En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información
Como administrador de tu organización, puedes hacer búsquedas y gestionar los eventos de registro de OAuth. Puedes ver un registro de las acciones para comprobar qué usuarios utilizan qué aplicaciones web o móviles de terceros en tu dominio. Por ejemplo, cuando un usuario abre una aplicación de Google Workspace Marketplace, en ese registro se guarda el nombre de la aplicación y del usuario.
En el registro también se incluye una entrada cada vez que se autoriza a una aplicación de terceros a que acceda a datos de una cuenta de Google, como Contactos, Calendar o archivos de Drive (solo en Google Workspace).
Reenviar datos de eventos de registro a Google Cloud
Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.
Buscar eventos de registro
La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
Atributo | Descripción |
---|---|
Nombre del grupo actor |
El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:
|
Unidad organizativa del actor | Unidad organizativa del actor |
Método de la API | Nombre del método de la API al que se ha llamado mediante el token de OAuth |
Nombre de la API | Nombre de la API a la que se ha llamado mediante el token de OAuth |
ID de aplicación | El ID del cliente de OAuth de la aplicación a la que se le ha autorizado o revocado el acceso. |
Nombre de la aplicación | La aplicación a la que se le ha concedido o revocado el acceso |
Tipo de cliente | Tipo de cliente; por ejemplo, Dispositivo conectado, Android nativo o iOS nativo |
Fecha | Fecha y hora en que se ha producido el evento (en la zona horaria predeterminada de tu navegador). |
Evento |
La acción del evento registrado; por ejemplo, Llamada a la API o Conceder Nota: Los eventos de llamada a la API solo están disponibles para Enterprise Plus, Education Plus, Enterprise Standard, Education Standard y Cloud Identity Premium. |
Dirección IP | La dirección del protocolo de Internet (IP) del usuario al que se le ha autorizado o revocado el acceso. Podría indicar su ubicación física, pero también podría ser, por ejemplo, la dirección de un servidor proxy o de una red privada virtual (VPN). Nota: Si un evento no se ha activado directamente por una acción del usuario (por ejemplo, lo ha hecho porque el token ha caducado), es posible que las direcciones IP no se registren. |
Número de bytes de respuesta | Tamaño de la respuesta en bytes |
Producto* | Nombre del producto de Google para el que se ha concedido el token de OAuth |
Permiso* | Los ámbitos en los que se ha autorizado o revocado el acceso |
Usuario | Usuario al que se le ha autorizado o revocado el acceso. |
Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Gestionar datos de eventos de registro
Gestionar datos de columnas de resultados de búsqueda
Exportar datos de resultados de búsqueda
¿Cuándo están disponibles los datos y durante cuánto tiempo?
Tomar medidas en función de los resultados de búsqueda
Gestionar tus investigaciones
Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones
Temas relacionados con el Centro de seguridad
- Iniciar investigaciones basadas en un gráfico del panel de control
- Crear gráficos personalizados basados en investigaciones
- Iniciar investigaciones desde el Centro de alertas
- Investigar informes de correos electrónicos maliciosos
- Investigar el uso compartido de archivos
- Investigar a usuarios a través de varias fuentes de datos