Forensisch onderzoek uitvoeren in Google Workspace komt aan de orde na een beveiligingsincident: een gehackt account, een vermoed datalek of een insider die data heeft meegenomen. Het doel is reconstrueren wat er precies is gebeurd, met bewijs dat standhoudt. Forensiek vraagt zorgvuldigheid, want een verkeerde stap kan bewijs vernietigen of onbruikbaar maken.
Eerst bewijs veiligstellen
De allereerste actie bij forensisch onderzoek is bewijs bevriezen. In Workspace betekent dit een Vault-hold zetten op de betrokken accounts. Anders kunnen bewaarregels of de gebruiker zelf data verwijderen voordat je die hebt onderzocht.
Wacht niet met het veiligstellen van bewijs. Mail, bestanden en logs kunnen verdwijnen door bewaarregels, automatische opschoning of bewust wissen door een betrokkene. Zet direct een Vault-hold op de relevante accounts voordat je iets anders doet. Verloren bewijs komt nooit meer terug.
Bewijs veiligstellen met Vault
- Open Google Vault op
vault.google.commet een account dat de juiste Vault-rechten heeft. - Maak een nieuwe zaak aan met een duidelijke naam, een zaaknummer en een korte omschrijving.
- Zet een bewaring (hold) op de betrokken accounts voor de relevante diensten: Gmail, Drive en eventueel Chat en Meet.
- Stel geen einddatum in zolang het onderzoek loopt, zodat data niet alsnog door bewaarregels verdwijnt.
- Documenteer wanneer en door wie de hold is gezet en koppel dit aan het zaaknummer.
Een hold heeft voorrang op gewone bewaarregels: zolang de hold actief is, blijft de data bewaard, ook al zou een bewaarregel of een gebruiker die anders wissen. Houd er rekening mee dat het zetten van een hold zelf ook wordt gelogd, wat juist bijdraagt aan een aantoonbare keten van bewaring.
De beschikbare bronnen
Workspace logt veel. Voor forensiek zijn meerdere logbronnen relevant, elk met een ander beeld. De belangrijkste:
| Logbron | Wat je eruit haalt |
|---|---|
| Login-audit-log | Wie logde wanneer in, vanaf welk IP en met welk apparaat |
| Drive-audit-log | Toegang, deling, download en verwijdering van bestanden |
| Gmail-log | Verzonden, ontvangen en doorgestuurde mail, inclusief nieuwe doorstuurregels |
| Admin-audit-log | Wijzigingen in instellingen, rollen en rechten |
| Token-audit-log | Gekoppelde OAuth-apps en toegekende toegangsrechten |
| Vault-log | Wie holds, zoekopdrachten en exports aanmaakte of wijzigde |
De audit- en onderzoekstool in de Admin-console (onder Rapportage, Audit en onderzoek) bundelt deze bronnen en laat je zoeken, filteren en correleren over accounts heen. Dit is je belangrijkste forensische werkbank. Beschik je over Enterprise- of Education-edities met de security center-licentie, dan heb je ook de onderzoekstool in het security center, met extra mogelijkheden om in bulk actie te ondernemen.
Denk aan langere bewaring
De standaardretentie van audit-logs is beperkt en verschilt per logtype. Stel daarom vooraf een export in naar BigQuery of een SIEM, zodat je bij een incident niet beperkt bent tot de standaardtermijn. Sinds 2026 kun je Workspace-audit-logs ook rechtstreeks analyseren via de audit- en onderzoekstool, de Admin SDK (Reports API), Google Security Operations of BigQuery.
De tijdlijn reconstrueren
Met de bronnen veiliggesteld reconstrueer je wat er gebeurde. Begin bij het eerste verdachte signaal en werk vooruit en achteruit. Wanneer logde de aanvaller in, vanaf welk IP, welke bestanden zijn benaderd, is er mail doorgestuurd, zijn er rechten gewijzigd?
Correleer over bronnen
Een enkele logregel zegt weinig; de kracht zit in correlatie. Een login vanaf een vreemd IP, gevolgd door een nieuwe doorstuurregel en kort daarna een bulk-download, vertelt samen het hele verhaal. Leg de gebeurtenissen op een tijdlijn naast elkaar en let op afwijkende tijdstippen, locaties en apparaten.
Een praktisch voorbeeld. Je ziet in de login-audit-log een geslaagde aanmelding vanuit een land waar je organisatie niet actief is, om 03:14 uur. In de Gmail-log zie je dat om 03:19 uur een doorstuurregel naar een extern adres is aangemaakt. In de Drive-audit-log volgt om 03:26 uur een reeks downloads van gedeelde mappen. Die drie regels samen tonen een gekaapt account dat data exfiltreert, terwijl elke regel los nog onschuldig kon lijken.
Keten van bewaring
Als het onderzoek juridische gevolgen kan hebben, moet je de keten van bewaring intact houden. Dat betekent vastleggen wie wanneer welk bewijs heeft benaderd en dat het niet is gewijzigd. Vault-exports bevatten daarvoor metadata en hashwaarden die aantonen dat de geëxporteerde data overeenkomt met wat op de servers van Google staat. Documenteer elke stap.
Onderschat de juridische kant niet. Als bewijs mogelijk in een rechtszaak of bij een toezichthouder belandt, moet de keten van bewaring aantoonbaar intact zijn. Werk gestructureerd, documenteer elke handeling en betrek tijdig juridische zaken. Slordig verzameld bewijs is in een procedure waardeloos.
Let op: een Vault-export is na het aanmaken een beperkte tijd beschikbaar om te downloaden, daarna wordt hij automatisch verwijderd. Download en bewaar de export dus tijdig op een afgeschermde, gecontroleerde locatie en noteer de bijbehorende hashwaarden.
Onderzoek afronden
Na de reconstructie stel je een rapport op met de tijdlijn, de getroffen data, de vermoedelijke oorzaak en de aanbevelingen. Dit rapport voedt je incidentevaluatie en een eventuele datalekmelding. Zie het incidentresponsplan en de GDPR-meldplicht.
Een typisch verloop in de tijd:
- Uur 0: Vault-hold zetten en bewijs bevriezen.
- Uur 1 tot 4: Logbronnen verzamelen via de audit- en onderzoekstool.
- Dag 1: Tijdlijn reconstrueren en gebeurtenissen correleren.
- Dag 2 tot 3: Impact bepalen en het rapport opstellen.
- Week 1: Conclusies trekken, melding doen en herstelmaatregelen nemen.
- Na afronding: Hold opheffen volgens het bewaarbeleid, pas als juridisch zeker is dat het bewijs niet meer nodig is.
Heb ik Vault nodig voor forensisch onderzoek?
Vault is sterk aanbevolen omdat het bewijs bevriest en exporteerbaar maakt met aantoonbare integriteit. Zonder hold riskeer je dat data verdwijnt door bewaarregels of bewust wissen. Vault is inbegrepen bij de Business- en Enterprise-edities, niet bij de instapeditie.
Hoe lang blijven audit-logs bewaard?
De bewaartermijn verschilt per logtype en editie en is begrensd. Voor langdurige bescherming exporteer je logs naar een SIEM of BigQuery, zodat je niet afhankelijk bent van de standaardretentie.
Mag ik zomaar een account onderzoeken?
Nee, onderzoek moet een legitiem doel hebben en passen binnen de privacywetgeving en het interne beleid. Betrek bij gevoelige zaken juridische zaken en leg de grondslag vooraf vast.
Wat als de aanvaller logs heeft gewist?
Gebruikers kunnen de audit-logs niet wissen; die staan los van hun mailbox en kunnen niet worden bewerkt. Wel kan inhoud zoals mail verdwijnen, daarom is een snelle Vault-hold cruciaal.
Welke tool gebruik ik: de audit- en onderzoekstool of het security center?
De audit- en onderzoekstool onder Rapportage heeft elke admin met de juiste rechten. De onderzoekstool in het security center vereist een hogere editie en de security center-licentie, en biedt extra correlatie en bulkacties. Voor de meeste forensische zoekopdrachten volstaat de eerste.
Hoe houd ik de keten van bewaring aantoonbaar?
Werk vanuit een Vault-zaak met holds, exporteer met de bijbehorende hashwaarden, download de export tijdig en bewaar die afgeschermd. Noteer per stap wie, wanneer en wat, en wijzig nooit het origineel.
Met snel bewijs veiligstellen, de juiste logbronnen, zorgvuldige reconstructie en een intacte keten van bewaring voer je forensisch onderzoek uit dat standhoudt. Snelheid bij stap een bepaalt vaak of de rest van het onderzoek slaagt.