Crear reglas de actividad con la herramienta de investigación

Ediciones compatibles con esta función: Enterprise y Education Standard y Plus.  Comparar ediciones

Crea reglas de actividad con la herramienta de investigación para automatizar acciones y así prevenir, detectar y solucionar problemas de seguridad de un modo más rápido y eficiente.

Como administrador, puedes crear reglas de actividad para que Google te avise o lleve a cabo acciones en función de cualquier búsqueda que configures en la herramienta de investigación. Una vez que hayas configurado las reglas de actividad, Google realizará continuamente las búsquedas que hayas especificado en ellas. Si el número de resultados devueltos supera el umbral establecido, Google realizará las acciones que hayas especificado. Por ejemplo, puedes crear una regla para enviar notificaciones por correo electrónico a determinados administradores cuando se compartan documentos de Drive con usuarios ajenos a la empresa.

También puedes crear reglas de actividad en la página Reglas de seguridad. Para obtener más información e instrucciones, consulta el artículo Crear, editar y ver reglas de seguridad.

Importante

Cuando crees reglas de actividad, sigue estas directrices:

  • Solo puedes crear reglas de actividad basadas en fuentes de datos de registros (por ejemplo, eventos de registros de Gmail o de dispositivos).
  • Debes añadir como mínimo un atributo de evento a la consulta.
  • Puedes incluir un operador OR en el nivel superior solo si incluyes una condición de evento en todas sus rutas condicionales.
  • No puedes utilizar filtros de fecha en reglas de actividad, ya que las reglas se evalúan continuamente.
  • Debes añadir al menos una acción o alerta a la regla.
  • Dado que las reglas de actividad se basan en eventos de registro, se activan después de que se produzca el evento. Por lo tanto, las reglas de actividad no son adecuadas para acciones como bloquear o compartir un documento, o enviar correos electrónicos.

Privilegios para crear reglas en la herramienta de investigación

  • Si quieres crear y editar reglas que se apliquen a una fuente de datos concreta, como Gmail o Drive, debes tener el privilegio Gestionar reglas y permisos para actualizar y eliminar contenido de la fuente de datos.
  • Si quieres consultar reglas que se apliquen a una fuente de datos concreta, como Gmail o Drive, debes tener privilegios para ver las reglas y para consultar metadatos y atributos de esa fuente de datos.

Crear reglas a partir de búsquedas en la herramienta de investigación

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridady luegoHerramienta de investigación.
  3. Elige la fuente de datos en la que hacer tu búsqueda; por ejemplo: Eventos de registro de dispositivos, Eventos de registro de Drive o Eventos de registro de Gmail.

    Nota: Las fuentes de datos disponibles varían en función de tu edición de Google Workspace.

  4. Haz clic en AÑADIR CONDICIÓN.
    Puedes incluir una o varias condiciones en tu búsqueda. Si quieres obtener más información sobre las condiciones disponibles para cada fuente de datos, consulta el artículo Personalizar búsquedas en la herramienta de investigación
  5. En el menú "" situado en la parte superior derecha, selecciona Crear regla de actividad.
  6. En Nombre de la regla, introduce el nombre que quieras darle (por ejemplo, Compartir datos con usuarios externos) y, en Descripción de la regla, escribe un texto que la describa (por ejemplo, Notificar si se comparten documentos con personas ajenas a la empresa).
  7. Haz clic en SIGUIENTE: VER CONDICIONES.
    Puedes usar la búsqueda que habías configurado antes o hacerle algunos cambios. Si haces clic en BUSCAR, puedes revisar los resultados que devuelve la búsqueda antes de seguir con el proceso. 
  8. Haz clic en SIGUIENTE: AÑADIR ACCIONES.
  9. Define el periodo y el umbral de la regla. Por ejemplo, puedes seleccionar este umbral: Cada 24 horas cuando el recuento es superior a 100. Con esta opción, la regla se activará si la búsqueda devuelve más de 100 resultados en cualquier periodo de 24 horas. 
  10. Elige si se mostrará una alerta en el Centro de alertas cuando se active la regla.
    Si optas por mostrarla, puedes seleccionar qué nivel de gravedad indicará (Alta, Media o Baja). Si también quieres enviar notificaciones por correo electrónico cuando se active la regla, marca la casilla Todos los superadministradores para notificar a todos los administradores, o bien haz clic en AÑADIR DESTINATARIOS para seleccionar solo los que te interesan.
  11. Haz clic en SIGUIENTE: REVISAR.
    En la página que se muestra, puedes revisar todos los detalles de la regla y hacer los cambios que consideres oportunos antes de crearla.
  12. Revisa el estado de la regla
    De manera predeterminada, el estado de las reglas de actividad que se crean es Activo; es decir, el sistema empezará a recoger registros y la regla se implementará de manera obligatoria en cuanto se cree. También tienes la opción de cambiar su estado a Supervisar para revisar los registros que recoge antes de implementarla de forma obligatoria. Más adelante, también puedes marcar la regla con el estado Inactivo para que el sistema deje de obtener registros y de implementarla. 
  13. Haz clic en CREAR REGLA.

Consultar la lista de reglas y los detalles de cada una

Una vez que hayas creado una regla con la herramienta de investigación, se te dirigirá a la página Detalles de la regla, en la que puedes revisar su configuración, ver qué tipo de datos cubre, consultar sus condiciones y comprobar qué acciones se activan cuando se alcanzan los umbrales. 

En la esquina superior izquierda de la página Detalles de la regla aparece la siguiente ruta de exploración:
Seguridad > Reglas > Detalles de la regla

Haz clic en Reglas para ver una lista con todas las reglas que han creado los administradores de tu dominio. 

En la página Reglas, los administradores de tu dominio pueden ver las reglas que han creado otros administradores, dependiendo de la fuente de datos y siempre y cuando tengan los privilegios adecuados. Por ejemplo, si un administrador tiene privilegios para ver eventos de registro de Drive, pero no de Gmail, no podrá ver ninguna regla basada en eventos de este último servicio.

En la página Reglas, puedes realizar estas acciones:

  • Eliminar reglas.
  • Filtrar la lista de reglas haciendo clic en Añadir un filtro
  • Crear reglas seleccionando AÑADIR UNA REGLA NUEVA. Si haces clic en este botón, se iniciará un proceso idéntico al descrito más arriba para crear una regla a partir de una búsqueda en la herramienta de investigación.

Alertas por correo electrónico

Si has configurado una regla para que se envíen notificaciones por correo electrónico cuando se active, los destinatarios que hayas indicado recibirán un correo con un resumen de la regla en el que se incluirán diferentes datos, como su nombre, los detalles del umbral y la fuente de datos a la que se aplica. Los administradores que reciban este correo podrán hacer clic en el botón VER ALERTA para acceder a la página Información de alertas del Centro de alertas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
Buscar en el Centro de ayuda
true
73010
false