Eventos de registro de la evaluación de acceso

Consulta cómo las aplicaciones cliente acceden a los datos del usuario

Según tu edición de Google Workspace, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los administradores avanzados pueden identificar y clasificar problemas de seguridad y privacidad, y tomar medidas para resolverlos. Más información

Como administrador de tu organización, puedes usar los eventos de registro de Evaluación de acceso para comprender cómo las diferentes políticas de seguridad de Google Workspace afectan el acceso de los usuarios a las apps de terceros y a las de Google. Por ejemplo, una organización puede tener varias políticas de OAuth que controlen el acceso a las apps según diferentes reglas. Una organización también puede tener políticas de activación y desactivación de servicios que impidan o permitan el acceso a ciertos servicios. Los eventos de registro de evaluación de acceso muestran las políticas que afectan el acceso del usuario, si se otorgó el acceso y cómo se tomaron esas decisiones. Puedes usar esta información para revisar y modificar la configuración y las políticas de seguridad de tu organización.

Realiza una búsqueda de eventos de registro

Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.

Herramienta de investigación y auditoría

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

  1. En la Consola del administrador de Google, ve a Menú y luego Informes y luegoInvestigación y auditoría y luegoEventos de registro de evaluación de acceso.

    Es necesario tener el privilegio de administrador de Informes.

  2. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  3. Haz clic en Agregar un filtro y luegoselecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
  4. Selecciona un operador y luegoselecciona un valor y luegohaz clic en Aplicar.
    • Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
    • Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
  5. Haz clic en Buscar. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Herramienta de investigación de seguridad

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luegoCentro de seguridad y luegoHerramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Fuente de datos y selecciona Eventos de registro de evaluación de acceso.

  3. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  4. Haga clic en Agregar condición.
    Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
  5. Haz clic en Atributo y luegoselecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
    Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
  6. Selecciona un operador.
  7. Ingresa un valor o selecciona uno de la lista.
  8. (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
  9. Haz clic en Buscar.
    Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
  10. Para guardar tu investigación, haz clic en Guardar y luegoingresa un título y una descripción y luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
  • Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
  • Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Descripciones de los atributos

Tu organización puede tener varias políticas de seguridad de diferentes fuentes que afecten el acceso del usuario. Los registros de evaluación de acceso te ayudan a comprender el comportamiento combinado de esas políticas y qué políticas específicas te convendría cambiar.

Por ejemplo, si usuarios no autorizados acceden a una app de mensajería, los eventos de registro de la Evaluación de acceso te ayudan a comprender qué políticas se están usando. Si cambias una política, los eventos de registro mostrarán el resultado de ese cambio.

También puedes usar los eventos de registro de la Evaluación de acceso para investigar la postura de seguridad de tu organización. Por ejemplo:

  • Supervisa la actividad sospechosa: Puedes usar los registros para supervisar la actividad sospechosa, como los intentos de acceder a datos sensibles o el acceso desde ubicaciones prohibidas.
  • Audita la postura de seguridad de tu organización: Puedes usar los registros para auditar la postura de seguridad de tu organización y asegurarte de que tus datos estén protegidos.

Se crea una entrada de registro para el primer evento en un lapso de 24 horas. Los eventos duplicados con la misma información no se registran hasta que transcurren 24 horas. Por ejemplo, si se produce una entrada con Usuario1, Cliente1 y IP1 en el momento X, no se registrarán eventos duplicados con la misma información hasta que transcurran 24 horas.

Nota: Cada entrada de registro puede incluir parte de la siguiente información, pero no toda. Por ejemplo, el campo de la cuenta de servicio suele estar vacío, a menos que una cuenta de servicio realice el acceso.

Nombre de la columna Comentarios Ejemplo
Evento Nombre del evento
  • Solicitud de token de acceso (cuando se emite correctamente un token de OAuth)
  • Permitir el uso de la identidad del token (cuando el acceso se realiza a través de una cuenta de servicio)
  • Permite la solicitud de validación de cookies (cuando las credenciales asociadas a una cookie se validan correctamente en relación con las políticas de seguridad durante el acceso a la aplicación)
Descripción Descripción del evento Se permite la solicitud de acceso de Nombre Apellido a MiApp para ciertos permisos.
Fecha Fecha y hora en que se evaluó la solicitud 2022-08-11T10:00:53-07:00
Actor Dirección de correo electrónico del usuario para el que se solicitó y permitió la evaluación firstlast@sample-win.info
Nombre de la aplicación Nombre de la aplicación a la que se accede Reddit
Dirección IP Dirección IP desde la que el usuario solicitó la evaluación de acceso 2601:600:8780:19d0:925:e630:d20e:b1cc

ASN de IP

Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.

Número de sistema autónomo (ASN) de IP, subdivisión y región asociados con la entrada de registro.

Para revisar el ASN de IP y el código de subdivisión y región en los que se produjo la actividad, haz clic en el nombre en los resultados de la búsqueda.

ASN de IP: 12345

Código de subdivisión: IN-KA

Código de región: IN
ID de cliente de OAuth

ID de cliente de la aplicación para la que se evaluó el acceso

Nota: Este atributo solo se aplica a los eventos de solicitud de token de acceso y de suplantación de token permitida.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Alcance

Es el alcance para el que se otorgó la solicitud.

Nota: No se muestra la información del alcance de OAuth para las apps propiedad de Google.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
Fuente de configuración

Describe si se permitió un ID de cliente debido a una política de Google Workspace que permitía explícitamente el acceso del usuario a este ID de aplicación.

Nota: Este atributo solo se aplica a los eventos de solicitud de token de acceso y de suplantación de token permitida.

 Para obtener más información, consulta Descripciones de las fuentes de configuración más adelante en esta página.
Tipo de cliente

Tipo de aplicación para la que se evaluó el acceso

Nota: Este atributo solo se aplica a los eventos de solicitud de token de acceso y de suplantación de token permitida.

 Web, Android, iOS, etc.
Cuenta de servicio

ID de correo electrónico de la cuenta de servicio si se usó para suplantar la identidad de algún usuario

Nota: Este atributo solo se aplica a los eventos de Allow Token Impersonation.

 abc-alpha@gserviceaccount.com

Descripciones de la fuente de configuración

La fuente de configuración describe si se permitió un ID de cliente debido a una política de Google Workspace que permitió explícitamente el acceso del usuario al ID de la aplicación.

Nota: Estos casos solo se aplican a los eventos de solicitud de token de acceso o de permiso de suplantación de token relacionados con OAuth.

Situación Descripción
La app no está configurada

Se permitió el acceso porque los administradores no establecieron ninguna política con los Controles de la API que bloquee el acceso al ID de cliente.

Para agregar políticas de bloqueo, consulta Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.
Configuración de los controles de API

Se permitió el acceso porque la aplicación era de confianza o estaba limitada en una política con los Controles de la API.

Para obtener más información, consulta Controla qué aplicaciones acceden a los datos de Google Workspace.
Configuración de la Administración de extremos

Se permitió el acceso porque la aplicación era de confianza o estaba limitada en una política que usaba la administración de extremos de Google.

Para obtener más información, consulta Descripción general: Administra dispositivos con la administración de extremos de Google
Configuración de Workspace Marketplace

Se permitió el acceso porque la aplicación se instaló en Google Workspace Marketplace.

Para obtener más información, consulta Cómo buscar e instalar una app en Marketplace.
Configuración de la delegación de todo el dominio

Se permitió el acceso porque esta aplicación se delegó en todo el dominio.

Para obtener más información, consulta Controla el acceso a la API con la delegación de todo el dominio.

Administra datos de eventos de registro

Cómo administrar los datos de la columna de resultados de la búsqueda

Puedes controlar qué columnas de datos aparecen en los resultados de la búsqueda.

  1. En la esquina superior derecha de la tabla de resultados de la búsqueda, haz clic en Administrar columnas .
  2. Para quitar las columnas actuales, haz clic en Quitar (opcional).
  3. Para agregar columnas, junto a Agregar nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos (opcional).
    Repite la acción según sea necesario.
  4. Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos (opcional).
  5. Haz clic en Guardar.

Cómo exportar los datos de los resultados de la búsqueda

Puedes exportar los resultados de la búsqueda a Hojas de cálculo o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de la búsqueda, haz clic en Exportar todos.
  2. Ingresa un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de la búsqueda en Resultados de la acción de Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo.

Los límites de exportación varían:

  • La cantidad total de resultados de la exportación se limita a 100,000 filas.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Si tienes la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas.

Para obtener más información, consulta Cómo exportar los resultados de la búsqueda.

¿Cuándo y durante cuánto tiempo están disponibles los datos?

Toma medidas en función de los resultados de la búsqueda

Crea reglas de actividad y configura alertas

  • Puedes configurar alertas basadas en datos de eventos de registro con reglas de informes. Para obtener instrucciones, consulta Cómo crear y administrar reglas de informes.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Para ayudar a prevenir, detectar y corregir problemas de seguridad de manera eficiente, puedes automatizar acciones en la herramienta de investigación de seguridad y configurar alertas creando reglas de actividad. Para configurar una regla, establece las condiciones de la regla y, luego, especifica las acciones que se realizarán cuando se cumplan las condiciones. Para obtener más detalles, consulta Crea y administra reglas de actividad.

Toma medidas en función de los resultados de la búsqueda

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, colocarlos en cuarentena o enviarlos a las carpetas Recibidos de los usuarios. Para obtener más detalles, consulta Cómo tomar medidas en función de los resultados de la búsqueda.

Administra tus investigaciones

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Cómo ver tu lista de investigaciones

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Puedes ver las investigaciones guardadas en Acceso rápido, justo arriba de la lista de investigaciones.

Cómo configurar los parámetros de configuración de tus investigaciones

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones:

  • Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
  • Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
  • Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
  • Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener más detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Cómo guardar, compartir, borrar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y, luego, compartirla, duplicarla o borrarla.

Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.