Untersuchungen speichern, teilen, löschen und duplizieren - Google Workspace-Admin-Hilfe [gg-a-de]

Untersuchungen speichern, teilen, löschen und duplizieren

Sicherheitsuntersuchungstool

Als Administrator können Sie alle Untersuchungen, deren Eigentümer Sie sind, speichern, freigeben, löschen und duplizieren. Auf diese Weise können Sie Suchkriterien für die fortlaufende Verwendung aufbewahren und mit anderen in Ihrer Organisation zusammenarbeiten, während Sie Untersuchungen verwalten.

Hinweis: Sie haben auch die Möglichkeit, eine Suche nach einer Untersuchung zu erstellen, ohne sie zu speichern.

Ihr Zugriff auf das Security Investigation Tool

• Zu den unterstützten Editionen des Sicherheitsuntersuchungstools gehören Enterprise Plus, Education Standard, Education Plus und Enterprise Essentials Plus.
• Administratoren mit Cloud Identity Premium, Frontline Standard , Enterprise Standard und Education Standard können das Untersuchungstool auch für eine Teilmenge von Datenquellen verwenden.
• Ob Sie eine Suche im Untersuchungstool ausführen können, hängt von Ihrer Google-Edition , Ihren Administratorrechten und der Datenquelle ab. Wenn Sie im Untersuchungstool keine Suche nach einer bestimmten Datenquelle durchführen können, können Sie im Allgemeinen stattdessen die Seite "Prüfung und Untersuchung" verwenden.

Untersuchungen erstellen und speichern

So erstellen und speichern Sie eine Untersuchung:

1. Melden Sie sich in Ihrer Google Admin-Konsole an .

   Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu Menü Sicherheit Sicherheitscenter Ermittlungsinstrument .
3. Wählen Sie eine Datenquelle für Ihre Suche; B. Geräteprotokollereignisse , Geräte oder Gmail-Protokollereignisse .
4. Klicken Sie auf Bedingung hinzufügen .
   Sie können eine oder mehrere Bedingungen in Ihre Suche einbeziehen. Sie haben auch die Möglichkeit, Ihre Suche mit verschachtelten Abfragen anzupassen – Suchen mit 2 oder 3 Bedingungsebenen (Einzelheiten finden Sie unter Anpassen Ihrer Suche mit verschachtelten Abfragen ).
5. Wählen Sie aus der Dropdown -Liste Attribut eines der Attribute aus, z. B. Schauspieler oder Datum .
   
   Hinweis: Wenn Sie den Datumsbereich für Ihre Suche eingrenzen, werden Ihre Ergebnisse früher im Untersuchungstool angezeigt. Wenn Sie die Suche beispielsweise auf Ereignisse der letzten Woche eingrenzen, wird die Abfrage schneller zurückgegeben, als wenn Sie die Suche ohne Beschränkung der Abfrage auf einen kürzeren Zeitraum durchführen.
   
6. Wählen Sie einen Operator aus, z. B. Ist , Ist nicht , Enthält oder Enthält nicht .
7. Wählen Sie einen Wert für das Attribut aus oder geben Sie einen Wert ein. Bei einigen Attributen können Sie aus einer Dropdown-Liste auswählen. Geben Sie für andere Attribute einen Wert ein.
8. (Optional) Um mehrere Suchbedingungen einzuschließen, wiederholen Sie die obigen Schritte.
9. Klicken Sie auf Suchen .
   Suchergebnisse im Untersuchungstool werden in einer Tabelle unten auf der Seite angezeigt.
10. Klicken Sie auf Speichern .
11. Geben Sie einen Titel und eine Beschreibung für die Untersuchung ein.
12. Klicken Sie auf Speichern .

Notiz:

• Auf der Registerkarte „Condition Builder" werden Filter als Bedingungen mit UND/ODER-Operatoren dargestellt. Sie können auch die Registerkarte „Filter" verwenden, um einfache Parameter- und Wertepaare einzuschließen, um die Suchergebnisse zu filtern.
• Auf der Hauptseite für eine Untersuchung können Sie das Datum und die Uhrzeit der letzten Speicherung einer Untersuchung in der Kopfzeile oben auf der Seite anzeigen. Wenn die Einstellungen für eine Untersuchung unvollständig oder ungültig sind (z. B. wenn die Einstellungen dort leer gelassen werden, wo Sie Informationen eingeben müssen), wird die Untersuchung als teilweise gespeichert beschrieben . Sie müssen alle Fehler finden und beheben, bevor Sie die Untersuchung speichern können.

Ermittlungen teilen

Nachdem Sie eine Untersuchung erstellt und gespeichert haben, können Sie sie mit anderen Benutzern teilen.

So teilen Sie eine Untersuchung:

1. Klicken Sie auf Untersuchungen anzeigen .
2. Klicken Sie auf eine Untersuchung, um sie zu öffnen.
   Wenn die Untersuchung noch nicht gespeichert wurde, klicken Sie auf Speichern .
3. Klicken Sie auf Teilen .
4. Geben Sie die Benutzernamen der Personen ein, mit denen Sie die Untersuchung teilen möchten.
5. Klicken Sie auf Änderungen speichern .

Ermittlungen löschen

Wenn Sie entscheiden, dass eine Suche und/oder die Ergebnisse dieser Suche nicht für eine Untersuchung benötigt werden, können Sie diese Suche im Untersuchungstool löschen.

So löschen Sie eine Suche:

1. Klicken Sie auf Löschen .
2. Um den Löschvorgang zu bestätigen, klicken Sie auf Löschen .

Dadurch wird die Suche gelöscht, einschließlich aller Suchbedingungen und sichtbaren Ergebnisse, und Sie können diese Aktion nicht rückgängig machen.

Sie haben auch die Möglichkeit, alle Suchen zu löschen.

Doppelte Ermittlungen

Wenn Sie eine neue Untersuchung mit denselben Suchkriterien erstellen möchten, die Sie für eine vorhandene Untersuchung verwendet haben, können Sie sie duplizieren.

So duplizieren Sie eine Untersuchung:

1. Klicken Sie auf Untersuchung duplizieren .
2. Geben Sie einen Titel und eine Beschreibung ein.
3. Klicken Sie auf Speichern .

Zeigen Sie Ihre Untersuchungsliste an

Zeigen Sie eine Liste der Untersuchungen an, die Ihnen gehören und die mit Ihnen geteilt wurden, indem Sie auf Untersuchungen anzeigen klicken . Die Ermittlungsliste enthält die Namen, Beschreibungen und Eigentümer der Ermittlungen sowie das Datum der letzten Änderung.

Von dieser Liste aus können Sie Maßnahmen für alle Untersuchungen ergreifen, deren Inhaber Sie sind, z. B. eine Untersuchung löschen. Aktivieren Sie das Kontrollkästchen für eine Untersuchung und klicken Sie dann auf Aktionen .

Hinweis: Direkt über Ihrer Untersuchungsliste können Sie im Abschnitt Schnellzugriff auch eine Reihe kürzlich gespeicherter Untersuchungen anzeigen.