Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Verdachte aanmeldingen detecteren en onderzoeken

Verdachte aanmeldingen zijn logins die afwijken van normaal gedrag: een onbekend land, een nieuw apparaat of een onmogelijke reissnelheid. Je spoort ze op via de login-audit-logs, het Alert Center en de Security Investigation Tool en handelt snel om een account-overname te voorkomen.

schedule4 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Niet elke ongebruikelijke login is een aanval, maar elke aanval begint met een ongebruikelijke login. Als beheerder wil je verdachte aanmeldingen snel zien en onderzoeken voordat ze uitgroeien tot een overname. Workspace geeft je daarvoor drie gereedschappen: de login-audit-logs, het Alert Center en de Security Investigation Tool.

Wat maakt een aanmelding verdacht

Een paar signalen springen eruit:

  • Een login vanuit een land waar de gebruiker nooit komt.
  • Een nieuw, onbekend apparaat of besturingssysteem.
  • Een onmogelijke reissnelheid, waarbij dezelfde gebruiker binnen een uur vanuit Amsterdam en Singapore inlogt.
  • Meerdere mislukte pogingen gevolgd door een geslaagde, wat op brute force wijst.
info

Onmogelijke reis

De krachtigste detectie is vaak de impossible travel: twee geslaagde logins die fysiek niet door dezelfde persoon kunnen zijn afgelegd in de tijd ertussen. Google signaleert dit automatisch in het Alert Center.

De login-audit-logs gebruiken

In de Admin Console vind je de login-audit-logs onder Reporting, Audit and investigation, Login log events. Hier zie je per aanmelding de tijd, het IP-adres, het herleide land, het type challenge en of de login slaagde. Filter op verdachte gebruikers of op mislukte pogingen om patronen te vinden.

lightbulb

Begin bij mislukte pogingen

Filter eerst op mislukte aanmeldingen per gebruiker over de laatste 24 uur. Een piek aan mislukkingen gevolgd door één succes is een klassiek brute-force-patroon dat je direct wilt onderzoeken.

Houd er rekening mee dat Google de audit-logs in 2026 uitbreidt met extra eventvelden. Tussen februari en augustus 2026 loopt er een overgangsperiode waarin zowel de oude als de uitgebreide velden beschikbaar zijn; vanaf 18 augustus 2026 wordt het uitgebreide formaat standaard. De plek waar je de logs vindt en de manier van filteren blijven gelijk.

Alerts en de Investigation Tool

Het Alert Center bundelt automatische waarschuwingen, waaronder verdachte aanmeldingen, geblokkeerde logins en gelekte wachtwoorden. Zet de relevante regels aan en wijs een eigenaar toe die de meldingen opvolgt.

Voor diepgaander onderzoek gebruik je de Security Investigation Tool. Daarmee stel je zoekopdrachten samen over login-events, koppel je events aan elkaar en voer je direct acties uit zoals het schorsen van een account of het intrekken van sessies. Vanuit een melding in het Alert Center kun je vaak rechtstreeks een onderzoek starten in de Investigation Tool.

Een verdachte aanmelding onderzoeken

  1. Open de melding in het Alert Center en noteer gebruiker, tijd en locatie.
  2. Ga naar de login-audit-logs en filter op die gebruiker rond het tijdstip.
  3. Controleer IP-adres, land en apparaat: past dit bij de gebruiker?
  4. Vraag indien mogelijk bij de gebruiker na of zij op dat moment inlogde.
  5. Bij twijfel: schors het account, log alle sessies uit en reset het wachtwoord.
  6. Controleer daarna Gmail-filters, doorstuurregels en gekoppelde OAuth-apps op sporen.

Vals alarm onderscheiden

Niet elke melding is raak. Een gebruiker op vakantie, een VPN of een nieuw werktoestel veroorzaken legitieme afwijkingen. Verifieer daarom altijd bij de gebruiker voordat je tot drastische maatregelen overgaat, tenzij de signalen overduidelijk kwaadaardig zijn.

warning

Schorsen is ingrijpend

Schors je een account onterecht, dan blokkeer je iemands werk. Maar twijfel je echt, kies dan voor veiligheid: een paar minuten ongemak weegt niet op tegen een actieve overname. Communiceer snel zodat de gebruiker weet wat er speelt.

Vastleggen en leren

Houd bij welke meldingen vals alarm waren en welke echt. Zo verbeter je je eigen inschatting en kun je drempels bijstellen. Documenteer afgehandelde incidenten kort, zodat je bij herhaling sneller schakelt en collega's het patroon herkennen.

Waar vind ik wie wanneer is ingelogd?

In de Admin Console onder Reporting, Audit and investigation, Login log events. Daar staan tijd, IP, land, apparaat en uitkomst per aanmelding.

Wat is impossible travel precies?

Twee geslaagde logins waarvan de afstand fysiek niet overbrugbaar is in de tussenliggende tijd, bijvoorbeeld Nederland en Australië binnen een uur. Dat wijst sterk op een gecompromitteerd account.

Heb ik de Security Investigation Tool nodig?

Voor basisonderzoek volstaan de audit-logs. De Investigation Tool is sterker omdat je events kunt koppelen en direct acties kunt uitvoeren, maar vereist een hogere editie zoals Enterprise Standard of Plus, Education Standard of Plus, Frontline of Cloud Identity Premium.

Hoe voorkom ik vals alarm bij VPN-gebruik?

Verifieer bij de gebruiker en herken bekende VPN-uitgangs-IP's. Een vaste zakelijke VPN levert herhaalbare locaties op die je leert herkennen als legitiem.

Welke beheerdersrechten heb ik nodig?

Je hebt de rechten voor Audit and investigation nodig. Super-admins hebben die standaard, of je voegt ze toe aan een eigen beheerdersrol.

Wat doe ik direct na een bevestigde overname?

Schors het account, trek alle actieve sessies in, reset het wachtwoord en verwijder verdachte doorstuurregels, Gmail-filters en OAuth-tokens. Controleer daarna of er data is gedeeld of geëxporteerd.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Het Alert Center instellen en alarmen beheren in Google Workspace

Het Alert Center is het centrale meldpunt voor beveiligings- en beheerwaarschuwingen in Workspace. Schakel de juiste regels in, stuur notificaties naar het juiste team, volg alerts op en spring door naar de Security Investigation Tool. Goed ingesteld mis je geen belangrijk signaal.

schedule5 min label4 gedeelde tags
Lees verder arrow_forward

Wat te doen bij een suspicious login melding in Google Workspace

Bij een suspicious login melding controleer je de aanmeldactiviteit, reset je wachtwoord en 2SV als de aanmelding niet legitiem is, log je alle sessies uit, trek je app-toegang in en verwijder je verdachte Gmail-regels.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Forensisch onderzoek uitvoeren in Google Workspace

Forensisch onderzoek reconstrueert na een incident wie wat deed, wanneer en met welke data. In Google Workspace gebruik je de audit- en onderzoekstool, Vault-holds en de audit-logs om bewijs veilig te stellen, een tijdlijn op te bouwen en de keten van bewaring intact te houden.

schedule6 min label3 gedeelde tags
Lees verder arrow_forward

De Security Investigation Tool gebruiken voor incidentonderzoek

De Security Investigation Tool (SIT) is het centrale onderzoeksinstrument in de Admin Console: doorzoek logs over Gmail, Drive, apparaten en aanmeldingen, koppel events aan elkaar en voer direct herstelacties uit zoals het schorsen van accounts.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Waarom wordt een Google Workspace-account automatisch gesuspendeerd?

Google suspendeert een Workspace-account automatisch bij verdachte activiteit zoals een gehackt account, een spamuitbraak of ongebruikelijke aanmeldingen. Onderzoek eerst de oorzaak via de Onderzoekstool, anders volgt vaak meteen opnieuw een suspensie.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward