Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

De Security Investigation Tool gebruiken voor incidentonderzoek

De Security Investigation Tool (SIT) is het centrale onderzoeksinstrument in de Admin Console: doorzoek logs over Gmail, Drive, apparaten en aanmeldingen, koppel events aan elkaar en voer direct herstelacties uit zoals het schorsen van accounts.

schedule4 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Als er een beveiligingsincident speelt, telt elke minuut en wil je niet tussen losse logs heen en weer springen. De Security Investigation Tool (SIT) bundelt het onderzoek op één plek: je zoekt over verschillende databronnen, ziet het verband tussen events, en voert direct herstelacties uit. Het is het verschil tussen reactief puzzelen en gericht ingrijpen.

Wat de tool doet

De SIT geeft je toegang tot meerdere logbronnen in één interface: Gmail-berichten en Gmail-logevents, Drive-logevents, login-events, apparaatlogs, OAuth-tokens, Chat-logevents, Chrome-logevents en regel-logevents. Je stelt zoekopdrachten samen met voorwaarden en filters, en je ziet de resultaten in een tabel die je verder kunt verfijnen.

Het krachtige is de combinatie van onderzoek en actie. Vind je een gecompromitteerd account, dan schors je het meteen vanuit dezelfde interface, zonder eerst naar een ander scherm te navigeren.

info

Editie-vereiste

De Security Investigation Tool is beschikbaar in onder andere Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Frontline Standard en Frontline Plus, en Enterprise Essentials Plus. Welke databronnen en acties je ziet hangt af van je editie en je beheerdersrechten. Het bekijken van gevoelige inhoud (bijvoorbeeld de berichtinhoud van een e-mail) zit alleen in de hoogste edities: Enterprise Plus, Education Standard en Plus, en Frontline Plus.

Een onderzoek opzetten

Begin met een hypothese. Vermoed je een gecompromitteerd account, een datalek via Drive, of een phishing-campagne? Kies de bijbehorende databron en bouw je zoekopdracht op met de relevante voorwaarden: gebruiker, periode, bestand, afzender, IP-adres.

lightbulb

Werk van breed naar smal

Bouw je zoekopdracht op van breed naar smal. Start met een ruime periode en gebruiker, en voeg dan voorwaarden toe tot je de relevante events overhoudt. Te smal beginnen mist context, te breed beginnen levert ruis.

Events koppelen en verbanden zien

De tool laat je doorklikken van het ene event naar het andere. Vanuit een verdachte login spring je naar wat dat account daarna deed in Drive of Gmail. Zo reconstrueer je de tijdlijn van een incident en zie je hoever de schade reikt.

Een incident onderzoeken met de SIT

  1. Ga in de Admin Console naar Security > Security center > Investigation tool.
  2. Kies de databron die past bij je vermoeden (login-events, Gmail-berichten, Drive-logevents, apparaten).
  3. Stel voorwaarden in: gebruiker, periode, en specifieke filters zoals IP-adres of afzender.
  4. Voer de zoekopdracht uit en beoordeel de resultaten in de tabel.
  5. Klik door naar gerelateerde events om de tijdlijn te reconstrueren.
  6. Voer een herstelactie uit: account schorsen, sessies intrekken of verdachte mail verwijderen.

Direct herstellen

De acties zijn de reden dat de SIT meer is dan een logviewer. Je kunt accounts schorsen, sessies intrekken, berichten in bulk uit mailboxen verwijderen, en de deelrechten van bestanden aanpassen. Bij een actieve aanval voer je deze acties uit op alle getroffen accounts tegelijk.

warning

Bulk-acties zijn moeilijk terug te draaien

Bulk-acties zoals het verwijderen van mail of het schorsen van meerdere accounts zijn ingrijpend en lastig terug te draaien. Controleer je zoekresultaten zorgvuldig voordat je een actie op een hele set uitvoert, anders raak je legitieme gebruikers of berichten.

Vastleggen en regels maken

Documenteer wat je vond en deed, zodat het incident herleidbaar blijft. Terugkerende patronen kun je omzetten in activiteitsregels die automatisch alarmeren of acties uitvoeren wanneer dezelfde situatie zich opnieuw voordoet. Zo wordt je onderzoek van vandaag de detectie van morgen.

lightbulb

Houd je eigen handelingen herleidbaar

Het beheerdersgedeelte van de security center wordt zelf ook gelogd. Je kunt achteraf precies terugzien welke zoekopdrachten en acties beheerders in de tool hebben uitgevoerd, wat handig is voor verantwoording na een incident.

Wat is het verschil met de gewone audit-logs?

De audit-logs tonen events per dienst los van elkaar. De Security Investigation Tool combineert meerdere bronnen, laat je events koppelen en biedt directe herstelacties, wat onderzoek veel sneller maakt.

Welke databronnen kan ik doorzoeken?

Onder meer Gmail-berichten en Gmail-logevents, Drive-logevents, login-events, apparaten, OAuth-tokens, Chat-logevents, Chrome-logevents en regel-logevents. Welke bronnen je precies ziet, hangt af van je editie en je beheerdersrechten.

Kan ik mail in bulk verwijderen?

Ja. Bij een phishing-campagne kun je het verdachte bericht uit alle getroffen mailboxen tegelijk verwijderen. Controleer wel zorgvuldig je zoekresultaten, want dit is moeilijk terug te draaien.

Heb ik een specifieke editie nodig?

De tool zelf zit in onder andere Enterprise Standard en Plus, Education Standard en Plus, Frontline Standard en Plus, en Enterprise Essentials Plus. Het bekijken van gevoelige inhoud is voorbehouden aan de hoogste edities zoals Enterprise Plus, Education Standard en Plus, en Frontline Plus.

Welk beheerdersrecht heb ik nodig?

Om de tool te kunnen openen heb je het recht Security Center, Audit and Investigation, View nodig. Voor herstelacties zoals schorsen of mail verwijderen zijn aanvullende rechten vereist.

Kan ik bevindingen automatiseren?

Ja. Terugkerende onderzoekspatronen zet je om in activiteitsregels die automatisch alarmeren of ingrijpen wanneer dezelfde situatie opnieuw optreedt.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Incidentresponsplan voor Workspace-beveiligingsincidenten

Een incidentresponsplan legt vooraf vast wie wat doet bij een beveiligingsincident in Google Workspace, van een gehackt account tot een datalek, zodat je snel en gestructureerd reageert.

schedule5 min label4 gedeelde tags
Lees verder arrow_forward

Wat te doen bij een suspicious login melding in Google Workspace

Bij een suspicious login melding controleer je de aanmeldactiviteit, reset je wachtwoord en 2SV als de aanmelding niet legitiem is, log je alle sessies uit, trek je app-toegang in en verwijder je verdachte Gmail-regels.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Verdachte aanmeldingen detecteren en onderzoeken

Verdachte aanmeldingen zijn logins die afwijken van normaal gedrag: een onbekend land, een nieuw apparaat of een onmogelijke reissnelheid. Je spoort ze op via de login-audit-logs, het Alert Center en de Security Investigation Tool en handelt snel om een account-overname te voorkomen.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Waarom wordt een Google Workspace-account automatisch gesuspendeerd?

Google suspendeert een Workspace-account automatisch bij verdachte activiteit zoals een gehackt account, een spamuitbraak of ongebruikelijke aanmeldingen. Onderzoek eerst de oorzaak via de Onderzoekstool, anders volgt vaak meteen opnieuw een suspensie.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Break-glass admin-account aanmaken in Google Workspace

Een break-glass admin-account is een noodaccount met supergebruikersrechten dat je alleen gebruikt als je reguliere beheerders zijn buitengesloten. Je beveiligt het met fysieke beveiligingssleutels, bewaart de gegevens offline in een kluis en monitort elk gebruik via reporting rules.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward