Ediciones compatibles con la fuente de datos de eventos de registro de Transparencia de acceso en la herramienta de investigación: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus. Comparar ediciones
Como administrador de tu organización, puedes usar la herramienta de investigación de seguridad para hacer búsquedas relacionadas con eventos de registro de Transparencia de acceso. Puedes ver un registro de las acciones para consultar información sobre las actividades que realiza el personal de Google cuando accede a tus datos.
Los datos de eventos de registro de Transparencia de acceso incluyen la siguiente información:
- Recurso afectado y acción realizada
- Hora a la que se ha llevado a cabo la acción
- Motivo de la acción (por ejemplo, el número de caso asociado a una solicitud al servicio de asistencia)
- El miembro del personal de Google que ha realizado la acción (por ejemplo, la ubicación de su oficina)
Para obtener más información, consulta el artículo Transparencia de acceso: consultar registros sobre el acceso de Google al contenido de usuarios.
Reenviar datos de registro a Google Cloud
Puedes aceptar compartir datos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.
Acceso a la herramienta de investigación de seguridad
- Entre las ediciones compatibles con la herramienta de investigación de seguridad se incluyen Enterprise Plus, Education Standard, Education Plus y Enterprise Essentials Plus.
- Los administradores de Cloud Identity Premium, Frontline Standard, Enterprise Standard y Education Standard también pueden utilizar la herramienta de investigación en un subconjunto de fuentes de datos.
- La posibilidad de hacer una búsqueda en la herramienta de investigación depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Si no puedes hacer una búsqueda en la herramienta de investigación en una fuente de datos concreta, en su lugar, puedes usar la página de auditoría e investigación. Para obtener más información, consulta el artículo Experiencia mejorada de auditoría e investigación.
- Puedes hacer búsquedas en la herramienta de investigación sobre cualquier usuario, independientemente de la edición de Google que tenga.
Buscar eventos de registro de Transparencia de acceso
Para hacer una búsqueda en la herramienta de investigación, primero debes elegir una fuente de datos. A continuación, debes elegir una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición.
Sigue estos pasos:
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadCentro de SeguridadHerramienta de investigación.
- En la lista desplegable Fuente de datos, selecciona Eventos de registro de Transparencia de acceso.
- Haz clic en Añadir condición.
Puedes incluir una o varias condiciones en tu búsqueda. También puedes personalizar la búsqueda con consultas anidadas, es decir, búsquedas con dos o tres niveles de condiciones (para conocer los detalles, consulta el artículo Personalizar la búsqueda con consultas anidadas). - En la lista desplegable Atributo, selecciona uno de los atributos (por ejemplo, Actor o Fecha). Para ver una lista completa de los atributos disponibles en los eventos de registro de Transparencia de acceso, consulta la sección siguiente.
Nota: Cuanto más reduzcas el periodo de la búsqueda, antes aparecerán los resultados en la herramienta de investigación. Por ejemplo, si reduces la búsqueda a eventos que ocurrieron en la última semana, la consulta devolverá resultados más rápidamente que si buscas en un periodo más amplio.
- Selecciona un operador; por ejemplo, Es, No es, Contiene o No contiene.
- Elige o introduce un valor para el atributo. En algunos atributos puedes elegir el valor en una lista desplegable. En el resto de los atributos, introduce un valor.
- (Opcional) Para incluir varias condiciones de búsqueda, repite los pasos anteriores.
- Haz clic en Buscar.
Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página. - (Opcional) Para guardar tu búsqueda, haz clic en Guardar , introduce un título y una descripción y, a continuación, haz clic en Guardar.
Nota: En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores Y/O. En la pestaña Filtrar también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
Atributo | Descripción |
---|---|
Nombre del grupo actor |
El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:
|
Oficina principal del actor |
Oficina principal del actor que accedió a los datos. Muestra el código del país o de la región (según la norma ISO 3166-1 alfa-2) donde el usuario que ha accedido a los datos trabaja de manera permanente. Entre los valores posibles se incluyen los siguientes:
|
Unidad organizativa del actor | Unidad organizativa del actor |
Fecha | Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador) |
Evento | La acción del evento registrado; por ejemplo, Se ha accedido al recurso |
Producto de Google Workspace | Nombre del recurso al que se ha accedido |
Justificaciones | Justificaciones del acceso. Por ejemplo, Servicio de asistencia iniciado por el cliente. Número de caso: 12345678. |
ID de registro | ID de registro único. |
En nombre de | Direcciones de correo de los usuarios cuya autoridad se haya utilizado para los controles de Gestión de Accesos |
Correo electrónico del propietario | ID de correo electrónico o identificador de equipo del cliente propietario del recurso. |
Nombre del recurso | Nombre del recurso al que se ha accedido |
Incidencias | Incidencias asociadas a la justificación, si las hubiera. |
Tomar medidas en función de los resultados de búsqueda
Después de hacer una búsqueda en la herramienta de investigación, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Puedes consultar más información sobre lo que puedes hacer en la herramienta de investigación en el artículo Tomar medidas en función de los resultados de búsqueda.
Crear reglas de actividad y configurar alertas
Crea reglas de actividad para automatizar acciones en la herramienta de investigación y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más información e instrucciones, consulta cómo crear y gestionar reglas de actividad.
Gestionar tus investigaciones
Ver la lista de investigacionesPara ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente.
En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.
Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.
Como superadministrador, haz clic en Configuración para hacer lo siguiente:
- Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
- Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
- Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
- Activar o desactivar la opción Habilitar justificación de acciones.
Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.
Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.
- En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
- (Opcional) Para quitar columnas, haz clic en Quitar elemento .
- (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajoy selecciona la columna de datos.
Repite el proceso tantas veces como sea necesario. - (Opcional) Para cambiar el orden de las columnas, arrastra sus nombres.
- Haz clic en Guardar.
- En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
- Introduce un nombrehaz clic en Exportar.
La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar. - Para ver los datos, haz clic en el nombre de tu exportación.
La exportación se abrirá en Hojas de cálculo de Google.
Cuando veas resultados de búsqueda exportados, ten en cuenta los siguientes factores:
- Al hacer clic en Exportar todo en la parte superior de la tabla, en la carpeta Mi unidad se crea una hoja de cálculo de Google con los resultados de búsqueda. En función del tamaño de los resultados, puede que se tarde un rato en exportar toda la información. Además, es posible que se creen varias hojas de cálculo. Como máximo, los resultados de la exportación pueden tener 30 millones de filas, excepto los resultados de búsqueda de mensajes de Gmail, que solo pueden incluir 1,25 millones de filas.
- Mientras la exportación está en curso, las hojas de cálculo de Google que se crean tienen un nombre temporal, como TMP-1-<título>. Si se crean varias hojas de cálculo de Google, los archivos adicionales se denominan TMP-2-<título>, TMP-3-<título>, y así sucesivamente. Una vez completado el proceso de exportación, los archivos cambian de nombre automáticamente y pasan a llamarse <título> [1 de N], <título> [2 de N], etc. Si los datos se exportan a una única hoja de cálculo, el nombre del archivo pasará a ser <título>.
- Los archivos que tienen los resultados de búsqueda exportados heredan la configuración de uso compartido del dominio. Por ejemplo, si los archivos que se crean se comparten con todos los usuarios de forma predeterminada, los datos exportados también tendrán este tipo de visibilidad.
Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.
Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.
Para obtener más información sobre las fuentes de datos, consulta el artículo Plazos de conservación y periodos de retraso de los datos.
Interpretar los datos del registro de Transparencia de acceso
Descripción de los campos del registro
Nombre del campo en el registro | Nombre del campo en el sistema | Descripción |
---|---|---|
Fecha | items:id:time | Fecha y hora en que se ha anotado el registro. |
Producto de Google Workspace | items:events:parameters:GSUITE_PRODUCT_NAME | Producto del cliente al que se ha accedido (en mayúsculas). Valores posibles:
|
Correo del propietario | items:events:parameters:OWNER_EMAIL | ID de correo electrónico o identificador de equipo del cliente propietario del recurso. |
Oficina principal del empleado | items:events:parameters:ACTOR_HOME_OFFICE |
Código del país o de la región (según la norma ISO 3166-1 alfa-2) donde el usuario que ha accedido a los datos trabaja de manera permanente:
|
Justificaciones |
items:events:parameters:JUSTIFICATIONS |
Justificaciones del acceso. Por ejemplo, Servicio de asistencia iniciado por el cliente. Número de caso: 12345678. |
Incidencias | tickets | Incidencias asociadas a la justificación, si las hubiera. |
ID de registro | items:events:parameters:LOG_ID | ID de registro único. |
Nombre de recurso | items:events:parameters:RESOURCE_NAME | Nombre del recurso al que se ha accedido. Los nombres de recurso se pueden usar en la herramienta de investigación de seguridad para identificar y clasificar problemas de seguridad y privacidad de tu dominio, así como para tomar medidas al respecto. |
En nombre de | items:events:parameters:ON_BEHALF_OF | A quién se le da acceso. La persona a la que se le da acceso a un documento puede ser quien contactó con el servicio de asistencia, en lugar del propietario. En nombre de proporciona información adicional para comprender el contexto de un acceso. |
Política de Gestión de Accesos | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
La política de Gestión de Accesos validada antes de acceder. Solo se aplica a los clientes que tienen Gestión de Accesos configurada. |
Descripción de las justificaciones
Motivo | Descripción |
---|---|
Servicio de asistencia iniciado por el cliente | Es un evento de asistencia solicitado por el cliente, como un número de caso. |
Revisión por uso inadecuado iniciada externamente
|
Se activa una revisión por uso inadecuado externamente cuando se denuncia cierto contenido para que Google lo revise.
Para obtener más información e instrucciones, consulta el artículo sobre personalizar búsquedas en la herramienta de investigación. |
Respuesta de Google a una alerta de producción | Acceso de Google a los datos para mantener la fiabilidad del sistema al sospechar que se ha producido una interrupción. Por ejemplo, puede acceder con los siguientes propósitos:
|
Revisión iniciada por Google | Acceso de Google a los datos por razones de seguridad o de cumplimiento de políticas, o para investigar casos de fraude o abuso. Por ejemplo, puede acceder con los siguientes propósitos:
|
Servicio iniciado por Google |
Acceso iniciado por Google para realizar tareas de mantenimiento y prestar servicios de Google Cloud. Por ejemplo, puede acceder con los siguientes propósitos:
|
Solicitud de datos de terceros | Google accede a los datos de los clientes para responder a una solicitud legal o un proceso legal. Con esta justificación también se registran aquellas ocasiones en las que respondemos a procesos legales del cliente que requieran que accedamos a datos de su propiedad. En este caso, es posible que no aparezca ningún registro en Transparencia de acceso si Google no puede informarte legalmente de que se ha abierto una solicitud o proceso de este tipo. |
Configurar alertas de Transparencia de acceso
Puedes configurar alertas para que se te notifique por correo cuando se registre un evento que coincida con determinados filtros, como Correo del propietario u Oficina principal del empleado. También puedes habilitar una alerta que te avise cuando se genere un registro de Transparencia de acceso de cualquier producto compatible con esta función de seguridad.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadCentro de SeguridadHerramienta de investigación.
- En la lista desplegable Fuente de datos, selecciona Eventos de registro de Transparencia de acceso.
- Haz clic en + Añadir un filtro.
- Selecciona uno o varios filtros y haz clic en Aplicar.
- (Opcional) Para activar una alerta cuando se genere un registro de cualquier producto compatible, haz clic en Nombre del eventoAcceso. Al hacerlo, se crea un filtro llamado Nombre del evento: Acceso.
- Haz clic en Crear regla de notificación , da un nombre a la regla y, a continuación, escribe las direcciones de correo electrónico de los destinatarios de la alerta.
- Haz clic en Crear.
Integrar los datos del registro de Transparencia de acceso con herramientas de terceros
Con la API Reports, puedes integrar los registros de Transparencia de acceso con las herramientas de gestión de eventos y de información de seguridad que ya utilices. Para obtener más información, consulta el artículo sobre los eventos de actividad de Transparencia de acceso.
¿Cuándo están disponibles los datos y durante cuánto tiempo?
Consulta el artículo Plazos de conservación y periodos de retraso de los datos.
Temas relacionados
- Iniciar investigaciones basadas en un gráfico del panel de control
- Crear gráficos personalizados basados en investigaciones
- Iniciar investigaciones desde el Centro de alertas
- Investigar informes de correos electrónicos maliciosos
- Investigar el uso compartido de archivos
- Investigar a usuarios a través de varias fuentes de datos