Crear y gestionar reglas de actividad

Herramienta de investigación de seguridad: configurar alertas y llevar a cabo acciones

Crea reglas de actividad con la herramienta de investigación para configurar alertas y automatizar acciones que ayuden a prevenir, detectar y solucionar problemas de seguridad de un modo más rápido y eficiente. 

Para configurar una regla, tienes que indicar con qué condiciones debe activarse y qué acciones deben llevarse a cabo cuando eso ocurra. Básicamente, una regla es una manera de indicar al sistema que, si ocurre x, haga y automáticamente.

Como administrador, puedes crear reglas de actividad para que Google te envíe alertas o lleve a cabo acciones en función de cualquier búsqueda que configures en la herramienta de investigación. Una vez que hayas configurado las reglas de actividad, Google realizará continuamente las búsquedas que hayas especificado en ellas. Si el número de resultados devueltos supera el umbral establecido, Google realizará las acciones que hayas especificado. Por ejemplo, puedes crear una regla para enviar notificaciones por correo electrónico a determinados administradores cuando se compartan documentos de Drive con usuarios ajenos a la empresa.

Acceso de administrador a las reglas de actividad

La posibilidad de crear y ver reglas de actividad depende de la edición de Google Workspace que tengas, de tus privilegios de administrador y de la fuente de datos. Para obtener más información, consulta el artículo Acceso de administrador a reglas de notificación y de actividad.

Directrices importantes para crear reglas de actividad

  • Solo puedes crear reglas de actividad basadas en fuentes de datos de eventos de registro (por ejemplo, eventos de registro de Gmail o eventos de registro de dispositivos). No puedes crear reglas de actividad basadas en fuentes de datos de estado en tiempo real, como Navegadores Chrome, Dispositivos, Mensajes de Gmail y Usuarios.
  • Las fuentes de datos disponibles varían en función de tu edición de Google Workspace. Consulta más información en la sección sobre cómo personalizar búsquedas en la herramienta de investigación.
  • Debes añadir como mínimo un atributo de evento a la búsqueda.
  • Puedes incluir un operador OR en el nivel superior solo si incluyes una condición de evento en todas sus rutas condicionales.
  • Solo puedes añadir un único valor al atributo. Por ejemplo, el actor solo puede incluir un usuario. Para incluir varios valores, usa el creador de condiciones para añadir un operador OR y, a continuación, añade el mismo atributo con un valor adicional.
  • No puedes utilizar filtros de fecha en reglas de actividad, ya que las reglas se evalúan continuamente.
  • Debes añadir al menos una acción o alerta a la regla.
  • Dado que las reglas de actividad se basan en eventos de registro, se activan después de que se produzca el evento. Por lo tanto, no son adecuadas para, por ejemplo, bloquear o compartir documentos, o enviar correos electrónicos.

Cómo funcionan los umbrales de las reglas

Cuando defines un umbral para una regla, este se aplica de forma acumulativa en todas las acciones de los usuarios, no de forma individual. Por ejemplo, supongamos que creas una regla para suspender a los usuarios tras 5 intentos de inicio de sesión fallidos en un periodo de 1 hora. El umbral se alcanza cuando se producen 5 intentos de inicio de sesión fallidos para uno o varios usuarios en el plazo de 1 hora. En este caso, se suspenderán todos los usuarios que tengan al menos un intento fallido de iniciar sesión.

Crear una regla de actividad

Puedes crear una regla de actividad desde la herramienta de investigación de seguridad o desde la página Reglas. 

Sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad > Herramienta de investigación y haz clic en Crear regla de actividad.

    O BIEN,

    En la página principal de la consola de administración, ve a Reglas y, a continuación, haz clic en Crear regla > Actividad.
     
  3. Introduce el nombre de la regla; por ejemplo, Uso compartido de datos externo.
  4. Proporciona una descripción. Por ejemplo, Notificar si los documentos se comparten fuera de la empresa.
  5. Haz clic en Siguiente: Ver condiciones.
  6. Elige la fuente de datos a la que quieres asignar la regla; por ejemplo, Eventos de registro de administrador.

    Nota: La disponibilidad de las fuentes de datos varía en función de tu edición de Google Workspace y de tus privilegios de administrador. Para obtener más información, consulta el artículo Acceso de administrador a reglas de notificación y de actividad y la información sobre fuentes de datos y condiciones de la herramienta de investigación
     
  7. Configura una o varias condiciones para la regla. Elige un atributo, un operador y un valor por cada condición.

    Por ejemplo, para configurar una condición que especifique que el evento es una transferencia de propiedad de documentos, elige Evento como atributo, selecciona Es como operador, y Configuración de documento > Transferencia de propiedad de documento como valor.

    Nota: Es obligatorio incluir la condición Evento. Para ver más información sobre las condiciones disponibles en cada fuente de datos, consulta la información sobre fuentes de datos y condiciones de la herramienta de investigación.
     
  8. Haz clic en Siguiente: Añadir acciones.
    Nota: Al crear una regla de actividad, no se pueden añadir acciones en respuesta a los eventos de registro de Drive.
  9. Define el periodo y el umbral de la regla. Por ejemplo, puedes seleccionar este umbral: Cada 24 horas cuando el recuento es superior a 100. Con esta opción, la regla se activará si la búsqueda devuelve más de 100 resultados en cualquier periodo de 24 horas. 
  10. Selecciona una acción para la regla. Por ejemplo, suspender usuarios o forzar un cambio de contraseña.
  11. Elige si se mostrará una alerta en el Centro de alertas cuando se active la regla.
    • Elige la gravedad: Alta, Intermedia o Baja.
    • Si decides activar una alerta en el Centro de alertas, también puedes enviar notificaciones por correo electrónico marcando la casilla Todos los superadministradores o haciendo clic en Añadir destinatarios de correo electrónico para enviar correos electrónicos a determinados administradores cuando se active la regla.
  12. Haz clic en Siguiente: Revisar.
    En la página que se muestra, puedes revisar todos los detalles de la regla y hacer los cambios que consideres oportunos antes de crearla.
  13. Revisa el estado de la regla
    De manera predeterminada, el estado de las reglas de actividad que se crean es Activo; es decir, el sistema empezará a recoger registros y la regla se implementará de manera obligatoria en cuanto se cree. También tienes la opción de cambiar su estado a Supervisar para revisar los registros que recoge antes de implementarla de forma obligatoria. Más adelante, también puedes marcar la regla con el estado Inactivo para que el sistema deje de recoger registros y de implementarla. 
  14. Haz clic en Crear regla.

Nota: Cuando configures una regla de actividad, puedes usar la pestaña Creador de condiciones, donde hay filtros que representan condiciones con operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.

Página Reglas: ver y editar tus reglas de actividad

Después de crear una regla de actividad, puedes ir a la página Reglas para ver el alcance y los detalles de la regla, sus condiciones y las acciones que se activan cuando se alcanzan los umbrales. 

En la página Reglas, también puedes ver una lista de todas las reglas que han creado los administradores de tu dominio. Ve a la página principal de la consola de administración de Google y haz clic en Reglas.

En la página Reglas, los administradores de tu dominio pueden ver las reglas que han creado otros administradores, dependiendo de la fuente de datos y siempre y cuando tengan los privilegios adecuados. Por ejemplo, si un administrador tiene privilegios para ver eventos de registro de Drive, pero no de Gmail, no podrá ver ninguna regla basada en eventos de registro de este último servicio.

En la página Reglas, puedes realizar estas acciones:

  • Filtrar la lista de reglas haciendo clic en Añadir un filtro
  • Ver y editar los detalles de una regla haciendo clic en ella en la página Reglas.
  • Eliminar reglas.
  • Crear reglas.
  • Hacer clic en Examinar para abrir la herramienta de investigación y ver datos de los eventos de registro de reglas.

Alertas por correo electrónico

Si configuras las notificaciones por correo para una regla, la regla de actividad solo enviará una notificación por correo por periodo de umbral cuando se active la regla por primera vez y no enviará notificaciones el resto de las veces que se active. los destinatarios que hayas indicado recibirán un correo con un resumen de la regla en el que se incluirán diferentes datos, como su nombre, los detalles del umbral y la fuente de datos a la que se aplica. Los administradores que reciban la notificación por correo electrónico podrán hacer clic en Ver alerta para acceder a la página Información de la alerta del Centro de alertas.

Nota: Los distintos eventos que activan la misma regla dentro del periodo del umbral de alertas se agrupan en un solo correo.

Artículos relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
11418838287863617776
true
Buscar en el Centro de ayuda
true
true
true
false
false