Notificación

Duet AI ahora es Gemini para Google Workspace. Más información

Tomar medidas en función de los resultados de búsqueda

Herramienta de investigación de seguridad
Después de hacer una búsqueda en la herramienta de investigación, puedes tomar diferentes medidas en función de lo que hayas buscado. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego, con la herramienta de investigación, eliminar mensajes específicos, marcar mensajes como spam o suplantación de identidad (phishing), poner mensajes en cuarentena o enviar mensajes a las bandejas de entrada de los usuarios.

Para obtener más información e instrucciones sobre todo lo que se puede hacer en la herramienta de investigación, consulta las diferentes secciones de este artículo.

Nota:

  • Las fuentes de datos disponibles varían en función de tu edición de Google Workspace.
  • Es posible que, antes de tomar una medida a partir de los resultados de búsqueda, los administradores de tu organización tengan la opción de añadir un texto para explicar por qué van a tomarla para que quede registrado. Si eres superadministrador, puedes habilitar esta opción ajustando la configuración de la herramienta de investigación. Para obtener instrucciones, consulta el artículo Configurar los ajustes de las investigaciones.
  • Cuanto más reduzcas el periodo de la búsqueda, antes aparecerán los resultados en la herramienta de investigación. Por ejemplo, si reduces la búsqueda a eventos que ocurrieron en la última semana, la consulta devolverá resultados más rápidamente que si buscas en un periodo más amplio.
  • Si se agota el tiempo de espera mientras se realiza una acción en bloque, reduce el periodo de la búsqueda y, a continuación, vuelve a intentarlo.

Acceso a la herramienta de investigación de seguridad

  • Entre las ediciones compatibles con la herramienta de investigación de seguridad se incluyen Enterprise Plus, Education Standard, Education Plus y Enterprise Essentials Plus.
  • Los administradores de Cloud Identity Premium, Frontline Standard, Enterprise Standard y Education Standard también pueden utilizar la herramienta de investigación en un subconjunto de fuentes de datos.
  • La posibilidad de hacer una búsqueda en la herramienta de investigación depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Si no puedes hacer una búsqueda en la herramienta de investigación en una fuente de datos concreta, en su lugar, puedes usar la página de auditoría e investigación. Para obtener más información, consulta el artículo Experiencia mejorada de auditoría e investigación.
  • Puedes hacer búsquedas en la herramienta de investigación sobre cualquier usuario, independientemente de la edición de Google que tenga.

Tipos de acciones de la herramienta de investigación 

Acciones con dispositivos

Al hacer una búsqueda por dispositivos o por sus eventos de registro, puedes seleccionar dispositivos en los resultados y aplicarles las siguientes acciones:

  • Aprobar dispositivo: aprueba el dispositivo. Si la opción Habilitar activación de dispositivos está seleccionada, los dispositivos que se registren después de habilitar la activación deberán aprobarse para que se puedan sincronizar con tu dominio. Al habilitar esta opción, el usuario del dispositivo en cuestión debe instalar la aplicación Device Policy para sincronizarlo con Google Workspace.
  • Bloquear dispositivo: bloquea el acceso a los datos de Google Workspace (Gmail, Calendar y Contactos) desde el dispositivo. Aunque lo hagas, el usuario de este dispositivo aún podrá acceder a Gmail, Calendar y Contactos desde un ordenador o un navegador móvil.
  • Borrar la cuenta de administrador del dispositivo: solo borra de forma remota los datos de Google Workspace del dispositivo. Para obtener más información, consulta el artículo Borrar datos de empresa de dispositivos móviles.
  • Borrar el dispositivo de forma remota: borra de forma remota todos los datos del dispositivo. Para obtener más información, consulta el artículo Borrar datos de empresa de dispositivos móviles.
  • Cancelar borrado remoto del dispositivo: cancela el borrado remoto del dispositivo.
Acciones con eventos de registro de Drive

Al hacer una búsqueda por eventos de registro de Drive, puedes seleccionar archivos en los resultados y auditar los permisos de esos archivos, entre otras opciones.

Sigue estos pasos:

  1. Después de hacer una búsqueda por eventos de registro de Drive en la herramienta de investigación, marca en los resultados de búsqueda las casillas de los archivos que te interesen.
  2. Haz clic en Acciones > Auditar permisos de archivos para que se abra la página Permisos.
    En la pestaña Archivos, que es la que aparece de forma predeterminada, se muestran los archivos incluidos en los resultados de búsqueda. Desde ahí puedes gestionar el acceso a esos archivos. Por ahora, los archivos de las unidades compartidas no están disponibles en esta vista.
  3. Haz clic en Personas para ver los usuarios y grupos que tienen acceso a los archivos.
    Las personas de esta lista tienen acceso a uno o más elementos de los resultados de búsqueda. En esta vista puedes gestionar el acceso de usuarios y grupos.
  4. Haz clic en Enlaces para ver o modificar la configuración de uso compartido mediante enlace de los archivos seleccionados.
  5. Haz clic en Añadir usuarios si quieres que más usuarios puedan acceder al archivo. Para añadir varios usuarios, incluye sus nombres en una lista separada por comas. También puedes seleccionar el nivel de acceso de cada uno de ellos.

    Nota: En la pestaña Unidad compartida, solo puedes editar el acceso a los archivos de la unidad correspondiente. Los archivos ajenos a la unidad no aparecen en esta pestaña.
     
  6. Haz clic en Cambios pendientes para revisar los cambios antes de guardarlos.

Acciones con unidades compartidas

Si tienes el privilegio Herramienta de investigación de seguridad y luego Actualizar o eliminar en Drive, también puedes modificar las unidades compartidas y sus archivos:

  • Puedes cambiar, quitar o ampliar el nivel de acceso de los miembros de una unidad compartida.
  • Puedes cambiar, quitar o ampliar el nivel de acceso a los archivos de una unidad compartida que se haya dado a los usuarios.

Nota: Aunque Google Drive permite compartir carpetas y cambiar su propiedad, la herramienta de investigación no permite a los administradores realizar estas acciones.

Acciones con mensajes de Gmail y eventos de registro de Gmail

Al hacer una búsqueda por mensajes de Gmail o eventos de registro de este servicio, puedes seleccionar mensajes en los resultados de búsqueda y, después, hacer lo siguiente (estas acciones solo estarán disponibles con los mensajes de Gmail y no con los de Grupos de Google):

  • Ver cabecera
  • Ver mensajes.
  • Eliminar mensajes.
  • Restaurar mensajes.
  • Marcar mensajes como spam.
  • Marcar mensajes como suplantación de identidad (phishing).
  • Enviar mensajes a la bandeja de entrada (dejarán de estar marcados como spam o phishing).
  • Enviar mensaje a cuarentena (los mensajes se envían a la cuarentena predeterminada)

    Importante: Los mensajes en cuarentena se eliminarán automáticamente cuando se active tu política de conservación de Vault; por tanto, si esos mensajes son anteriores a esta política, no se pondrán en cuarentena, sino que se eliminarán. De forma predeterminada, los correos se conservan durante 30 días a partir del momento en que se enviaron o recibieron por primera vez. En Vault también puedes crear reglas de conservación personalizadas.

Por ejemplo, para enviar un mensaje a la bandeja de entrada de un usuario, sigue estos pasos:

  1. Después de hacer una búsqueda con la herramienta de investigación, ve a la lista de resultados y marca las casillas de los mensajes que quieras.
  2. Haz clic en Acciones.
  3. Selecciona Enviar mensaje a la bandeja de entrada.
  4. Para confirmar la operación, haz clic en Enviar a la bandeja de entrada.
  5. Para consultar el resultado de la acción, en la parte inferior de la página, haz clic en Ver.
    En la columna Resultado puedes ver el estado de la acción; por ejemplo, El mensaje se ha enviado correctamente a la bandeja de entrada.

Nota: También puedes ver el contenido de mensajes de Gmail. Encontrarás más información al respecto en el artículo Consultar el contenido de mensajes de Gmail.

Acciones con usuarios

Al hacer una búsqueda por usuarios, puedes seleccionar usuarios en los resultados y, a continuación, hacer lo siguiente:

  • Restaurar usuarios
  • Suspender usuarios.

Por ejemplo, para suspender usuarios específicos de los resultados de búsqueda, sigue estos pasos:

  1. Después de hacer una búsqueda con la herramienta de investigación, ve a la lista de resultados y marca las casillas de los usuarios que quieras.
  2. Haz clic en Acciones.
  3. Selecciona Suspender usuario.
  4. Para confirmar la operación, haz clic en Suspender usuarios.

El proceso para restaurar usuarios es similar.

Acciones con eventos de registro de usuarios

Al hacer una búsqueda por eventos de registro de usuarios, puedes seleccionar usuarios en los resultados y, a continuación, hacer lo siguiente:

  • Forzar el cambio de contraseña
  • Restaurar usuarios
  • Suspender usuarios.

Por ejemplo, para suspender usuarios específicos de los resultados de búsqueda, sigue estos pasos:

  1. Después de hacer una búsqueda con la herramienta de investigación, ve a la lista de resultados y marca las casillas de los usuarios que quieras.
  2. Haz clic en Acciones.
  3. Selecciona Suspender usuario.
  4. Para confirmar la operación, haz clic en Suspender usuarios.

El proceso para restaurar usuarios es similar.

Acciones con eventos de registro de Meet

Al hacer una búsqueda por eventos de registro de Meet, puedes utilizar la acción Terminar la reunión para todo el mundo para quitar a todos los usuarios de las reuniones seleccionadas de la organización. Por ejemplo, puedes impedir que los usuarios tengan reuniones no supervisadas cuando el anfitrión de la reunión no esté presente o después de que concluya un evento.

Consulta más información sobre cómo utilizar la herramienta de investigación para terminar reuniones.

Acciones en bloque con resultados de búsqueda

Además de seleccionar elementos individuales en los resultados de búsqueda y hacer con ellos lo que necesites, puedes aplicar acciones en bloque a una página entera o a todos los resultados de todas las páginas.

Nota: Si se agota el tiempo de espera mientras se realiza una acción en bloque, reduce el periodo de la búsqueda y, a continuación, vuelve a aplicar la acción en bloque.

Para aplicar acciones en bloque a los resultados de búsqueda de la página que estás viendo, sigue estos pasos:

  1. Haz clic en la casilla situada en la parte superior de la columna que está más a la izquierda.
    De esta forma, se marcarán todas las casillas de la página.
  2. En la barra del encabezado, haz clic en Acciones.

Para aplicar acciones en bloque a todos los resultados de búsqueda de todas las páginas, sigue estos pasos:

  1. Haz clic en la casilla situada en la parte superior de la columna que está más a la izquierda.
  2. Haz clic en Seleccionar todos los resultados.
    Así se marcarán todas las casillas de todas las páginas de los resultados de búsqueda.
  3. En la barra del encabezado, haz clic en Acciones.

    Nota: Si durante este proceso haces clic para ir la página siguiente de los resultados de búsqueda, se desmarcarán las casillas de todas las páginas y tendrás que volver a empezar.

Verificar el estado de las acciones en bloque

Puedes ver el estado de las tareas más extensas en la consola de administración de Google para saber si todavía están en progreso o si ya han finalizado.

Por ejemplo, si una de las acciones en bloque que has aplicado en la herramienta de investigación tarda mucho tiempo en completarse, puedes salir de la consola de administración y volver más tarde para verificar su estado. 

En la parte superior de la consola de administración, haz clic en Tareas  para ver el estado de las tareas extensas.

  Se señala dónde hacer clic en Tareas.

Para obtener más detalles, consulta también el artículo Comprobar el estado de tareas extensas.

Pivotar los resultados de búsqueda por columnas

Puedes pivotar por columnas los resultados de búsqueda de la herramienta de investigación para ver datos sobre un elemento que está relacionado con una fuente de datos diferente. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego hacer clic en cualquier elemento de la columna Destinatario para crear una consulta de evento de Drive por propietario. De esta forma, puedes analizar datos sobre un usuario específico a partir de dos fuentes de datos diferentes: eventos de registro de Gmail y eventos de registro de Drive.

Para pivotar desde los resultados de búsqueda de un evento de registro de Gmail a un evento de registro de Drive, haz lo siguiente:

  1. Después de hacer una búsqueda en la herramienta de investigación, en la columna Destinatario, coloca el cursor sobre el usuario que te interese.
  2. Haz clic en el icono de menú de ese usuario; es decir, sobre los tres puntos verticales.
  3. Selecciona Eventos de registro de Drive y luego Propietario.
    El criterio de búsqueda Eventos de registro de Drive se introduce automáticamente.
  4. Incluye condiciones adicionales en la búsqueda; por ejemplo, Título o Visibilidad.
  5. Haz clic en Buscar.

Puedes realizar otras acciones similares con muchos elementos de los resultados de búsqueda. Por ejemplo, puedes pivotar tomando como referencia una columna entera, el asunto de un mensaje, el ID del mensaje, el remitente, etc.

Cancelar acciones

Puedes cancelar acciones en la herramienta de investigación antes de que se completen. Por ejemplo, si ya has iniciado una acción para suspender varios usuarios, puedes cancelarla yendo a la parte inferior de la página Investigación y haciendo clic en Cancelar.

Si cancelas una acción en bloque en curso, los resultados que obtendrás serán parciales.

Nota: Las acciones de exportación solo las puede cancelar el administrador que las haya iniciado. El resto de los procesos puede cancelarlos cualquier administrador que tenga privilegios para actuar sobre los datos pertinentes de la acción, como datos de Drive, de Gmail o de dispositivos móviles.

Volver a intentar la ejecución de una acción

Al realizar una acción sobre muchos usuarios a la vez, es posible que no se aplique sobre algunos de ellos, por ejemplo, porque no estaban incluidos en los resultados de búsqueda. En este caso, puedes seguir los pasos siguientes para volver a intentarlo:

  1. Una vez que se haya completado una acción en la herramienta de investigación, haz clic en VER DETALLES.
  2. En el panel de datos de la acción, haz clic en VOLVER A INTENTAR.
  3. En la ventana que aparece, haz clic en la acción; por ejemplo, en MARCAR COMO SPAM.

Exportar resultados de acciones a un archivo de Hojas de cálculo y guardarlo en la carpeta Mi unidad

Para guardar los resultados en la carpeta Mi unidad, haz lo siguiente:

  1. Haz clic en el botón Exportar file_download_grey600_24dp.png, situado en la parte superior de la tabla de resultados.
  2. Da un nombre a la exportación.
  3. Haz clic en Exportar.

Ver los resultados exportados

Cuando veas resultados exportados, ten en cuenta lo siguiente:

  • Al hacer clic en el botón Exportar file_download_grey600_24dp.png, situado en la parte superior de la tabla, en la carpeta Mi unidad se crea una hoja de cálculo de Google en la que se incluyen los resultados. En función del tamaño de los resultados, puede que se tarde un rato en exportar toda la información. Además, es posible que se creen varias hojas de cálculo. Los resultados de la exportación pueden tener 30 millones de filas como máximo.
  • Mientras la exportación está en curso, las hojas de cálculo de Google que se crean tienen un nombre temporal, como TMP-1-<título>. Si se crean varias hojas de cálculo de Google, los archivos adicionales se denominan TMP-2-<título>, TMP-3-<título>, y así sucesivamente. Una vez completado el proceso de exportación, los archivos cambian de nombre automáticamente y pasan a llamarse <título> [1 de N], <título> [2 de N], etc. Si los datos se exportan a una única hoja de cálculo, el nombre del archivo pasará a ser <título>.
  • Los archivos con los resultados exportados heredan la configuración de uso compartido del dominio. Por ejemplo, si los archivos que se crean se comparten con todos los usuarios de forma predeterminada, los datos exportados también tendrán este tipo de visibilidad. 

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
490137557454482783
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false