Ediciones compatibles con la fuente de datos Eventos de registro de Gmail en la herramienta de investigación:
Enterprise Plus y Education Plus
Como administrador de tu organización, puedes usar la herramienta de investigación de seguridad para hacer búsquedas relacionadas con los eventos de registro de Gmail y tomar medidas según los resultados de búsqueda. En la herramienta de investigación, puedes consultar un registro de las acciones para ver la actividad de los usuarios y de los administradores de tu organización en Gmail. Por ejemplo, puedes ver cuándo se clasifican correos como spam, cuándo se retiran de la cuarentena o cuándo se envían a la cuarentena de administrador. Si tienes los privilegios adecuados en la herramienta de investigación, también puedes ver el contenido de un mensaje de Gmail como parte de la investigación.
Además, puedes hacer una búsqueda por eventos de registro de Gmail y luego utilizar la herramienta para tomar algunas medidas, como eliminar mensajes específicos, marcar mensajes como spam o suplantación de identidad (phishing), enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios.
Acceso a la herramienta de investigación de seguridad
- Entre las ediciones compatibles con la herramienta de investigación de seguridad se incluyen Enterprise Plus, Education Standard, Education Plus y Enterprise Essentials Plus.
- Los administradores de Cloud Identity Premium, Frontline Standard, Enterprise Standard y Education Standard también pueden utilizar la herramienta de investigación en un subconjunto de fuentes de datos.
- La posibilidad de hacer una búsqueda en la herramienta de investigación depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Si no puedes hacer una búsqueda en la herramienta de investigación en una fuente de datos concreta, en su lugar, puedes usar la página de auditoría e investigación. Para obtener más información, consulta el artículo Experiencia mejorada de auditoría e investigación.
- Puedes hacer búsquedas en la herramienta de investigación sobre cualquier usuario, independientemente de la edición de Google que tenga.
Buscar eventos de registro de Gmail
Para hacer una búsqueda en la herramienta de investigación, primero debes elegir una fuente de datos. A continuación, debes elegir una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
Seguridad
Centro de Seguridad
- Haz clic en Fuente de datos y selecciona Eventos de registro de Gmail.
- Haz clic en Añadir condición.
Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas. - Haz clic en Atributo
Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo. - Haz clic en Contiene
- Introduce un valor o selecciona uno en la lista desplegable.
- (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
- Haz clic en Buscar.
Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página. - (Opcional) Para guardar la investigación, haz clic en Guardar
Nota:
- En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
- Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
| Attribute | Description |
|---|---|
| Attachment extension | ID of the Chrome browser |
| Attachment hash | SHA256 hash of the attachment |
| Attachment malware family | Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Attachment name | Name of the attachment |
| Date | Date and time of the event (displayed in your browser's default time zone) |
| Delegate | Email address of the delegate user who performed the action on the owner's behalf |
| DKIM domain | The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism |
| Domain | The domain where the action occurred |
| Event | The logged event action, such as Attachment download, Link click, or Send. |
| From (Envelope) | Sender's envelope address |
| From (Header address) | Sender's header address as it appears in the message headers, for example, user@example.com |
| From (Header name) | Sender's header display name as it appears in the message header |
| Geo location | ISO country code based on the relay IP |
| Has attachment | Email includes an attachment |
| Has delegate | Whether or not there was a delegate user who performed the action on the owner's behalf |
| IP address | IP address of the mail client that started or interacted with the message |
| Link domain | Domain(s) extracted from link URLs in the message body |
| Message ID | The unique message ID located in the message header |
| OAuth project ID | Cloud console project ID of the developer who authenticated with OAuth |
| Owner | Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender. |
| Sender domain | Domain of the sender |
| Spam classification | Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam) |
| Spam classification reason | Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment |
| SPF domain | Domain name used for Sender Policy Framework (SPF) authentication |
| Subject | The email subject line |
| Target attachment hash | Information about the SHA256 attachment hash if a user interacts with a message's attachment |
| Target attachment malware family | Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Target attachment name | Information about the attachment name if users interact with a message's attachment |
| Target drive ID | Information about the Drive ID if users interact with a message's Drive item |
| Target link URL | Information about the link URL if users interact with a message's link |
| To (Envelope) | Recipient's envelope address |
| Traffic source | Indicates if an email is sent/received internally (within your domain) or externally |
Tomar medidas en función de los resultados de búsqueda
Después de hacer una búsqueda en la herramienta de investigación, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Puedes consultar más información sobre lo que puedes hacer en la herramienta de investigación en el artículo Tomar medidas en función de los resultados de búsqueda.
Crear reglas de actividad y configurar alertas
Crea reglas de actividad para automatizar acciones en la herramienta de investigación y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más información e instrucciones, consulta cómo crear y gestionar reglas de actividad.
Gestionar tus investigaciones
Ver la lista de investigacionesPara ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente.
En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.
Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.
Como superadministrador, haz clic en Configuración para hacer lo siguiente:
- Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
- Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
- Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
- Activar o desactivar la opción Habilitar justificación de acciones.
Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.
Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.
- En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas
.
- (Opcional) Para quitar columnas, haz clic en Quitar elemento
.
- (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo
y selecciona la columna de datos.
Repite el proceso tantas veces como sea necesario. - (Opcional) Para cambiar el orden de las columnas, arrastra sus nombres.
- Haz clic en Guardar.
- En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
- Introduce un nombre
La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar. - Para ver los datos, haz clic en el nombre de tu exportación.
La exportación se abrirá en Hojas de cálculo de Google.
Cuando veas resultados de búsqueda exportados, ten en cuenta los siguientes factores:
- Al hacer clic en Exportar todo en la parte superior de la tabla, en la carpeta Mi unidad se crea una hoja de cálculo de Google con los resultados de búsqueda. En función del tamaño de los resultados, puede que se tarde un rato en exportar toda la información. Además, es posible que se creen varias hojas de cálculo. Como máximo, los resultados de la exportación pueden tener 30 millones de filas, excepto los resultados de búsqueda de mensajes de Gmail, que solo pueden incluir 1,25 millones de filas.
- Mientras la exportación está en curso, las hojas de cálculo de Google que se crean tienen un nombre temporal, como TMP-1-<título>. Si se crean varias hojas de cálculo de Google, los archivos adicionales se denominan TMP-2-<título>, TMP-3-<título>, y así sucesivamente. Una vez completado el proceso de exportación, los archivos cambian de nombre automáticamente y pasan a llamarse <título> [1 de N], <título> [2 de N], etc. Si los datos se exportan a una única hoja de cálculo, el nombre del archivo pasará a ser <título>.
- Los archivos que tienen los resultados de búsqueda exportados heredan la configuración de uso compartido del dominio. Por ejemplo, si los archivos que se crean se comparten con todos los usuarios de forma predeterminada, los datos exportados también tendrán este tipo de visibilidad.
Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.
Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.
Para obtener más información sobre las fuentes de datos, consulta el artículo Plazos de conservación y periodos de retraso de los datos.
Temas relacionados
- Iniciar investigaciones basadas en un gráfico del panel de control
- Crear gráficos personalizados basados en investigaciones
- Iniciar investigaciones desde el Centro de alertas
- Investigar informes de correos electrónicos maliciosos
- Investigar el uso compartido de archivos
- Investigar a usuarios a través de varias fuentes de datos
