Personalizar búsquedas en la herramienta de investigación

Esta función está disponible en las ediciones G Suite Enterprise, G Suite Enterprise para Centros Educativos, Drive Enterprise y Cloud Identity Premium.

Con la herramienta de investigación de seguridad, puedes personalizar las búsquedas introduciendo diversas condiciones de búsqueda. Las condiciones disponibles varían dependiendo de la fuente de datos de la búsqueda (por ejemplo, eventos de registro del dispositivo o eventos de registro de Google Drive).

Para hacer búsquedas con la herramienta de investigación, sigue estos pasos:

  1. Ve a la página admin.google.com para iniciar sesión en la consola de administración de Google.
    Recuerda que debes iniciar sesión con tu cuenta de administrador y no con tu cuenta personal de Gmail.
  2. Haz clic en Seguridad.
  3. Haz clic en Herramienta de investigación.
  4. Elige una fuente de datos para la búsqueda: Eventos de registro de dispositivos, Dispositivos, Eventos de registro de Drive, Eventos de registro de Gmail, Mensajes de Gmail, Eventos de registro de usuarios o Usuarios.

    Nota: Las fuentes de datos disponibles variarán en función de tu edición de G Suite.

  5. Haz clic en AÑADIR CONDICIÓN.
    Puedes incluir una o más condiciones en tu búsqueda. Para obtener más detalles sobre las condiciones disponibles para cada fuente de datos, consulta las secciones que figuran más adelante. 
  6. Haz clic en BUSCAR.

Tomar medidas basadas en resultados de búsqueda

Una vez que hayas terminado de buscar en la herramienta de investigación, puedes realizar varias acciones en función de los resultados de las búsquedas. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego, con la herramienta de investigación, eliminar mensajes específicos, marcar mensajes como spam o suplantación de identidad (phishing), enviar mensajes a la cuarentena o enviar mensajes a las bandejas de entrada de los usuarios. Para obtener más detalles sobre las acciones disponibles en la herramienta de investigación, consulta el artículo Tomar medidas basadas en resultados de búsqueda.

Nota: Si restringes la búsqueda, los resultados aparecerán antes en la herramienta de investigación. Por ejemplo, si reduces la búsqueda a eventos que ocurrieron en la última semana, la consulta devolverá un resultado más rápido que si buscas sin restringir la consulta a un periodo más breve.

Añadir una opción de agrupar al personalizar una búsqueda

Al personalizar una búsqueda en la herramienta de investigación, puedes agrupar elementos por un atributo de búsqueda concreto para comprender rápidamente el alcance de un problema. Por ejemplo, al realizar una búsqueda basada en eventos de registro de dispositivos, puedes agrupar los criterios de búsqueda en función del modelo de dispositivo. 

Para añadir una opción de agrupación a tu búsqueda:

  1. Durante la búsqueda, haz clic en AÑADIR OPCIÓN DE CRITERIO DE AGRUPACIÓN.
  2. En el menú desplegable Agrupar por, elige una condición de búsqueda. Por ejemplo, Modelo del dispositivo.
  3. Haz clic en BUSCAR.

    En este ejemplo, se muestra una lista de dispositivos en la lista de resultados de búsqueda. Para cada elemento de los resultados de búsqueda, se muestra el nombre del modelo de dispositivo y el número de repeticiones de cada modelo de dispositivo, con el número de repeticiones más alto en la parte superior.

    A continuación, puedes añadir más condiciones a los criterios de búsqueda desplazándote por los elementos de los resultados, haciendo clic en el icono Más Más y, a continuación, en Añadir condición a la búsqueda.

Condiciones de los eventos de registro de dispositivos

Condición    
Fecha
  • Antes
  • Después

Escribe una fecha en el campo Fecha.
Utiliza el siguiente formato:

AAAA-MM-DDThh:mm:ss

ID del dispositivo
  • Es
  • No es
Escribe un valor en el campo ID del dispositivo.
Evento
  • Es
  • No es

Elige una de las siguientes opciones:

  • Cambio en el registro de la cuenta
  • Estado de cumplimiento del dispositivo
  • Actualización del SO del dispositivo
  • Compatibilidad con el perfil de trabajo
  • Cambio en la configuración del dispositivo
  • Dispositivo en riesgo de seguridad
  • Intentos de contraseña fallidos
  • Actividad sospechosa
  • Cambio en una aplicación del dispositivo
  • Eventos ADB
  • Eventos de bloqueo de pantalla
  • Cambio en la propiedad del dispositivo
  • Evento de red
  • Evento relativo a una acción en el dispositivo
Propietario del dispositivo
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo Propietario del dispositivo (dirección de correo electrónico válida).
Tipo de dispositivo
  • Es
  • No es

Elige una de las siguientes opciones:

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome OS
Modelo del dispositivo
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo Modelo del dispositivo.
Intentos de contraseña fallidos
  • Igual a
  • Inferior o igual a
  • Superior o igual a

Escribe un número en el campo Valor numérico.

Dispositivo en riesgo de seguridad
  • Es
  • No es

Elige una de las siguientes opciones:

  • Vulnerado
  • No vulnerado
Propiedad del dispositivo
  • Es
  • No es

Elige una de las siguientes opciones:

  • Modelo del dispositivo
  • Número de serie
  • Número IMEI
  • Número MEID
  • Dirección MAC de Wi‑Fi
  • Privilegio de la aplicación Device Policy
  • Fabricante
  • Marca del dispositivo
  • Hardware del dispositivo
  • Versión del bootloader
Ajuste del dispositivo
  • Es
  • No es

Elige una de las siguientes opciones:

  • Opciones para desarrolladores
  • Fuentes desconocidas
  • Depuración por USB
  • Verificar aplicaciones
Hash SHA-256 de aplicación
  • Es
  • No es

Escribe un valor en el campo Hash SHA-256.

ID de la aplicación
  • Es
  • No es
Escribe un valor en el campo ID de la aplicación.
Estado de la aplicación
  • Es
  • No es

Elige una de las siguientes opciones:

  • Instalada
  • Desinstalada
  • Actualizada
Estado de la cuenta
  • Es
  • No es

Elige una de las siguientes opciones:

  • Registrado
  • No registrado
Privilegio de registro
  • Es
  • No es

Elige una de las siguientes opciones:

  • Administrador del dispositivo
  • Propietario del dispositivo
  • Perfil del propietario
Propiedad del dispositivo
  • Es
  • No es

Elige una de las siguientes opciones:

  • Propiedad de la empresa
  • Propiedad del usuario
Nuevo ID de dispositivo
  • Es
  • No es
Escribe un valor en el campo ID del dispositivo.
ID de recurso
  • Es
  • No es

Escribe un valor en el campo ID de recurso.

Número de serie
  • Es
  • No es
Escribe un valor en el campo Número de serie.
ID de proveedor de iOS
  • Es
  • No es

Escribe un valor en el campo ID de proveedor de iOS.

Dominio
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo Dominio.
Estado de cumplimiento del dispositivo
  • Es
  • No es

Elige una de las siguientes opciones:

  • Conforme
  • No conforme
Propiedad del SO
  • Es
  • No es

Elige una de las siguientes opciones:

  • Versión de sistema operativo
  • Número de compilación
  • Versión de kernel
  • Versión de banda base
  • Parche de seguridad
  • Bootloader del dispositivo

Condiciones de dispositivos

Condición    
ID del dispositivo
  • Es
  • No es

Escribe un valor en el campo ID del dispositivo.

Propietario del dispositivo
  • Es
  • No es

Escribe un valor en el campo Propietario del dispositivo (dirección de correo electrónico válida).

Tipo de dispositivo
  • Es
  • No es

Elige una de las siguientes opciones:

  • Android
  • iOS
  • Mac
  • Windows
  • Chrome OS
Modelo del dispositivo
  • Es
  • No es
Escribe un valor en el campo Modelo del dispositivo.
Estado
  • Es
  • No es

Elige una de las siguientes opciones:

  • Pendiente
  • En funcionamiento
  • Bloqueado
  • Eliminando datos
  • Datos eliminados
  • Dado de baja
  • Borrando datos de la cuenta
  • Cuenta borrada
  • Registrado
  • No registrado
  • Desactivado
  • Aprobado
Fecha de la última sincronización
  • Antes
  • Después
Escribe una fecha en el campo Fecha
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss
Dispositivo en riesgo de seguridad
  • Es
  • No es

Elige una de las siguientes opciones:

  • Vulnerado
  • No vulnerado
Estado de la contraseña
  • Es
  • No es

Elige una de las siguientes opciones:

  • Activada
  • Desactivada
Tipo de gestión
  • Es
  • No es

Elige una de las siguientes opciones:

  • Ninguna
  • Básica
  • Avanzada
Fecha del parche de seguridad
  • Antes
  • Después

Escribe una fecha en el campo Fecha
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss

Fecha de registro
  • Antes
  • Después

Escribe una fecha en el campo Fecha
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss

Operador
  • Es
  • No es
Escribe un valor en el campo Operador.

Condiciones de eventos de registro de Google Drive

Condición    
Fecha
  • Antes
  • Después

Escribe una fecha en el campo Fecha
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss

ID de documento
  • Es
  • No es

Escribe un valor en el campo ID del documento.

Título
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un valor en el campo Título.

Tipo de documento
  • Es
  • No es

Elige una de las siguientes opciones:

  • Documento de Google
  • Hoja de cálculo de Google
  • Presentación de Google
  • Carpeta
  • Formulario de Google
  • Dibujos de Google
  • Unidad compartida
  • Archivo de texto
  • JPEG
  • PDF
  • PNG
  • MP4
  • Microsoft Word
  • Microsoft Excel
  • HTML
  • MPEG
  • Quicktime
  • Microsoft PowerPoint
  • Google Sites
Visibilidad anterior
  • Es
  • No es

Elige una de las siguientes opciones:

  • Privado
  • Compartido de forma interna
  • Usuarios del dominio con el enlace
  • Público en el dominio
  • Compartido de forma externa
  • Usuarios con el enlace
  • Público en la Web
Visibilidad
  • Es
  • No es

Elige una de las siguientes opciones:

  • Privado
  • Compartido de forma interna
  • Usuarios del dominio con el enlace
  • Público en el dominio
  • Compartido de forma externa
  • Usuarios con el enlace
  • Público en la Web
Evento
  • Es
  • No es

Elige una de las siguientes opciones:

  • Crear
  • Subir
  • Editar
  • Ver
  • Cambiar nombre
  • Mover
  • Añadir a carpeta
  • Quitar de carpeta
  • Papelera
  • Eliminar
  • Quitar de la papelera
  • Descargar
  • Obtener vista previa
  • Imprimir
  • Cambiar propietario
  • Cambiar los editores LCA
  • Cambiar el alcance del acceso
  • Cambiar la visibilidad del documento
  • Cambiar el acceso del usuario
  • Cambiar la pertenencia a la unidad compartida
Actor
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un nombre de usuario en el campo Actor.

Nota: El actor es el usuario que activa un evento al modificar un archivo.

Propietario
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un nombre de usuario en el campo Propietario.

Objetivo
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un valor en el campo Objetivo.

Nota: El objetivo es el usuario o grupo que se ha añadido o eliminado en un archivo.

Cambio de visibilidad
  • Es
  • No es

Elige una de las siguientes opciones:

  • Interno
  • Externo
  • Ninguno
Dirección IP
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un valor en el campo Dirección IP.

Dominio
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo Dominio.

Acerca de la visibilidad de los archivos de unidades compartidas

En la carpeta Mi unidad, un archivo que solo puede ver el propietario tiene la visibilidad configurada con el valor Privado. Sin embargo, aunque un archivo no esté compartido de forma explícita con otros usuarios en una unidad compartida, la visibilidad es de Compartido de forma interna (los archivos de las unidades compartidas tienen una visibilidad de Privado).

Condiciones de los eventos de registro de Gmail

Condición    
Fecha
  • Antes
  • Después

Escribe una fecha en el campo Fecha
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss

ID de mensaje
  • Es
  • No es

Escribe un valor en el campo ID de mensaje.

Asunto
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un valor en el campo Asunto.

Evento
  • Es
  • No es

Elige una de las siguientes opciones:

  • Se ha enviado a la cuarentena de administrador
  • Se ha descargado el archivo adjunto
  • Se ha hecho clic en el enlace de un archivo adjunto
  • Se ha guardado el archivo adjunto en Drive
  • Se ha reenviado automáticamente
  • Se ha guardado el elemento en Drive
  • Se ha clasificado posteriormente como spam
  • Se ha hecho clic en el enlace
  • Se ha marcado como no leído
  • Se ha sacado de la papelera
  • Se ha movido a la bandeja de entrada
  • Se ha movido a la papelera
  • Se ha abierto
  • Se ha recibido
  • Se ha quitado de la cuarentena
  • Se ha respondido
  • Se ha enviado
  • El usuario lo ha clasificado como spam
De (dirección de encabezado)
  • Es
  • No es
  • Contiene
  • No contiene

Escribe una dirección en el campo De (dirección de encabezado).

De (sobre)
  • Es
  • No es
  • Contiene
  • No contiene

Escribe una dirección en el campo De (sobre).

Para (sobre)
  • Es
  • No es
  • Contiene
  • No contiene
Escribe una dirección en el campo Para (sobre).
Propietario
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un nombre de usuario en el campo Propietario.

Dominio
  • Es
  • No es
  • Contiene
  • No contiene

Escriba un nombre en el campo Dominio.

Tiene un archivo adjunto
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Hash del archivo adjunto
  • Es
  • No es

Escribe un valor en el campo Hash SHA-256.

Nombre del archivo adjunto
  • Es
  • No es
  • Contiene
  • No contiene

Escribe un nombre en el campo Nombre del archivo adjunto.

Familia de software malicioso de archivos adjuntos
  • Es
  • No es

Elige una de las siguientes opciones:

  • Programa de software malicioso conocido
  • Virus/Gusano
  • El contenido puede ser dañino
  • Potencialmente no deseado
  • Otros
Dirección IP
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo Dirección IP.
De (nombre de encabezado)
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un nombre en el campo De (nombre de encabezado).
Dominio del remitente
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un nombre en el campo Dominio del remitente.
Enlazar dominio
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un nombre en el campo Enlazar dominio.
Extensión del archivo adjunto
  • Es
  • No es
  • Contiene
  • No contiene
Escribe una extensión en el campo Extensión del archivo adjunto.
Dominio SPF
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un nombre en el campo Dominio SPF.
Dominio DKIM
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un nombre en el campo Dominio DKIM.
Fuente de tráfico
  • Es
  • No es

Elige una de las siguientes opciones:

  • Externo
  • Interno
Clasificación como spam
  • Es
  • No es

Elige una de las siguientes opciones:

  • Limpio
  • Spam
  • Suplantación de identidad (phishing)
  • Sospechoso
  • Software malicioso
Motivo de la clasificación como spam
  • Es
  • No es

Elige una de las siguientes opciones:

  • Predeterminado
  • Acciones realizadas por el usuario
  • Contenido sospechoso
  • Enlace sospechoso
  • Archivo adjunto sospechoso
  • Tipo
  • DMARC
  • El dominio figura en listas negras públicas
  • Infracción de RFC
  • Infracción de una política de Gmail
  • Veredicto de aprendizaje automático
  • Reputación del remitente
  • Spam evidente
  • Configuración de seguridad de Gmail
Geolocalización
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo Geolocalización.
ID de proyecto OAuth
  • Igual a
  • Inferior o igual a
  • Superior o igual a
Escribe un valor en el campo ID de proyecto OAuth.
URL de enlace de destino
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo URL de enlace de destino.
Hash de archivos adjuntos de destino
  • Es
  • No es
Escribe un valor en el campo Hash de archivos adjuntos de destino.
Nombres de archivos adjuntos de destino
  • Es
  • No es
Escribe un valor en el campo Nombres de archivos adjuntos de destino.
Familia de software malicioso de los archivos adjuntos de destino
  • Es
  • No es

Elige una de las siguientes opciones:

  • El contenido puede ser dañino
  • Programa de software malicioso conocido
  • Otros
  • Potencialmente no deseado
  • Virus/Gusano
ID de la unidad de destino
  • Es
  • No es
  • Contiene
  • No contiene
Escribe un valor en el campo ID de unidad de destino.

Condiciones de mensajes de Gmail

Condición    
Asunto
  • Es
  • No es

Escribe un asunto en el campo Asunto.

ID de mensaje
  • Es
  • No es

Escribe un valor en el campo ID de mensaje.

Fecha
  • Antes
  • Después

Escribe una fecha en el campo Fecha
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss

Remitente
  • Es
  • No es

Escribe un remitente en el campo Remitente.

Destinatario
  • Es
  • No es

Escribe un destinatario en el campo Destinatario.

Etiqueta
  • Es
  • No es

Elige una de las siguientes opciones:

  • Inbox
  • Papelera
  • Spam
  • No leído
  • Destacado
  • Suplantación de identidad (phishing)
  • Se ha enviado a la cuarentena de administrador
Nombre del archivo adjunto
  • Es
  • No es

Escribe un nombre de archivo adjunto en el campo Nombre del archivo adjunto.

Tiene un archivo adjunto
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Cc
  • Es
  • No es
Escribe una dirección de correo electrónico válida en el campo Cc.
Cco
  • Es
  • No es
Escribe una dirección de correo electrónico válida en el campo Cco.
 
Todo el contenido
  • Contiene la palabra
  • No contiene la palabra
Escribe un valor en el campo Todo el contenido.
Tamaño del mensaje
  • Superior o igual a
  • Inferior o igual a
Escribe un valor en el campo Tamaño del mensaje.

Condiciones de los eventos de registro de usuarios

Disponible para los clientes beta de G Suite Enterprise, Drive Enterprise y Cloud Identity Premium Edition

Condición    
Fecha
  • Antes
  • Después

Escribe una fecha en el campo Fecha. 
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss

Usuario
  • Es
  • No es

Escribe un valor en el campo Usuario.

Evento
  • Es
  • No es

Elige una de las siguientes opciones:

  • Se ha iniciado sesión correctamente
  • No se ha podido iniciar sesión
  • Verificación de la identidad para el inicio de sesión
  • Cerrar sesión
  • Cambiar contraseña
  • Restablecer contraseña
  • Registrarse en la verificación en dos pasos
  • Anular registro en la verificación en dos pasos
  • Modificar información de recuperación
  • Generar código de seguridad
Tipo de inicio de sesión
  • Es
  • No es

Elige una de las siguientes opciones:

  • Contraseña de Google
  • SAML
  • Exchange
  • Reautenticación
  • Desconocido
Tipo de verificación de la identidad
  • Es
  • No es

Elige una de las siguientes opciones:

  • Mensaje de Google
  • Contraseña
  • OTP sin conexión: el usuario introduce el código OTP que obtiene de la configuración de su teléfono Android
  • ID de empleado conocido: el usuario demuestra que conoce el ID de empleado
  • Correo electrónico registrado previamente y conocido: el usuario demuestra que conoce el correo electrónico registrado previamente
  • Teléfono registrado previamente y conocido: el usuario demuestra que conoce el teléfono registrado previamente
  • Ubicación de inicio de sesión: el usuario inicia sesión desde una ubicación habitual
  • IDV en todos los teléfonos: se solicita un número de teléfono al usuario, que debe introducir el código que reciba en el teléfono
  • Código de seguridad: se solicita al usuario que introduzca un código de verificación de reserva
  • Llave de seguridad: el usuario pasa el método de verificación mediante la llave de seguridad 
  • Google Authenticator: se solicita al usuario que introduzca la contraseña de un solo uso que se muestra en la aplicación Authenticator
  • Otros
  • Ninguno
Es sospechoso
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Dirección IP
  • Es
  • No es

Escribe una dirección IP en el campo Dirección IP.

ID del dispositivo
  • Es
  • No es

Escribe un ID de dispositivo en el campo ID del dispositivo.

Segundo factor
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso

Condiciones de usuarios

Condición    
Correo electrónico
  • Es
  • No es

Introduce una dirección de correo electrónico válida en el campo Correo electrónico.

Nota: Esta dirección puede coincidir con la dirección de correo electrónico principal u otras direcciones de correo electrónico del usuario.

Nombre
  • Es
  • No es

Escribe un valor en el campo Nombre.

Apellidos
  • Es
  • No es

Escribe un valor en el campo Apellidos.

Último inicio de sesión
  • Antes
  • Después

Escribe una fecha en el campo Fecha
Utiliza el siguiente formato:
AAAA-MM-DDThh:mm:ss

Superadministrador
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Administrador delegado
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Inscrito en la verificación en dos pasos
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Verificación en dos pasos aplicada en la organización
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
ID suspendida
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Cambiar contraseña al iniciar sesión
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso
Configuración del buzón de correo
  • Es
  • No es

Elige una de las siguientes opciones:

  • Verdadero
  • Falso

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?