คุณอาจมีสิทธิ์เข้าถึงเครื่องมือตรวจสอบความปลอดภัยซึ่งมีฟีเจอร์ขั้นสูงมากกว่า ทั้งนี้ขึ้นอยู่กับรุ่น Google Workspace ที่คุณใช้ เช่น ผู้ดูแลระบบขั้นสูงสามารถระบุ ตรวจสอบ และดำเนินการกับปัญหาด้านความปลอดภัยและความเป็นส่วนตัวได้ ดูข้อมูลเพิ่มเติม
ในฐานะผู้ดูแลระบบขององค์กร คุณสามารถเรียกใช้การค้นหาและดำเนินการกับปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับเหตุการณ์ในบันทึกของอุปกรณ์ได้ ซึ่งคุณสามารถดูบันทึกการดำเนินการในคอมพิวเตอร์ อุปกรณ์เคลื่อนที่ และอุปกรณ์สมาร์ทโฮมที่ใช้เพื่อเข้าถึงข้อมูลขององค์กรคุณได้ ตัวอย่างเช่น คุณสามารถดูวันและเวลาที่ผู้ใช้เพิ่มบัญชีไปยังอุปกรณ์ หรือดูว่ารหัสผ่านของอุปกรณ์ไม่เป็นไปตามนโยบายรหัสผ่านหรือไม่ นอกจากนี้ยังตั้งการแจ้งเตือนเมื่อมีกิจกรรมเกิดขึ้นได้อีกด้วยข้อควรปฏิบัติก่อนที่จะเริ่มต้น
- หากต้องการดูเหตุการณ์การตรวจสอบทั้งหมดในอุปกรณ์เคลื่อนที่ อุปกรณ์นั้นต้องได้รับการจัดการอุปกรณ์ขั้นสูง
- หากต้องการดูการเปลี่ยนแปลงของแอปพลิเคชันในอุปกรณ์ Android คุณต้องเปิดการตรวจสอบแอปพลิเคชัน
- คุณจะไม่เห็นกิจกรรมในอุปกรณ์ที่ซิงค์ข้อมูลบริษัทด้วย Google Sync
- หากคุณดาวน์เกรดเป็นรุ่นที่ไม่รองรับบันทึกการตรวจสอบ บันทึกการตรวจสอบจะหยุดรวบรวมข้อมูลสำหรับเหตุการณ์ใหม่ แต่ผู้ดูแลระบบจะยังคงดูข้อมูลเก่าได้
เรียกใช้การค้นหาเหตุการณ์ในบันทึก
ความสามารถในการค้นหาจะขึ้นอยู่กับรุ่นของ Google, สิทธิ์ของผู้ดูแลระบบ และแหล่งข้อมูล คุณจะเรียกใช้การค้นหาของผู้ใช้ทุกคนได้ ไม่ว่าผู้ใช้จะใช้งาน Google Workspace รุ่นใดก็ตาม
หากต้องการเรียกใช้การค้นหาเหตุการณ์ในบันทึก ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกตัวกรองสำหรับการค้นหาอย่างน้อย 1 รายการ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่เมนู
การรายงาน > การตรวจสอบความถูกต้องและข้อเท็จจริง > เหตุการณ์ในบันทึกของอุปกรณ์
ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับรายงาน
- คลิกเพิ่มตัวกรอง จากนั้นเลือกแอตทริบิวต์
- ในหน้าต่างป๊อปอัป ให้เลือกโอเปอเรเตอร์
เลือกค่า
- (ไม่บังคับ) หากต้องการสร้างตัวกรองหลายรายการสำหรับการค้นหา ให้ทำซ้ำขั้นตอนนี้
- (ไม่บังคับ) หากต้องการเพิ่มโอเปอเรเตอร์การค้นหา ให้เลือก AND หรือ OR เหนือเพิ่มตัวกรอง
- คลิกค้นหา
หมายเหตุ: คุณใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และค่าคู่ที่เรียบง่ายเพื่อกรองผลการค้นหาได้ และยังใช้แท็บเครื่องมือสร้างเงื่อนไข ซึ่งมีตัวกรองที่แสดงเงื่อนไขเป็นโอเปอเรเตอร์ AND/OR ได้ด้วย
หากต้องการเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัย ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกเงื่อนไขสำหรับการค้นหาอย่างน้อย 1 รายการ สำหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่เมนู
ความปลอดภัย > ศูนย์ความปลอดภัย > เครื่องมือตรวจสอบ
ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย
- คลิกแหล่งข้อมูล แล้วเลือกเหตุการณ์ในบันทึกของอุปกรณ์
- คลิกเพิ่มเงื่อนไข
เคล็ดลับ: คุณจะกำหนดเงื่อนไขในการค้นหาได้มากกว่า 1 รายการ หรือปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน โปรดดูรายละเอียดที่หัวข้อปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน - คลิกแอตทริบิวต์
หากต้องการดูรายการแอตทริบิวต์ทั้งหมด ให้ไปที่ส่วนคําอธิบายแอตทริบิวต์เ้านล่างด้านล่าง - เลือกโอเปอเรเตอร์
- ป้อนค่าหรือเลือกค่าจากรายการแบบเลื่อนลง
- (ไม่บังคับ) หากต้องการเพิ่มเงื่อนไขการค้นหา ให้ทําขั้นตอนที่ 4-7 ซ้ํา
- คลิกค้นหา
ผลการค้นหาในเครื่องมือตรวจสอบจะแสดงในตารางที่ด้านล่างของหน้า - (ไม่บังคับ) หากต้องการบันทึกการตรวจสอบ ให้คลิกบันทึก
หมายเหตุ
- ในแท็บเครื่องมือสร้างเงื่อนไข ตัวกรองจะแสดงเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย
- หากคุณมอบชื่อใหม่ให้กับผู้ใช้ คุณจะไม่เห็นผลการค้นหาหากใช้ชื่อเก่าของผู้ใช้ เช่น หากคุณเปลี่ยนชื่อ [email protected] เป็น [email protected] คุณจะไม่เห็นผลลัพธ์สำหรับเหตุการณ์ที่เกี่ยวข้องกับ [email protected]
คำอธิบายแอตทริบิวต์
สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้
| แอตทริบิวต์ | คำอธิบาย |
|---|---|
| สถานะบัญชี | บัญชีได้รับการลงทะเบียนหรือไม่ได้ลงทะเบียน |
| ชื่อกลุ่มผู้ดำเนินการ |
ชื่อกลุ่มของผู้ดำเนินการ ดูข้อมูลเพิ่มเติมได้ที่หัวข้อการกรองผลลัพธ์ตาม Google Group หากต้องการเพิ่มกลุ่มไปยังรายการที่อนุญาตของกลุ่มการกรอง ให้ทำดังนี้
|
| หน่วยขององค์กรผู้ดำเนินการ | หน่วยองค์กรที่ผู้ดำเนินการอยู่ |
| รหัสแอปพลิเคชัน | ตัวระบุสำหรับแอปพลิเคชัน |
| แฮช SHA-256 ของแอปพลิเคชัน | สำหรับเหตุการณ์ที่เกี่ยวกับแอป ระบบจะแสดงแฮช SHA-256 ของแพ็กเกจแอปพลิเคชัน (Android เท่านั้น) |
| สถานะของแอปพลิเคชัน | มีการติดตั้ง ถอนการติดตั้ง หรืออัปเดตแอปพลิเคชันหรือไม่ |
| วันที่ | วันที่และเวลาของเหตุการณ์ (ตามที่แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์) |
| สถานะการปฏิบัติตามข้อกำหนดของอุปกรณ์ |
อุปกรณ์เป็นไปตามนโยบายขององค์กรหรือไม่ ระบบจะทำเครื่องหมายอุปกรณ์ว่าไม่เป็นไปตามข้อกำหนด ในกรณีต่อไปนี้
เช่น Nexus 6P ของผู้ใช้ไม่ปฏิบัติตามนโยบายที่ตั้งไว้เนื่องจากอุปกรณ์ไม่ปฏิบัติตามนโยบายรหัสผ่าน |
| สถานะอุปกรณ์ถูกบุกรุก |
อุปกรณ์ถูกบุกรุกหรือไม่ อุปกรณ์อาจถูกบุกรุกได้หากผ่านการรูทหรือเจลเบรค ซึ่งเป็นกระบวนการที่นำข้อจำกัดในอุปกรณ์ออก อุปกรณ์ถูกบุกรุกอาจเป็นภัยคุกคามด้านความปลอดภัยได้ ระบบจะบันทึกรายการทุกครั้งที่อุปกรณ์ของผู้ใช้ถูกบุกรุกหรือไม่ถูกบุกรุกอีกต่อไป เช่น Nexus 5 ของผู้ใช้ถูกบุกรุก |
| รหัสอุปกรณ์ | ตัวระบุอุปกรณ์ที่มีเหตุการณ์เกิดขึ้น |
| รุ่นอุปกรณ์ | รุ่นของอุปกรณ์ |
| เจ้าของอุปกรณ์ | เจ้าของอุปกรณ์ |
| การเป็นเจ้าของอุปกรณ์ |
สิทธิ์การเป็นเจ้าของอุปกรณ์มีการเปลี่ยนแปลงหรือไม่ เช่น อุปกรณ์ส่วนตัวถูกเปลี่ยนเป็นอุปกรณ์ของบริษัทหลังจากนำเข้ารายละเอียดไปยังคอนโซลผู้ดูแลระบบ การตรวจสอบนี้จะเกิดขึ้นทันทีหลังจากเพิ่มอุปกรณ์ของบริษัทไปยังคอนโซลผู้ดูแลระบบ หากอุปกรณ์ของบริษัทถูกลบออกจากคอนโซลผู้ดูแลระบบ การตรวจสอบจะเกิดขึ้นในการซิงค์ครั้งถัดไป (หลังจากลงทะเบียนเพื่อการจัดการอีกครั้ง) เช่น สิทธิ์การเป็นเจ้าของ Nexus 5 ของผู้ใช้เปลี่ยนเป็นของบริษัทแล้ว รหัสอุปกรณ์ใหม่คือ abcd1234 |
| พร็อพเพอร์ตี้ของอุปกรณ์ | ข้อมูลเกี่ยวกับอุปกรณ์ เช่น รุ่นอุปกรณ์ หมายเลขซีเรียล หรือที่อยู่ MAC ของ Wi-Fi |
| การตั้งค่าอุปกรณ์ |
ผู้ใช้อุปกรณ์เปลี่ยนการตั้งค่าของตัวเลือกสำหรับนักพัฒนาซอฟต์แวร์ แหล่งที่มาที่ไม่รู้จัก การแก้ไขข้อบกพร่อง USB หรือการตั้งค่าตรวจสอบแอปในอุปกรณ์ ระบบจะบันทึกเหตุการณ์นี้ในครั้งถัดไปที่อุปกรณ์ซิงค์ เช่น ผู้ใช้เปลี่ยนการยืนยันแอปใน Nexus 6P จากปิดเป็นเปิด |
| ประเภทอุปกรณ์ | ประเภทอุปกรณ์ที่มีเหตุการณ์เกิดขึ้น เช่น Android หรือ Apple iOS |
| โดเมน | โดเมนที่มีการดำเนินการ |
| เหตุการณ์ | การดำเนินการของเหตุการณ์ที่บันทึกไว้ เช่น การอัปเดตระบบปฏิบัติการของอุปกรณ์หรือเหตุการณ์การซิงค์อุปกรณ์ |
| การป้อนรหัสผ่านไม่ถูกต้อง |
จำนวนครั้งที่ผู้ใช้ปลดล็อกอุปกรณ์ไม่สำเร็จ ระบบจะสร้างเหตุการณ์ก็ต่อเมื่อผู้ใช้ปลดล็อกอุปกรณ์ไม่สำเร็จเกิน 5 ครั้งเท่านั้น เช่น ปลดล็อก Nexus 7 ของผู้ใช้ไม่สำเร็จ 5 ครั้ง |
| รหัสผู้ขาย iOS | ตัวระบุสำหรับผู้ให้บริการ iOS |
| รหัสอุปกรณ์ใหม่ | ตัวระบุสำหรับอุปกรณ์ใหม่ |
| พร็อพเพอร์ตี้ของระบบปฏิบัติการ | ข้อมูลเกี่ยวกับระบบปฏิบัติการ เช่น หมายเลขบิลด์ เวอร์ชันของระบบปฏิบัติการ หรือแพตช์ด้านความปลอดภัย |
| สิทธิ์ในการลงทะเบียน | บทบาทของผู้ใช้สำหรับอุปกรณ์ เช่น เจ้าของอุปกรณ์หรือผู้ดูแลระบบอุปกรณ์ |
| รหัสทรัพยากร | ตัวระบุที่ไม่ซ้ำกันสำหรับอุปกรณ์ |
| หมายเลขซีเรียล |
หมายเลขซีเรียลของอุปกรณ์ หากต้องการแสดงหมายเลขซีเรียลสำหรับคอมพิวเตอร์ ให้ทำดังนี้
|
| อีเมลผู้ใช้ | อีเมลของผู้ใช้อุปกรณ์ |
หมายเหตุ: หากคุณมอบชื่อใหม่ให้กับผู้ใช้ คุณจะมองไม่เห็นผลการค้นหาที่ใช้ชื่อเก่าของผู้ใช้ เช่น หากคุณเปลี่ยนชื่อ [email protected] เป็น [email protected] คุณจะไม่เห็นผลการค้นหาสำหรับเหตุการณ์ที่เกี่ยวข้องกับ [email protected]
จัดการข้อมูลเหตุการณ์ในบันทึก
จัดการข้อมูลคอลัมน์ผลการค้นหา
คุณควบคุมได้ว่าจะให้คอลัมน์ข้อมูลใดปรากฏในผลการค้นหา
- คลิก "จัดการคอลัมน์"
ที่ด้านขวาบนของตารางผลการค้นหา
- (ไม่บังคับ) หากต้องการนำคอลัมน์ปัจจุบันออก ให้คลิก "นำออก"
- (ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ ให้คลิกลูกศรลง
ข้างเพิ่มคอลัมน์ใหม่แล้วเลือกคอลัมน์ข้อมูล
ทำซ้ำตามที่จำเป็น - (ไม่บังคับ) หากต้องการเปลี่ยนลำดับของคอลัมน์ ให้ลากชื่อคอลัมน์ข้อมูล
- คลิกบันทึก
ส่งออกข้อมูลผลการค้นหา
คุณสามารถส่งออกผลการค้นหาไปยัง Google ชีตหรือไฟล์ CSV ได้
- คลิกส่งออกทั้งหมดที่ด้านบนของตารางผลการค้นหา
- ป้อนชื่อ
การส่งออกจะแสดงใต้ตารางผลการค้นหาในส่วนผลลัพธ์การดำเนินการส่งออก - หากต้องการดูข้อมูล ให้คลิกชื่อการส่งออก
การส่งออกจะเปิดขึ้นใน Google ชีต
ขีดจํากัดการส่งออกจะแตกต่างกันไปดังนี้
- ผลการส่งออกทั้งหมดจำกัดอยู่ที่ 100,000 แถว
- รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
หากคุณมีเครื่องมือตรวจสอบความปลอดภัย ผลการส่งออกทั้งหมดจะจำกัดอยู่ที่ 30 ล้านแถว (ยกเว้นการค้นหาข้อความ Gmail ซึ่งจำกัดไว้ที่ 10,000 แถว)
โปรดดูข้อมูลเพิ่มเติมที่หัวข้อส่งออกผลการค้นหา
ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด
ดำเนินการตามผลการค้นหา
- คุณสามารถตั้งค่าการแจ้งเตือนตามข้อมูลเหตุการณ์ในบันทึกได้โดยใช้กฎการรายงาน โปรดดูวิธีการที่หัวข้อสร้างและจัดการกฎการรายงาน
- รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
คุณจะปรับให้การทำงานในเครื่องมือตรวจสอบความปลอดภัยเกิดขึ้นโดยอัตโนมัติและตั้งค่าการแจ้งเตือนได้โดยการสร้างกฎกิจกรรม ซึ่งจะช่วยป้องกัน ตรวจจับ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้น หากต้องการตั้งค่ากฎ ให้กําหนดเงื่อนไขสําหรับกฎ จากนั้นระบุการดําเนินการที่จะเกิดขึ้นเมื่อตรงตามเงื่อนไข โปรดดูรายละเอียดและวิธีการที่หัวข้อสร้างและจัดการกฎกิจกรรม
รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
หลังจากทําการค้นหาในเครื่องมือตรวจสอบความปลอดภัยแล้ว คุณจะดําเนินการกับผลการค้นหาได้ เช่น คุณสามารถค้นหาตามเหตุการณ์ในบันทึกของ Gmail แล้วใช้เครื่องมือเพื่อลบข้อความที่ต้องการ ส่งข้อความไปยังเขตกักบริเวณ หรือส่งข้อความไปยังกล่องจดหมายของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อดำเนินการตามผลการค้นหา
จัดการการตรวจสอบ
รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
ดูรายการการตรวจสอบหากต้องการดูรายการการตรวจสอบที่คุณเป็นเจ้าของและรายการที่ผู้อื่นแชร์กับคุณ ให้คลิกดูการตรวจสอบ รายการการตรวจสอบประกอบด้วยชื่อ คําอธิบาย และเจ้าของการตรวจสอบ และวันที่แก้ไขล่าสุด
จากรายการนี้ คุณจะดำเนินการกับการตรวจสอบที่คุณเป็นเจ้าของได้ เช่น ลบการตรวจสอบ เลือกช่องสำหรับการตรวจสอบแล้วคลิกการดำเนินการ
หมายเหตุ: ที่ด้านบนของรายการการตรวจสอบ ใต้ส่วนการเข้าถึงด่วน คุณจะดูการตรวจสอบที่บันทึกไว้ล่าสุดได้
ในฐานะผู้ดูแลระบบขั้นสูง ให้คลิกการตั้งค่า เพื่อดําเนินการดังนี้
- เปลี่ยนเขตเวลาสําหรับการตรวจสอบ โดยเขตเวลาจะมีผลกับเงื่อนไขการค้นหาและผลการค้นหา
- การเปิดหรือปิดต้องมีผู้ตรวจสอบ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อต้องมีผู้ตรวจสอบสําหรับการดำเนินการหลายรายการพร้อมกัน
- เปิดหรือปิดการดูเนื้อหา การตั้งค่านี้จะอนุญาตให้ผู้ดูแลระบบที่มีสิทธิ์ในระดับที่เหมาะสมดูเนื้อหาได้
- เปิดหรือปิดการเปิดใช้เหตุผลรองรับการดําเนินการ
โปรดดูวิธีการและรายละเอียดที่หัวข้อกําหนดการตั้งค่าสําหรับการตรวจสอบ
หากต้องการบันทึกเกณฑ์การค้นหาหรือแชร์กับคนอื่นๆ คุณสามารถสร้างและบันทึกการตรวจสอบ จากนั้นก็แชร์ ทำซ้ำ หรือลบออกได้
โปรดดูรายละเอียดที่หัวข้อบันทึก แชร์ ลบ และทําซ้ำการตรวจสอบ
