Eventos de registro de acceso contextual

Cuando se evalúa el acceso de un usuario a una aplicación

En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información

Como administrador de tu organización, puedes hacer búsquedas de eventos de registro de acceso contextual y tomar medidas en función de los resultados. Por ejemplo, tienes la opción de consultar un registro de acciones para solucionar problemas al denegarse o aprobarse el acceso de un usuario a una aplicación. Por lo general, cuando esto ocurre, la acción se incluye en el registro al cabo de una hora como mucho.

Para obtener más información, consulta el artículo de introducción al acceso contextual.

Buscar eventos de registro

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Herramienta de auditoría y de investigación

Para buscar eventos de registro, primero debes elegir una fuente de datos. A continuación, escoge uno o varios filtros para acotar la búsqueda.

  1. Inicia sesión con una cuenta de administrador en Consola de administración de Google.

    Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.

  2. Ve a Menú y luego Informes > Auditoría e investigación > Eventos de registro de acceso contextual

    Se necesita el privilegio de administrador Auditoría e investigación.

  3. Para filtrar eventos que se hayan producido antes o después de una fecha concreta, en Fecha, selecciona Antes o Después. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro periodo o hacer clic en para quitar el filtro de fecha.

  4. Haz clic en Añadir un filtro y selecciona un atributo.
  5. En la ventana emergente, selecciona un operadory luegoselecciona un valory luegohaz clic en Aplicar.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
  6. Haz clic en Buscar.

    Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.

Herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición. 

  1. Inicia sesión con una cuenta de administrador en Consola de administración de Google.

    Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.

  2. Ve a Menú y luego Seguridad > Centro de Seguridad > Herramienta de investigación.

    Se necesita el privilegio de administrador Centro de Seguridad.

  3. Haz clic en Fuente de datos y selecciona Eventos de registro de acceso contextual.
  4. Haz clic en Añadir condición.
    Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
  5. Haz clic en Atributoy luegoselecciona una opción.
    Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
  6. Selecciona un operador.
  7. Introduce un valor o selecciona uno en la lista desplegable.
  8. (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
  9. Haz clic en Buscar.
    Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
  10. (Opcional) Para guardar la investigación, haz clic en Guardary luegointroduce un título y una descripcióny luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro, también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
  • Si ha asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NombreNuevo@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
  • Solo puedes buscar datos en mensajes que aún no se hayan eliminado de la papelera.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo Descripción
Nivel de acceso aplicado Los niveles de acceso que los administradores han asignado a la aplicación específica. Si se cumple uno de ellos, se concederá acceso al usuario.
Nivel de acceso cumplido

Todos los niveles de acceso aplicados que el usuario ha cumplido correctamente durante la evaluación de acceso. Si esta lista está vacía, no se concede acceso.

Si al menos uno de los niveles de acceso del atributo aplicado se incluye en Nivel de acceso cumplido, se trata de un evento de concesión de acceso. Este evento se muestra como Acceso evaluado en los registros de auditoría de acceso contextual.
Nivel de acceso no cumplido

Todos los niveles de acceso aplicados que el usuario no ha cumplido durante la evaluación de acceso. Si todos los niveles de acceso del atributo Nivel de acceso aplicado aparecen en esta lista, se denegará el acceso del usuario.

Nota: En esta lista, solo se mostrarán los niveles de acceso aplicados. No se muestran los demás niveles de acceso definidos en la consola de administración que no se hayan aplicado.
Actor La dirección de correo electrónico del usuario que realizó la acción.
Nombre del grupo actor

El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google.

Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:

  1. Selecciona Nombre del grupo del actor.
  2. Haz clic en Grupos de filtrado.
    Se mostrará la página Grupos de filtrado.
  3. Haz clic en Añadir grupos.
  4. Para buscar un grupo, escribe los primeros caracteres de su nombre o de su dirección de correo electrónico. Cuando veas el grupo que buscas, selecciónalo.
  5. (Opcional) Para añadir otro grupo, búscalo y selecciónalo.
  6. Cuando hayas seleccionado todos los grupos que te interesen, haz clic en Añadir.
  7. (Opcional) Para quitar un grupo, haz clic en Quitar grupo .
  8. Haz clic en Guardar.
Unidad organizativa del actor Unidad organizativa del actor.
Aplicación Puede ser:
  • La aplicación para la que se ha denegado el acceso del usuario
  • La aplicación para la que se ha concedido acceso al usuario
  • (Para acceso a la API) La aplicación que realiza la llamada, que ha intentado acceder a una API bloqueada
  • (Para acceso a la API) La aplicación que realiza la llamada, que ha accedido a una API desbloqueada
Acceso a API bloqueado

La API de la aplicación para la que se ha denegado el acceso del usuario. Para el acceso a la API, la API para la que se ha bloqueado el acceso de la aplicación que realiza la llamada.

(Solo se aplica a las auditorías de denegación en los modos Activo y Monitor)
Fecha Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador)
ID del dispositivo

ID del dispositivo, tal como se muestra en Página principal de la consola de administracióny luegoDispositivosy luegoMóviles y endpointsy luegoDispositivos.

Si no se ha podido detectar el dispositivo, este valor podría ser desconocido.
Estado del dispositivo

Estado del dispositivo que se ha utilizado para realizar este acceso; por ejemplo, Normal, No sincronizado (inactivo o antiguo), Otra organización (el dispositivo no pertenece a tu organización) o Sin señales de dispositivo (el dispositivo no se puede detectar).

Cuando el ID de dispositivo es desconocido y el atributo de estado del dispositivo indica que no hay señales de dispositivo, significa que el dispositivo del usuario no tiene agentes de informes, como la verificación de endpoints o la gestión de dispositivos móviles (MDM).
Riesgos de dispositivos Los riesgos de seguridad del dispositivo que han provocado que se advierta o se bloquee al usuario debido a una política de asesor de seguridad para la protección de acceso a aplicaciones.
Evento La acción de evento registrada:
  • Acceso denegado: se ha denegado el acceso al usuario (actor) incluido en la aplicación indicada.
  • Acceso denegado (modo Monitor): indica cuándo se denegará el acceso si el nivel de acceso está en modo Activo. Para obtener más información, consulta el artículo Implementar el acceso contextual.
  • Acceso denegado/Usuario advertido (Asesor de seguridad): se ha denegado el acceso o se ha advertido a un usuario debido a una política del asesor de seguridad para la protección del acceso a aplicaciones.
  • Error interno de acceso denegado: no se ha podido aplicar la política (se ha denegado el acceso) debido a un problema con el servidor de cumplimiento.
  • Acceso evaluado: acceso contextual ha concedido acceso al usuario (actor) incluido en la aplicación indicada.
  • Acceso evaluado (modo Monitor): indica cuándo acceso contextual concedería acceso si el nivel de acceso estuviera en modo Activo. Para obtener más información, consulta el artículo Implementar el acceso contextual.
Dirección IP Dirección IP del actor
Acceso a API protegido

La API de la aplicación a la que el usuario ha obtenido acceso mediante el acceso contextual.

Para el acceso a la API, la API a la que la aplicación que realiza la llamada ha obtenido acceso mediante el acceso contextual.

Gestionar datos de eventos de registro

Gestionar datos de columnas de resultados de búsqueda

Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.

  1. En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
  2. (Opcional) Para quitar columnas, haz clic en Quitar .
  3. (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo  y selecciona la columna de datos.
    Repite el proceso tantas veces como sea necesario.
  4. (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
  5. Haz clic en Guardar.
Exportar datos de resultados de búsqueda

Puedes exportar los resultados de búsqueda a Hojas de cálculo o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
  2. Introduce un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo.

Los límites de exportación varían:

  • Los resultados totales de la exportación están limitados a 100.000 filas.
  • Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Si utilizas la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas.

Consulta más información en el artículo Exportar resultados de búsqueda.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Interpretar los eventos de registro de acceso denegado

En ocasiones, puede que aparezca una entrada Acceso denegado en los eventos de registro de acceso contextual de un usuario aunque este no haya informado de que se le haya mostrado una página Acceso denegado.

¿Por qué ocurre esto?

  • Inicio de sesión en varios dispositivos: este problema puede surgir cuando un usuario inicia sesión con su cuenta en varios dispositivos. Es especialmente probable que esto ocurra si uno de estos dispositivos no tiene verificación de endpoints o está asociado a otra cuenta. Por ejemplo, puede que haya iniciado sesión en un dispositivo personal o en otro perfil del navegador Chrome.
  • Inicio de sesión en una cuenta secundaria: otro caso es el de los usuarios que han iniciado sesión en su cuenta de empresa como cuenta secundaria en otro dispositivo. En ese caso, es posible que la página Acceso denegado no aparezca en su dispositivo principal. Sin embargo, los eventos de registro reflejarán el intento de acceso que se denegó en el dispositivo secundario. Para obtener más información, consulta el artículo Iniciar sesión en varias cuentas a la vez.

¿Qué hacer?

  • Comprueba si el usuario ha iniciado sesión con su cuenta de empresa en otro dispositivo.
  • Asegúrate de que la verificación de endpoints esté instalada y configurada correctamente en todos los dispositivos en los que el usuario inicie sesión con su cuenta corporativa.
  • Revisa el evento de registro para obtener información sobre el dispositivo y las direcciones IP, lo que te ayudará a identificar el origen del intento de acceso denegado.

Tomar medidas en función de los resultados de búsqueda

Crear reglas de actividad y configurar alertas
  • Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
  • Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.

Tomar medidas en función de los resultados de búsqueda

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.

Gestionar investigaciones

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Ver la lista de investigaciones

Para ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente. 

En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.

Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.

Configurar los ajustes de las investigaciones

Como superadministrador, haz clic en Configuración para hacer lo siguiente:

  • Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
  • Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
  • Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
  • Activar o desactivar la opción Habilitar justificación de acciones.

Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.

Compartir, eliminar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.

Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
13913539671746182726
true
Buscar en el Centro de ayuda
false
true
true
true
true
true
73010
false
false
false
false