterprise Standard et Enterprise Plus; Education Fundamentals, Education Standard et Education Plus; Enterprise Essentials et Enterprise Essentials Plus; G Suite Business. Comparer votre édition
La page de l'outil d'investigation et de sécurité vous permet de rechercher et de résoudre les problèmes de sécurité liés aux événements de journaux Vault. Vous pouvez consulter un enregistrement des actions effectuées dans la console Vault, telles que la modification de règles de conservation ou le téléchargement de fichiers d'exportation par des utilisateurs.
Sur cette page
- Effectuer une recherche dans la console d'administration
- Descriptions des attributs
- Gérer vos investigations
Effectuer une recherche dans la console d'administration
Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.
-
Connectez-vous à la console d'administration Google avec un compte administrateur.
Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.
-
Accédez à Menu
Sécurité > Centre de sécurité > Outil d'investigation.
Vous devez disposer du droit d'administrateur Centre de sécurité.
- Cliquez sur Source de données et sélectionnez Événements de journaux Vault.
- Cliquez sur Ajouter une condition.
Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées. - Cliquez sur Attribut
sélectionnez une option.
Pour obtenir la liste complète des attributs, consultez Descriptions des attributs ci-dessous. - Sélectionnez un opérateur.
- Saisissez une valeur ou sélectionnez-en une dans la liste déroulante.
- (Facultatif) Pour ajouter d'autres critères de recherche, répétez les étapes 4 à 7.
- Cliquez sur Rechercher.
Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page. - (Facultatif) Pour enregistrer votre enquête, cliquez sur Enregistrer
Remarques
- Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
- Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.
- Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
| Attribut | Description |
|---|---|
| Acteur | Adresse e-mail de l'utilisateur ayant réalisé l'action. |
| Informations supplémentaires | Contient des informations supplémentaires sur la charge utile, telles que la durée et les conditions de conservation |
| Date | Date et heure auxquelles l'événement s'est produit (affichées dans le fuseau horaire par défaut de votre navigateur). |
| Événement | Action consignée, telle que Afficher l'investigation, Afficher le document externe ou Ajouter un collaborateur (début) |
|
Numéro de système autonome de l'adresse IP Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche. |
Numéro de système autonome (ASN) de l'adresse IP, subdivision et région associés à l'entrée de journal. Pour examiner le numéro de système autonome de l'adresse IP, le code correspondant à la subdivision et le code régional où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche. |
| ID du litige |
ID du litige. Cet ID n'est pas disponible pour tous les événements, mais uniquement pour ceux qui concernent un litige. |
| Nom de l'unité organisationnelle | Nom de l'unité organisationnelle concernée par l'action |
| Requête |
Paramètres de recherche saisis par l'utilisateur pour une recherche spécifique |
| Nom de la ressource | Nom de la ressource de l'action, tel que le nom d'une obligation de conservation ou d'une requête enregistrée |
| URL de la ressource | URL d'un document consulté par l'utilisateur |
| Utilisateur cible |
Adresse e-mail de l'utilisateur concerné (par exemple, celui d'un utilisateur soumis à une obligation de conservation) |
Gérer vos investigations
Ouvrir la section | Tout réduire et revenir en haut de la page
Afficher la liste des investigationsPour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.
Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.
Remarque : Juste au-dessus de votre liste d'investigations, sous Accès rapide, vous pouvez afficher les investigations récemment enregistrées.
En tant que super-administrateur, cliquez sur Paramètres pour effectuer les actions suivantes :
- Modifier le fuseau horaire pour vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
- Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
- Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
- Activer ou désactiver l'option Activer la justification des actions.
Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos investigations.
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes
.
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément
.
- (Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas
, puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
Vous pouvez exporter les résultats d'une recherche dans l'outil d'investigation vers Google Sheets ou un fichier CSV. Pour savoir comment procéder, consultez Exporter les résultats de recherche.
Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.
Pour en savoir plus, consultez Enregistrer et partager des enquêtes.
Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.
Articles associés
- Utiliser l'outil d'investigation avec le tableau de bord de sécurité
- Créer un graphique personnalisé basé sur une investigation
- Lancer une enquête à partir du centre d'alerte
- Examiner les rapports d'e-mails malveillants
- Effectuer une recherche dans le partage de fichiers
- Rechercher un utilisateur dans différentes sources de données
- Événements d'activité d'audit Vault