Eventos de registro de evaluación de acceso

Consulta cómo acceden las aplicaciones cliente a los datos de usuarios

En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información

Como administrador de tu organización, puedes usar eventos de registro de Evaluación de acceso para saber cómo influyen las diferentes políticas de seguridad de Google Workspace en el acceso de los usuarios a aplicaciones de terceros y propiedad de Google. Por ejemplo, una organización puede tener varias políticas de OAuth que controlen el acceso a aplicaciones en función de distintas reglas. Los eventos del registro de evaluación de acceso muestran las políticas que afectan al acceso de los usuarios, si se ha concedido acceso y cómo se han tomado esas decisiones. Puedes usar esta información para revisar y modificar las políticas de seguridad y la configuración de tu organización.

Buscar eventos de registro

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Herramienta de auditoría y de investigación

Para buscar eventos de registro, primero debes elegir una fuente de datos. A continuación, escoge uno o varios filtros para acotar la búsqueda.

  1. En la Consola de administración de Google, ve a Menú y luego Informesy luegoAuditoría e investigacióny luegoEventos de registro de Evaluación de acceso.

    Se requiere el privilegio de administrador Informes.

  2. Para filtrar eventos que se hayan producido antes o después de una fecha concreta, en Fecha, selecciona Antes o Después. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro periodo o hacer clic en para quitar el filtro de fecha.

  3. Haz clic en Añadir un filtro y selecciona un atributo.
  4. En la ventana emergente, selecciona un operadory luegoselecciona un valory luegohaz clic en Aplicar.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
  5. Haz clic en Buscar.

    Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.

Herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición. 

  1. Inicia sesión con una cuenta de administrador en Consola de administración de Google.

    Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.

  2. Ve a Menú y luego Seguridad > Centro de Seguridad > Herramienta de investigación.

    Se necesita el privilegio de administrador Centro de Seguridad.

  3. Haz clic en Fuente de datos y selecciona Eventos de registro de Evaluación de acceso.

  4. Para filtrar eventos que se hayan producido antes o después de una fecha concreta, en Fecha, selecciona Antes o Después. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro periodo o hacer clic en para quitar el filtro de fecha.

  5. Haz clic en Añadir condición.
    Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
  6. Haz clic en Atributoy luegoselecciona una opción.
    Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
  7. Selecciona un operador.
  8. Introduce un valor o selecciona uno en la lista desplegable.
  9. (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
  10. Haz clic en Buscar.
    Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
  11. (Opcional) Para guardar la investigación, haz clic en Guardary luegointroduce un título y una descripcióny luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro, también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
  • Si ha asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.

Descripciones de atributos

Tu organización puede tener varias políticas de seguridad procedentes de diferentes fuentes que afectan al acceso de los usuarios. Los registros de evaluación de acceso te ayudan a comprender el comportamiento combinado de esas políticas y a identificar las políticas concretas que te interesa cambiar.

Por ejemplo, si usuarios no autorizados acceden a una aplicación de mensajería, los eventos de registro de evaluación de acceso te ayudarán a saber qué políticas se están usando. Si cambia una política, los eventos de registro mostrarán el resultado de ese cambio.

Los eventos de registro de evaluación de acceso también se utilizan para investigar la posición de seguridad de tu organización. Por ejemplo:

  • Monitorizar la actividad sospechosa: puedes usar los registros para detectar actividad sospechosa, como intentos de acceder a datos sensibles o desde ubicaciones prohibidas.
  • Auditar la posición de seguridad de tu organización: puedes usar los registros para auditar la posición de seguridad de tu organización y asegurarte de que tus datos están protegidos.

Se crea una entrada de registro para el primer evento en un periodo de 24 horas. Los eventos duplicados con la misma información no se registran hasta que han pasado 24 horas. Por ejemplo, si una entrada con el usuario 1, el cliente 1 y la IP 1 se produce en el momento X, los eventos duplicados con la misma información no se registran hasta que han pasado 24 horas.

Nota: Cada entrada de registro puede incluir parte de la información que se indica a continuación, pero no toda. Por ejemplo, el campo de la cuenta de servicio suele estar vacío, a menos que se acceda mediante una cuenta de servicio.

Nombre de la columna

Comentarios

Ejemplo

Evento

Nombre del evento
  • Permitir solicitud de token
  • Permitir suplantación de identidad de token (cuando el acceso se realiza a través de una cuenta de servicio)

Descripción

Descripción del evento

Se permite la solicitud de acceso de FirstName LastName a Myapp para determinados permisos

Fecha

Fecha y hora en las que se evaluó la solicitud

2022-08-11T10:00:53-07:00

Actor

Dirección de correo del usuario para el que se ha solicitado y permitido la evaluación

firstlast@sample-win.info

Nombre de la aplicación

Nombre de la aplicación a la que se accede

Reddit

Dirección IP

Dirección IP desde la que el usuario ha solicitado la evaluación de acceso

2601:600:8780:19d0:925:e630:d20e:b1cc

ID de cliente de OAuth

ID de cliente de la aplicación cuyo acceso se ha evaluado

705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com

Ámbito

Permisos para los que se ha concedido la solicitud

Nota: La información sobre el ámbito de OAuth no se muestra en las aplicaciones propiedad de Google.

https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid

Origen de configuración

Describe si se ha permitido un ID de cliente debido a que una política de Google Workspace ha permitido explícitamente al usuario acceder a este ID de aplicación

Consulta más información en la sección Descripciones de origen de configuración más adelante en esta página

Tipo de cliente

Tipo de aplicación cuyo acceso se ha evaluado

Web, Android, iOS, etc.

Cuenta de servicio

ID de correo de la cuenta de servicio si se ha utilizado para suplantar a algún usuario

abc-alpha@gserviceaccount.com

Descripciones de origen de configuración

El origen de configuración describe si se ha permitido un ID de cliente debido a una política de Google Workspace que ha permitido explícitamente el acceso del usuario al ID de aplicación.

Situación Descripción
No hay ninguna configuración para esta aplicación

El acceso se ha permitido porque los administradores no han definido ninguna política mediante controles de API que bloquee el acceso al ID de cliente.

Para añadir políticas de bloqueo, consulta el artículo Controlar qué aplicaciones acceden a los datos de Google Workspace.
Configuración de los controles de APIs

Se ha permitido el acceso porque la aplicación se ha definido como de confianza o se ha limitado en una política mediante Controles de API.

Para obtener más información, consulta el artículo Controlar qué aplicaciones acceden a los datos de Google Workspace.
Configuración de la gestión de endpoints

Se ha permitido el acceso porque la aplicación era de confianza o estaba limitada en una política mediante la gestión de endpoints de Google.

Para obtener más información, consulta Descripción general: Administrar dispositivos con la gestión de endpoints de Google.
Configuración de Workspace Marketplace

Se permitió el acceso porque la aplicación se instaló desde Google Workspace Marketplace.

Para obtener más información, consulta el artículo Buscar e instalar una aplicación en Marketplace.
Configuración de la delegación de todo el dominio

Se ha permitido el acceso porque esta aplicación se ha delegado en todo el dominio.

Para obtener más información, consulta el artículo Controlar el acceso a las APIs con la delegación de todo el dominio.

Gestionar datos de eventos de registro

Gestionar datos de columnas de resultados de búsqueda

Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.

  1. En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
  2. (Opcional) Para quitar columnas, haz clic en Quitar .
  3. (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo  y selecciona la columna de datos.
    Repite el proceso tantas veces como sea necesario.
  4. (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
  5. Haz clic en Guardar.
Exportar datos de resultados de búsqueda

Puedes exportar los resultados de búsqueda a Hojas de cálculo o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
  2. Introduce un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo.

Los límites de exportación varían:

  • Los resultados totales de la exportación están limitados a 100.000 filas.
  • Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Si utilizas la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas.

Consulta más información en el artículo Exportar resultados de búsqueda.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Tomar medidas en función de los resultados de búsqueda

Crear reglas de actividad y configurar alertas
  • Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
  • Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.

Tomar medidas en función de los resultados de búsqueda

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.

Gestionar investigaciones

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Ver la lista de investigaciones

Para ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente. 

En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.

Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.

Configurar los ajustes de las investigaciones

Como superadministrador, haz clic en Configuración para hacer lo siguiente:

  • Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
  • Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
  • Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
  • Activar o desactivar la opción Habilitar justificación de acciones.

Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.

Compartir, eliminar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.

Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
2125565586811866952
true
Buscar en el Centro de ayuda
false
true
true
true
true
true
73010
false
false
false
false