Crear reglas de actividad con la herramienta de investigación

Esta función está disponible en las ediciones G Suite Enterprise, G Suite Enterprise para Centros Educativos, Drive Enterprise y Cloud Identity Premium.

Crea reglas de actividad con la herramienta de investigación para automatizar tareas y así prevenir, detectar y solucionar cualquier problema de seguridad de un modo más rápido y eficiente.

Como administrador, puedes crear reglas de actividad para que Google te avise o tome medidas en función de cualquier búsqueda que configures en la herramienta de investigación. Una vez que hayas configurado las reglas de actividad, Google realizará continuamente las búsquedas que hayas especificado en ellas. Si el número de resultados devueltos supera el umbral establecido, Google tomará las medidas que hayas especificado. Por ejemplo, puedes crear una regla para enviar notificaciones por correo electrónico a determinados administradores cuando se compartan documentos de Drive con usuarios ajenos a la empresa.

Importante:

La creación de reglas de actividad está limitada por los siguientes factores:

  • Solo puedes crear reglas en fuentes de datos de registro.
  • Debes añadir un atributo de evento a la consulta.
  • Debes basar la consulta en una condición AND (no OR) en el nivel superior.
  • No puedes utilizar filtros de fecha para las reglas de actividad (ya que las reglas se evalúan continuamente).
  • Debes añadir al menos una acción o alerta a la regla.

Dado que las reglas de actividad se basan en eventos de registro, se activan después de que se produzca el evento. Por lo tanto, las reglas de actividad no son adecuadas para acciones como bloquear o compartir un documento, o enviar correos electrónicos.

Privilegios para crear reglas en la herramienta de investigación

  • Si quieres crear y editar reglas que se apliquen a una fuente de datos concreta, como Gmail o Drive, debes tener privilegios para gestionar reglas y para actualizar y eliminar contenido de la fuente de datos.
  • Si quieres consultar reglas que se apliquen a una fuente de datos concreta, como Gmail o Drive, debes tener privilegios para ver las reglas y para consultar metadatos y atributos de esa fuente de datos.

Crear reglas a partir de búsquedas en la herramienta de investigación

  1. Inicia sesión en la consola de administración de Google en admin.google.com.
    Recuerda que debes iniciar sesión con tu cuenta de administrador, no con tu cuenta personal de Gmail.
  2. En la parte superior, haz clic en Menú Menú y selecciona Seguridad > Herramienta de investigación
  3. Elige la fuente de datos en la que hacer tu búsqueda; por ejemplo: Eventos de registro de dispositivos, Eventos de registro de Drive o Eventos de registro de Gmail.

    Nota: Las fuentes de datos disponibles varían en función de tu edición de G Suite.

  4. Haz clic en AÑADIR CONDICIÓN.
    Puedes incluir una o varias condiciones en tu búsqueda. Si quieres obtener más información sobre las condiciones disponibles para cada fuente de datos, consulta el artículo Personalizar búsquedas en la herramienta de investigación
  5. En el menú Más situado en la parte superior derecha, selecciona Crear regla.
  6. En Nombre de la regla, introduce el nombre que quieras darle (por ejemplo, Compartir datos con usuarios externos), y en Descripción de la regla, escribe un texto que la describa (por ejemplo, Notificar si se comparten documentos con personas ajenas a la empresa).
  7. Haz clic en SIGUIENTE: VER CONDICIONES.
    Puedes usar la búsqueda que habías configurado antes o hacerle algunos cambios. Si haces clic en BUSCAR, puedes revisar los resultados que devuelve la búsqueda antes de seguir con el proceso. 
  8. Haz clic en SIGUIENTE: AÑADIR ACCIONES.
  9. Define el periodo y el umbral de la regla. Por ejemplo, puedes seleccionar este umbral: Cada 24 horas cuando el recuento es superior a 100. Con esta opción, la regla se activará si la búsqueda devuelve más de 100 resultados en cualquier periodo de 24 horas. 
  10. Elige si se mostrará una alerta en el Centro de alertas cuando se active la regla.
    Si optas por mostrarla, puedes seleccionar qué nivel de gravedad indicará (Alta, Media o Baja). Si también quieres enviar notificaciones por correo electrónico cuando se active la regla, marca la casilla Todos los superadministradores para notificar a todos los administradores, o bien haz clic en AÑADIR DESTINATARIOS para seleccionar solo los que te interesan.
  11. Haz clic en SIGUIENTE: REVISAR.
    En la página que se muestra, puedes revisar todos los detalles de la regla y hacer los cambios que consideres oportunos antes de crearla.
  12. Revisa el estado de la regla
    De manera predeterminada, el estado de las reglas de actividad que se crean es Activo; es decir, el sistema empezará a recoger registros y la regla se implementará de manera obligatoria en cuanto se cree. También tienes la opción de cambiar su estado a Supervisar para revisar los registros que recoge antes de implementarla de forma obligatoria. Más adelante, también puedes marcar la regla con el estado Inactivo para que el sistema deje de obtener registros y de implementarla. 
  13. Haz clic en CREAR REGLA.

Consultar la lista de reglas y los detalles de cada una

Una vez que hayas creado una regla con la herramienta de investigación, se te dirigirá a la página Detalles de la regla, en la que puedes revisar su configuración, ver qué tipo de datos cubre, consultar sus condiciones y comprobar qué acciones se activan cuando se alcanzan los umbrales. 

En la esquina superior izquierda de la página Detalles de la regla aparece la siguiente ruta de exploración:
Seguridad > Reglas > Detalles de la regla

Haz clic en Reglas para ver una lista con todas las reglas que han creado los administradores de tu dominio. 

En la página Reglas, los administradores de tu dominio pueden ver las reglas que han creado otros administradores, dependiendo de la fuente de datos y siempre y cuando tengan los privilegios adecuados. Por ejemplo, si un administrador tiene privilegios para ver eventos de registro de Drive, pero no de Gmail, no podrá ver ninguna regla basada en eventos de este último servicio.

En la página Reglas, puedes realizar estas tareas:

  • Eliminar reglas.
  • Filtrar la lista de reglas haciendo clic en Añadir un filtro
  • Crear reglas seleccionando AÑADIR UNA REGLA NUEVA. Si haces clic en este botón, se iniciará un proceso idéntico al descrito más arriba para crear una regla a partir de una búsqueda en la herramienta de investigación.

Alertas por correo electrónico

Si has configurado una regla para que se envíen notificaciones por correo electrónico cuando se active, los destinatarios que hayas indicado recibirán un correo con un resumen de la regla en el que se incluirán diferentes datos, como su nombre, los detalles del umbral y la fuente de datos a la que se aplica. Los administradores que reciban este correo podrán hacer clic en el botón VER ALERTA para acceder a la página Información de alertas del Centro de alertas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?