Como administrador de tu organización, puedes usar la página de auditoría e investigación para hacer búsquedas relacionadas con eventos de registro de reglas. Puedes ver un registro de las acciones que se han llevado a cabo para consultar las ocasiones en que los usuarios han intentado compartir datos sensibles. En él puedes consultar, por ejemplo, los eventos activados por eventos de infracción de reglas de Prevención de la pérdida de datos (DLP). Por lo general, las entradas aparecen menos de una hora después de que el usuario haya llevado a cabo la acción.
Los eventos de registro de reglas también incluyen los tipos de datos de BeyondCorp Threat and Data Protection.
Para ver una lista completa de los servicios y las actividades que puedes investigar, como Google Drive o la actividad de usuario, consulta el artículo Acerca de la herramienta de auditoría e investigación.
Abrir la página Auditoría e investigación
Acceder a datos de eventos de registro de reglas
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú InformesAuditoría e investigaciónEventos de registro de reglas.
Filtrar los datos
- Abre los eventos de registro tal como se indica arriba, en el apartado Acceder a datos de eventos de registro de reglas.
- Haz clic en Añadir un filtro y selecciona un atributo.
- En la ventana emergente, selecciona un operadorselecciona un valorhaz clic en Aplicar.
-
(Opcional) Para crear varios filtros de búsqueda, haz lo siguiente:
- Haz clic en Añadir un filtro y repite el paso 3.
- (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
- Haz clic en Buscar.
Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
Atributo | Descripción | ||||||||
---|---|---|---|---|---|---|---|---|---|
Nivel de acceso | Los niveles de acceso seleccionados como las condiciones de acceso contextual de esta regla. Los niveles de acceso solo se aplican a los datos de Chrome. Para obtener más información, consulta el artículo Crear niveles de acceso contextual. | ||||||||
Actor | La dirección de correo electrónico del usuario que ha realizado la acción. Si los eventos son el resultado de un nuevo análisis, el valor puede ser Usuario anónimo. | ||||||||
Nombre del grupo actor |
El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:
|
||||||||
Unidad organizativa del actor | Unidad organizativa del actor. | ||||||||
Destinatarios bloqueados | Los destinatarios que se han bloqueado por la regla activada | ||||||||
Acción condicional | Lista de acciones que podrían activarse cuando los usuarios accedan, en función de las condiciones de contexto configuradas para la regla. | ||||||||
ID de conferencia | ID de conferencia de la reunión en la que se ha actuado como parte de este activador de regla | ||||||||
ID de contenedor | ID del contenedor principal al que pertenece el recurso | ||||||||
Tipo de contenedor | El tipo de contenedor principal al que pertenece el recurso; por ejemplo, Espacio de Chat o Chat de grupo, en el caso de los mensajes de Chat o los archivos adjuntos de Chat | ||||||||
Fuente de datos | La aplicación de origen del recurso | ||||||||
Fecha | Fecha y hora en que se ha producido el evento | ||||||||
ID de detector | Identificador de un detector coincidente | ||||||||
Nombre del detector | Nombre de un detector coincidente que han definido los administradores | ||||||||
ID de dispositivo | El ID del dispositivo en el que se ha activado la acción. Este tipo de datos se aplica a Chrome Enterprise Premium threat and data protection. | ||||||||
Tipo de dispositivo | El tipo de dispositivo al que hace referencia el ID de dispositivo. Este tipo de datos se aplica a Chrome Enterprise Premium threat and data protection. | ||||||||
Evento | La acción del evento registrada.
* La parte "Acción completada" de estos nombres de eventos dejará de estar disponible. |
||||||||
Incluye contenido sensible | En el caso de las reglas de DLP activadas con contenido sensible detectado y registrado, el valor es True. | ||||||||
Destinatario* | Quienes han recibido el recurso compartido | ||||||||
Número de destinatarios omitidos* | Número de destinatarios de recursos omitidos porque se ha superado el límite | ||||||||
ID de recurso | El objeto modificado. Para las reglas de DLP:
|
||||||||
Propietario del recurso | El usuario al que pertenece el recurso analizado y al que se le ha aplicado una acción | ||||||||
Título del recurso | El título del recurso que se ha modificado. En el caso de DLP, se tratará de un título de documento. | ||||||||
Tipo de recurso | En el caso de DLP, el recurso es Documento. En el caso de DLP de Chat, el recurso es Mensaje de Chat o Archivo adjunto de Chat. | ||||||||
ID de regla | El ID de la regla que se ha activado | ||||||||
Nombre de la regla | El nombre que asignó el administrador a la regla en el momento de crearla. | ||||||||
Tipo de regla | En las reglas de DLP, el valor es DLP | ||||||||
Tipo de análisis |
Los valores son los siguientes:
|
||||||||
Gravedad | La gravedad que se le asignó a la regla en el momento de activarse | ||||||||
Acción suprimida* | Las acciones que se han configurado en la regla, pero que se han suprimido. Se suprime una acción cuando se produce otra de mayor prioridad a la vez y se activa. | ||||||||
Activador | Actividad que ha provocado que se active una regla | ||||||||
Acción activada | Enumera las acciones realizadas. Este campo aparece en blanco al activarse una regla de solo auditoría. | ||||||||
IP del cliente activador | Dirección IP del actor que ha activado la acción | ||||||||
Correo electrónico del usuario activador* | Dirección de correo del actor que ha activado la acción | ||||||||
Acción de usuario | La acción que el usuario estaba intentando realizar y que ha sido bloqueada por una regla |
Gestionar datos de eventos de registro
Gestionar datos de columnas de resultados de búsqueda
Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.
- En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
- (Opcional) Para quitar columnas, haz clic en Quitar .
- (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos.
Repite el proceso tantas veces como sea necesario. - (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
- Haz clic en Guardar.
Exportar datos de resultados de búsqueda
- En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
- Introduce un nombre haz clic en Exportar.
La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar. - Para ver los datos, haz clic en el nombre de tu exportación.
La exportación se abrirá en Hojas de cálculo de Google.
Crear reglas de informes
Consulta el artículo Crear y gestionar reglas de notificación.
¿Cuándo están disponibles los datos y durante cuánto tiempo?
Consulta el artículo Plazos de conservación y periodos de retraso de los datos.
Usar eventos de registro de reglas para investigar infracciones de reglas de DLP
Como administrador, puedes utilizar fragmentos de Prevención de la pérdida de datos (DLP) para investigar si una infracción de una regla de DLP es un incidente real o un falso positivo. Para obtener más información, consulta el artículo Ver contenido que activa reglas de DLP (beta).