Como administrador de tu organización, puedes hacer búsquedas y gestionar los eventos de registro de reglas. Por ejemplo, puedes ver un registro de las acciones para revisar las veces que tus usuarios han intentado compartir datos sensibles. También puedes consultar los eventos activados por eventos de infracción de reglas de Prevención de la pérdida de datos (DLP). Por lo general, las entradas aparecen menos de una hora después de que el usuario haya llevado a cabo la acción.
En los eventos de registro de reglas también se muestran los tipos de datos de Chrome Enterprise Premium threat and data protection.
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
Reenviar datos de eventos de registro a Google Cloud
Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.
Buscar eventos de registro
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
On the left, click ReportingAudit and investigationRule log events.
- Haz clic en Añadir un filtro y selecciona un atributo.
- En la ventana emergente, selecciona un operadorselecciona un valorhaz clic en Aplicar.
(Opcional) Para crear varios filtros de búsqueda, haz lo siguiente:
- Haz clic en Añadir un filtro y repite el paso 3.
- (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- Haz clic en Buscar.
-
Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.
Security investigation tool
Para hacer una búsqueda en la herramienta de investigación, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadCentro de SeguridadHerramienta de investigación.
- Click Data source and select Rule log events.
- Haz clic en Añadir condición.
Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas. - Haz clic en Atributoselecciona una opción.
Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo. - Haz clic en Contieneselecciona un operador.
- Introduce un valor o selecciona uno en la lista desplegable.
- (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
- Haz clic en Buscar.
Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página. - (Opcional) Para guardar la investigación, haz clic en Guardarintroduce un título y una descripciónhaz clic en Guardar.
Nota:
- En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
- Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
Atributo | Descripción | ||||||||
---|---|---|---|---|---|---|---|---|---|
Nivel de acceso | Los niveles de acceso seleccionados como las condiciones de acceso contextual de esta regla. Los niveles de acceso solo se aplican a los datos de Chrome. Para obtener más información, consulta el artículo Crear niveles de acceso contextual. | ||||||||
Actor | La dirección de correo electrónico del usuario que ha realizado la acción. Si los eventos son el resultado de un nuevo análisis, el valor puede ser Usuario anónimo. | ||||||||
Nombre del grupo actor |
El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:
|
||||||||
Unidad organizativa del actor | Unidad organizativa del actor. | ||||||||
Destinatarios bloqueados | Los destinatarios que se han bloqueado por la regla activada | ||||||||
Acción condicional | Lista de acciones que podrían activarse cuando los usuarios accedan, en función de las condiciones de contexto configuradas para la regla. | ||||||||
ID de conferencia | ID de conferencia de la reunión en la que se ha actuado como parte de este activador de regla | ||||||||
ID de contenedor | ID del contenedor principal al que pertenece el recurso | ||||||||
Tipo de contenedor | El tipo de contenedor principal al que pertenece el recurso; por ejemplo, Espacio de Chat o Chat de grupo, en el caso de los mensajes de Chat o los archivos adjuntos de Chat | ||||||||
Fuente de datos | La aplicación de origen del recurso | ||||||||
Fecha | Fecha y hora en que se ha producido el evento | ||||||||
ID de detector | Identificador de un detector coincidente | ||||||||
Nombre del detector | Nombre de un detector coincidente que han definido los administradores | ||||||||
ID de dispositivo | El ID del dispositivo en el que se ha activado la acción. Este tipo de datos se aplica a Chrome Enterprise Premium threat and data protection. | ||||||||
Tipo de dispositivo | El tipo de dispositivo al que hace referencia el ID de dispositivo. Este tipo de datos se aplica a Chrome Enterprise Premium threat and data protection. | ||||||||
Evento | La acción del evento registrada.
* La parte "Acción completada" de estos nombres de eventos dejará de estar disponible. |
||||||||
Incluye contenido sensible | En el caso de las reglas de DLP activadas con contenido sensible detectado y registrado, el valor es True. | ||||||||
Destinatario* | Quienes han recibido el recurso compartido | ||||||||
Número de destinatarios omitidos* | Número de destinatarios de recursos omitidos porque se ha superado el límite | ||||||||
ID de recurso | El objeto modificado. Para las reglas de DLP:
|
||||||||
Propietario del recurso | El usuario al que pertenece el recurso analizado y al que se le ha aplicado una acción | ||||||||
Título del recurso | El título del recurso que se ha modificado. En el caso de DLP, se tratará de un título de documento. | ||||||||
Tipo de recurso | En el caso de DLP, el recurso es Documento. En el caso de DLP de Chat, el recurso es Mensaje de Chat o Archivo adjunto de Chat. | ||||||||
ID de regla | El ID de la regla que se ha activado | ||||||||
Nombre de la regla | El nombre que asignó el administrador a la regla en el momento de crearla. | ||||||||
Tipo de regla | En las reglas de DLP, el valor es DLP | ||||||||
Tipo de análisis |
Los valores son los siguientes:
|
||||||||
Gravedad | La gravedad que se le asignó a la regla en el momento de activarse | ||||||||
Acción suprimida* | Las acciones que se han configurado en la regla, pero que se han suprimido. Se suprime una acción cuando se produce otra de mayor prioridad a la vez y se activa. | ||||||||
Activador | Actividad que ha provocado que se active una regla | ||||||||
Acción activada | Enumera las acciones realizadas. Este campo aparece en blanco al activarse una regla de solo auditoría. | ||||||||
IP del cliente activador | Dirección IP del actor que ha activado la acción | ||||||||
Correo electrónico del usuario activador* | Dirección de correo del actor que ha activado la acción | ||||||||
Acción de usuario | La acción que el usuario estaba intentando realizar y que ha sido bloqueada por una regla |
Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Gestionar datos de eventos de registro
Gestionar datos de columnas de resultados de búsqueda
Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.
- En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
- (Opcional) Para quitar columnas, haz clic en Quitar .
- (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos.
Repite el proceso tantas veces como sea necesario. - (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
- Haz clic en Guardar.
Exportar datos de resultados de búsqueda
- En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
- Introduce un nombre haz clic en Exportar.
La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar. - Para ver los datos, haz clic en el nombre de tu exportación.
La exportación se abrirá en Hojas de cálculo de Google.
Crear reglas de informes
Consulta el artículo Crear y gestionar reglas de notificación.
¿Cuándo están disponibles los datos y durante cuánto tiempo?
Consulta el artículo Plazos de conservación y periodos de retraso de los datos.
Tomar medidas en función de los resultados de búsqueda
Tomar medidas en función de los resultados de búsqueda
Después de hacer una búsqueda en la herramienta de investigación, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Puedes consultar más información sobre lo que puedes hacer en la herramienta de investigación en el artículo Tomar medidas en función de los resultados de búsqueda.
Crear reglas de actividad y configurar alertas
Crea reglas de actividad para automatizar acciones en la herramienta de investigación y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más información e instrucciones, consulta cómo crear y gestionar reglas de actividad.
Gestionar tus investigaciones
Ver la lista de investigacionesPara ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente.
En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.
Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.
Como superadministrador, haz clic en Configuración para hacer lo siguiente:
- Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
- Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
- Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
- Activar o desactivar la opción Habilitar justificación de acciones.
Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.
Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.
- En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
- (Opcional) Para quitar columnas, haz clic en Quitar elemento .
- (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajoy selecciona la columna de datos.
Repite el proceso tantas veces como sea necesario. - (Opcional) Para cambiar el orden de las columnas, arrastra sus nombres.
- Haz clic en Guardar.
- En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
- Introduce un nombrehaz clic en Exportar.
La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar. - Para ver los datos, haz clic en el nombre de tu exportación.
La exportación se abrirá en Hojas de cálculo de Google.
Cuando veas resultados de búsqueda exportados, ten en cuenta los siguientes factores:
- Al hacer clic en Exportar todo en la parte superior de la tabla, en la carpeta Mi unidad se crea una hoja de cálculo de Google con los resultados de búsqueda. En función del tamaño de los resultados, puede que se tarde un rato en exportar toda la información. Además, es posible que se creen varias hojas de cálculo. Como máximo, los resultados de la exportación pueden tener 30 millones de filas, excepto los resultados de búsqueda de mensajes de Gmail, que solo pueden incluir 1,25 millones de filas.
- Mientras la exportación está en curso, las hojas de cálculo de Google que se crean tienen un nombre temporal, como TMP-1-<título>. Si se crean varias hojas de cálculo de Google, los archivos adicionales se denominan TMP-2-<título>, TMP-3-<título>, y así sucesivamente. Una vez completado el proceso de exportación, los archivos cambian de nombre automáticamente y pasan a llamarse <título> [1 de N], <título> [2 de N], etc. Si los datos se exportan a una única hoja de cálculo, el nombre del archivo pasará a ser <título>.
- Los archivos que tienen los resultados de búsqueda exportados heredan la configuración de uso compartido del dominio. Por ejemplo, si los archivos que se crean se comparten con todos los usuarios de forma predeterminada, los datos exportados también tendrán este tipo de visibilidad.
Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.
Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.
Para obtener más información sobre las fuentes de datos, consulta el artículo Plazos de conservación y periodos de retraso de los datos.
Gestionar tus investigaciones
Requires a Edición premium de Google Workspace (Enterprise Standard, Enterprise Plus o Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.
Usar eventos de registro de reglas para investigar mensajes de Chat
Obligatorio: Edición premium de Google Workspace (Enterprise Standard, Enterprise Plus o Education Plus)
Como administrador, puedes crear una regla de protección de datos para que Chat monitorice y evite las filtraciones de contenido sensible. Con la herramienta de investigación de seguridad, puedes monitorizar la actividad de Chat en tu organización, incluidos los mensajes y archivos que se envíen fuera de tu dominio. Consulta más información en el artículo Investigar mensajes de Chat para proteger los datos de tu organización.
Usar eventos de registro de reglas para investigar infracciones de reglas de DLP
Obligatorio: Edición premium de Google Workspace (Enterprise Standard, Enterprise Plus o Education Plus)
Como administrador, puedes utilizar fragmentos de Prevención de la pérdida de datos (DLP) para investigar si una infracción de una regla de DLP es un incidente real o un falso positivo. Para obtener más información, consulta el artículo Ver contenido que activa reglas de DLP.
Temas relacionados
- Iniciar investigaciones basadas en un gráfico del panel de control
- Crear gráficos personalizados basados en investigaciones
- Iniciar investigaciones desde el Centro de alertas
- Investigar informes de correos electrónicos maliciosos
- Investigar el uso compartido de archivos
- Investigar a usuarios a través de varias fuentes de datos