Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi
Sebagai administrator organisasi, Anda dapat menggunakan alat investigasi keamanan untuk menjalankan penelusuran yang terkait dengan peristiwa log Gmail, dan mengambil tindakan berdasarkan hasil penelusuran. Dari alat investigasi, Anda dapat melihat data tindakan untuk melihat aktivitas pengguna dan admin organisasi di Gmail—misalnya, saat email diklasifikasikan sebagai spam, dilepaskan dari karantina, atau dikirim ke karantina admin. Jika memiliki hak istimewa yang sesuai di alat investigasi, Anda juga dapat melihat konten pesan Gmail sebagai bagian dari investigasi.
Anda juga dapat melakukan penelusuran berdasarkan peristiwa log Gmail, lalu menggunakan alat investigasi keamanan untuk mengambil tindakan—misalnya, untuk menghapus pesan tertentu, menandai pesan sebagai spam atau phishing, mengirim pesan ke karantina, atau mengirim pesan ke kotak masuk pengguna.
Menjalankan penelusuran untuk peristiwa log Gmail
Kemampuan Anda untuk menjalankan penelusuran bergantung pada edisi Google, hak istimewa administratif, dan sumber data Anda. Anda dapat menjalankan penelusuran pada semua pengguna, apa pun edisi Google Workspace mereka.
Untuk menjalankan penelusuran di alat investigasi keamanan, pertama-tama pilih sumber data. Kemudian, pilih satu atau beberapa kondisi untuk penelusuran Anda. Pilih atribut, operator, dan nilai untuk setiap kondisi.
-
Login ke Konsol Google Admin dengan akun administrator.
Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.
-
Buka Menu
Keamanan > Pusat keamanan > Alat investigasi.
Memerlukan hak istimewa administrator Pusat keamanan.
- Klik Sumber data, lalu pilih Peristiwa log Gmail.
- Klik Tambahkan Kondisi.
Tips: Anda dapat menyertakan satu atau beberapa kondisi dalam penelusuran atau menyesuaikan penelusuran dengan kueri bertingkat. Untuk mengetahui detailnya, buka Menyesuaikan penelusuran dengan kueri bertingkat. - Klik Atribut
pilih salah satu opsi.
Untuk mengetahui daftar lengkap atribut, buka bagian Deskripsi atribut di bawah. - Pilih operator.
- Masukkan nilai, atau pilih nilai dari menu drop-down.
- (Opsional) Untuk menambahkan kondisi penelusuran lainnya, ulangi langkah 4–7.
- Klik Telusuri.
Hasil penelusuran di alat investigasi ditampilkan dalam tabel di bagian bawah halaman. - (Opsional) Untuk menyimpan investigasi, klik Simpan
Catatan
- Di tab Pembuat kondisi, filter ditampilkan sebagai kondisi dengan operator DAN/ATAU. Anda juga dapat menggunakan tab Filter untuk menyertakan pasangan nilai dan parameter sederhana untuk memfilter hasil penelusuran.
- Jika memberi pengguna nama baru, Anda tidak akan melihat hasil kueri dengan nama lamanya. Misalnya, jika Anda mengganti nama [email protected] ke [email protected], Anda tidak akan melihat hasil peristiwa yang terkait dengan [email protected].
Deskripsi atribut
Untuk sumber data ini, Anda dapat menggunakan atribut berikut saat menelusuri data peristiwa log:
| Atribut | Deskripsi |
|---|---|
| Ekstensi lampiran | ID browser Chrome |
| Hash lampiran | Hash SHA256 lampiran |
| Jenis malware lampiran | Kategori malware, jika terdeteksi saat pesan ditangani—misalnya, Konten mungkin berbahaya, Program berbahaya yang diketahui, atau Virus/worm |
| Nama lampiran | Nama dari lampiran |
| Jenis Klien | Jenis klien Gmail—misalnya, Web, Android, iOS, atau POP3. |
| Tanggal | Tanggal dan waktu peristiwa (ditampilkan dalam zona waktu default browser) |
| Penerima delegasi | Alamat email pengguna penerima delegasi yang melakukan tindakan atas nama pemilik |
| ID sesi perangkat | ID unik yang dibuat untuk sesi pengguna klien email |
| Domain DKIM | Domain yang diautentikasi dengan mekanisme DKIM (Domain Keys Identified Mail) |
| Domain | Domain tempat tindakan terjadi |
| Acara | Tindakan yang dicatat dalam log, seperti Download lampiran, Klik link, Kirim, atau Lihat. |
| Dari (Amplop) | Alamat amplop pengirim |
| Dari (Alamat header) | Alamat header pengirim seperti yang muncul pada header pesan, misalnya, [email protected] |
| Dari (Nama header) | Nama tampilan header pengirim seperti yang muncul di header pesan |
| Lokasi geografis | Kode negara ISO berdasarkan IP relai |
| Memiliki lampiran | Email menyertakan lampiran |
| Memiliki penerima delegasi | Apakah ada pengguna delegasi yang melakukan tindakan atas nama pemilik atau tidak |
| Alamat IP | Alamat IP klien email yang memulai atau berinteraksi dengan pesan |
| Domain link | Domain diekstrak dari URL link dalam isi pesan |
| ID Pesan | ID pesan unik yang ada di header pesan |
| ID Project OAuth | ID project konsol Cloud developer yang diautentikasi dengan OAuth |
| Pemilik | Pemilik pesan email. Untuk pesan masuk, pemiliknya adalah penerima. Untuk pesan keluar, pemiliknya adalah pengirim. |
| Domain pengirim | Domain pengirim |
| Klasifikasi spam | Klasifikasi spam untuk pesan email—misalnya, Spam, Malware, Phishing, Mencurigakan, atau Bersih (bukan spam) |
| Alasan klasifikasi spam | Alasan pesan diklasifikasikan sebagai spam—misalnya, Spam yang mencolok, Aturan khusus, Reputasi pengirim, atau Lampiran yang mencurigakan |
| Domain SPF | Nama domain yang digunakan untuk autentikasi Framework Kebijakan Pengirim (SPF) |
| Subjek | Baris subjek email |
| Hash lampiran target | Informasi tentang hash lampiran SHA256 jika pengguna berinteraksi dengan lampiran pesan |
| Jenis malware lampiran target | Informasi tentang kelompok malware lampiran jika pengguna berinteraksi dengan lampiran pesan—misalnya, Konten mungkin berbahaya, Program berbahaya yang diketahui, atau Virus/worm |
| Nama lampiran target | Informasi tentang nama lampiran jika pengguna berinteraksi dengan lampiran pesan |
| ID drive target | Informasi tentang ID Drive jika pengguna berinteraksi dengan item Drive pada pesan |
| URL link target | Informasi tentang URL link jika pengguna berinteraksi dengan link pesan |
| Kepada (Amplop) | Alamat amplop penerima |
| Sumber traffic | Menunjukkan apakah email dikirim/diterima secara internal (dalam domain Anda) atau secara eksternal |
- Anda dapat menyiapkan pemberitahuan berdasarkan data peristiwa log menggunakan aturan pelaporan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola aturan pelaporan.
- Edisi yang didukung untuk fitur ini: Frontline Standard dan Frontline Plus; Enterprise Standard dan Enterprise Plus; Education Standard dan Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Bandingkan edisi
Untuk membantu mencegah, mendeteksi, dan menyelesaikan masalah keamanan dengan efisien, Anda dapat mengotomatiskan tindakan di alat investigasi keamanan serta menyiapkan notifikasi dengan membuat aturan aktivitas. Untuk menyiapkan aturan, siapkan kondisi aturan, lalu tentukan tindakan yang akan dilakukan jika kondisi terpenuhi. Untuk mengetahui detail dan petunjuknya, lihat Membuat dan mengelola aturan aktivitas.
Edisi yang didukung untuk fitur ini: Frontline Standard dan Frontline Plus; Enterprise Standard dan Enterprise Plus; Education Standard dan Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Bandingkan edisi
Setelah menjalankan penelusuran di alat investigasi keamanan, Anda dapat melakukan tindakan di hasil penelusuran. Misalnya, Anda dapat menjalankan penelusuran berdasarkan peristiwa log Gmail, lalu menggunakan alat investigasi untuk menghapus pesan tertentu, mengirim pesan ke karantina, atau mengirim pesan ke kotak masuk pengguna. Untuk mengetahui detail selengkapnya, buka Melakukan tindakan berdasarkan hasil penelusuran.
Topik terkait
