Investigar informes de correos electrónicos maliciosos

Herramienta de investigación de seguridad

Como administrador, es posible que te lleguen noticias de que varios usuarios de tu organización han recibido un correo electrónico malicioso.

Con la herramienta de investigación, puedes identificar a todos los usuarios de tu dominio que han recibido el mensaje; por ejemplo, un correo de suplantación de identidad. A continuación, puedes usar esta herramienta para eliminar el correo de las bandejas de entrada de Gmail de los usuarios. Ten en cuenta que los datos de registro pueden tardar unos minutos en estar disponibles en la herramienta de investigación.

También puedes usar la herramienta de investigación para hacer otras cosas, como marcar un correo como spam o phishing, o enviarlo a la bandeja de entrada de un usuario.

Acceso a la herramienta de investigación de seguridad

  • Entre las ediciones compatibles con la herramienta de investigación de seguridad se incluyen Enterprise Plus, Education Standard, Education Plus y Enterprise Essentials Plus.
  • Los administradores de Cloud Identity Premium, Frontline Standard, Enterprise Standard y Education Standard también pueden utilizar la herramienta de investigación en un subconjunto de fuentes de datos.
  • La posibilidad de hacer una búsqueda en la herramienta de investigación depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Si no puedes hacer una búsqueda en la herramienta de investigación en una fuente de datos concreta, en su lugar, puedes usar la página de auditoría e investigación. Para obtener más información, consulta el artículo Experiencia mejorada de auditoría e investigación.
  • Puedes hacer búsquedas en la herramienta de investigación sobre cualquier usuario, independientemente de la edición de Google que tenga.

Nota: Algunas funciones de la herramienta de investigación de seguridad, como los datos relacionados con Gmail y Drive, no están disponibles en las ediciones Cloud Identity Premium y Enterprise Standard. Consulta más información sobre las fuentes de datos de la herramienta de investigación.

Localizar y eliminar correos maliciosos

1. Empezar la investigación
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. Haz clic en Fuente de datos y selecciona Eventos de registro de Gmail.
  4. Haz clic en Añadir condición.
  5. Haz clic en Atributoy luego Para (sobre) para obtener más información.
  6. Haz clic en Contieney luegoEs.
  7. En Para (sobre), introduce el nombre de usuario que ha recibido el correo electrónico malicioso; por ejemplo, usuario@example.com
  8. Haz clic en Añadir condición.
  9.  Haz clic en Atributoy luego Asunto y comprueba que la condición sea Contiene (la opción predeterminada).
  10. En Asunto, introduce las palabras que coincidan con el asunto del correo electrónico malicioso; por ejemplo, Papá Noel bailón.
    No hace falta que sean exactamente las mismas palabras.
  11. Haz clic en Añadir condición.
  12. En Condición, haz clic en Fecha.
  13. Cambia la condición a Después.
  14. En Fecha, introduce la fecha y la hora en las que se recibió el primer correo electrónico sospechoso en tu dominio.
  15. Haz clic en Buscar.
2. Ver y exportar los resultados de búsqueda

Una vez completados los pasos anteriores, los resultados de búsqueda se muestran en una tabla situada en la parte inferior de la página. En ella, se indican la fecha y la hora en las que se enviaron los mensajes, los IDs y los asuntos de los mensajes, y las direcciones del remitente y el destinatario.

Para exportar estos resultados de búsqueda en tu carpeta Mi unidad, haz clic en Exportar todo en la parte superior de la tabla. 

Para obtener más información, echa un vistazo al artículo Consultar los resultados de búsqueda de la herramienta de investigación.

3. Buscar otros usuarios que puedan haber recibido el correo malicioso
  1. Para quitar la condición Destinatario de los criterios de búsqueda anteriores, haz clic en . De este modo, la búsqueda solo incluirá los criterios Asunto y Fecha.
  2. Para buscar otros usuarios que puedan haber recibido el correo malicioso, haz clic en Buscar.

    Los resultados de búsqueda se muestran en una tabla situada en la parte inferior de la página. Como ocurría en el paso 1 anterior, en ella figuran diversos datos, que en este caso son la fecha y la hora en las que se enviaron los mensajes, los ID y asuntos de los mensajes, el tipo de evento y la dirección del remitente. Sin embargo, también se incluyen las direcciones de correo de otros usuarios de tu organización que han recibido el correo malicioso.
     
  3. Para exportar estos resultados de búsqueda a tu carpeta Mi unidad, haz clic en el icono Exportar de la parte superior de la tabla. 
4. Eliminar los correos maliciosos de las bandejas de entrada de los usuarios
  1. En la tabla que figura en la parte inferior de la herramienta de investigación, haz clic en la casilla que permite seleccionar todo. Así se marcan automáticamente todas las casillas de la página de los resultados de búsqueda que estás viendo.
  2. En el menú Acciones, haz clic en Borrar mensajes.
  3. Escribe una justificación para la tarea de eliminación, por ejemplo, "Correos electrónicos sospechosos". 
  4. Haz clic en Eliminar.

    De este modo, se eliminan de las bandejas de entrada de los usuarios los mensajes que coinciden con el ID del mensaje y el propietario, ya sea el remitente o el destinatario (según el tipo de evento), que figuran en los eventos de registro de Gmail seleccionados. Los mensajes borrados siguen estando sujetos a las reglas de conservación y los bloqueos aplicables que se hayan definido en Vault. Para obtener más información sobre las reglas de conservación y los bloqueos, consulta el Centro de Ayuda de Vault

Nota: Además de borrar correos, también puedes tomar otras medidas, como marcar mensajes como spam o phishing o enviarlos a la bandeja de entrada de los usuarios.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
11732819117867852862
true
Buscar en el Centro de ayuda
true
true
true
false
false