Eventos de registro de acceso adaptado al contexto

Cuándo se evalúa el acceso de un usuario a una app

Según tu edición de Google Workspace, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los administradores avanzados pueden identificar y clasificar problemas de seguridad y privacidad, y tomar medidas para resolverlos. Más información

Como administrador de tu organización, puedes realizar búsquedas en los eventos de registro del acceso adaptado al contexto y tomar medidas según los resultados. Por ejemplo, puedes ver un registro de acciones para solucionar problemas cuando se le niega o permite el acceso a una app a un usuario. Las entradas suelen aparecer una hora después de que se le niega el acceso al usuario.

Para obtener más información, consulta la Descripción general del acceso adaptado al contexto.

Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.

Herramienta de investigación y auditoría

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

  1. En la Consola del administrador de Google, ve a Menú y luego Informes y luegoInvestigación y auditoría y luegoEventos de registro de Context Aware Access.

    Es necesario tener el privilegio de administrador de Auditoría e investigación.

  2. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  3. Haz clic en Agregar un filtro y luegoselecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
  4. Selecciona un operador y luegoselecciona un valor y luegohaz clic en Aplicar.
    • Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
    • Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
  5. Haz clic en Buscar. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Herramienta de investigación de seguridad

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luegoCentro de seguridad y luegoHerramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Fuente de datos y selecciona Eventos de registro de acceso adaptado al contexto.
  3. Haga clic en Agregar condición.
    Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
  4. Haz clic en Atributo y luegoselecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
    Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
  5. Selecciona un operador.
  6. Ingresa un valor o selecciona uno de la lista.
  7. (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
  8. Haz clic en Buscar.
    Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
  9. Para guardar tu investigación, haz clic en Guardar y luegoingresa un título y una descripción y luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
  • Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
  • Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Descripciones de atributos

Para esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro.

Atributo Descripción
Nivel de acceso aplicado Son los niveles de acceso que aplican los administradores para la app específica. Si se cumple uno de ellos, se otorgará el acceso del usuario.
Nivel de acceso satisfecho

Son todos los niveles de acceso aplicados que el usuario cumplió correctamente durante la evaluación de acceso. Si esta lista está vacía, no se otorga acceso.

Si al menos uno de los niveles de acceso del atributo aplicado se encuentra en Nivel de acceso satisfecho, se trata de un evento de concesión de acceso. Este evento se muestra como Access Evaluated en los registros de auditoría de acceso adaptado al contexto.
Nivel de acceso insatisfecho

Son todos los niveles de acceso aplicados que el usuario no cumplió durante la evaluación de acceso. Si todos los niveles de acceso del atributo Nivel de acceso aplicado aparecen en esta lista, se deniega el acceso del usuario.

Nota: En esta lista, solo aparecerán los niveles de acceso aplicados. No aparecen otros niveles de acceso definidos en la Consola del administrador que no se aplican.
Actor Dirección de correo electrónico del usuario que realizó la acción
Nombre del grupo de actores

Es el nombre del grupo del actor. Para obtener más información, consulta Cómo filtrar resultados por Grupo de Google.

Para agregar un grupo a tu lista de grupos de filtrado permitido, sigue estos pasos:

  1. Selecciona Nombre del grupo de actores.
  2. Haz clic en Grupos de filtrado.
    Aparecerá la página Grupos de filtrado.
  3. Haz clic en Agregar grupos.
  4. Para buscar un grupo, ingresa los primeros caracteres de su nombre o dirección de correo electrónico. Cuando veas el grupo que quieras, selecciónalo.
  5. Para agregar otro grupo, busca uno y selecciónalo (opcional).
  6. Cuando termines de seleccionar los grupos, haz clic en Agregar.
  7. Para quitar un grupo, haz clic en Quitar grupo (opcional).
  8. Haz clic en Guardar.
Unidad organizativa del actor Unidad organizativa del actor
Aplicación Puede ser una de las siguientes opciones:
  • Es la aplicación a la que se le negó el acceso al usuario.
  • La aplicación a la que se le otorgó acceso al usuario
  • (Para el acceso a la API) Es la aplicación que llamó y que intentó acceder a una API bloqueada.
  • (Para el acceso a la API) Es la aplicación que llama y que accedió a una API desbloqueada.
Se bloqueó el acceso a la API

Es la API de la aplicación a la que se le denegó el acceso al usuario. En el caso del acceso a la API, es la API a la que se bloqueó el acceso de la aplicación que realizó la llamada.

(Solo se aplica a las auditorías de rechazo en el modo activo y de supervisión)
Fecha Fecha y hora del evento (se muestra en la zona horaria predeterminada de tu navegador)
ID del dispositivo

ID del dispositivo, como se muestra en la página principal de la Consola del administrador y luegoDispositivos y luegoDispositivos móviles y extremos y luegoDispositivos.

Si no se pudo detectar el dispositivo, es posible que este valor sea desconocido.
Estado del dispositivo

Estado del dispositivo que se usó para realizar este acceso, por ejemplo, Normal, Desincronizado (obsoleto o antiguo), Entre organizaciones (el dispositivo no pertenece a tu organización) o Sin indicadores del dispositivo (no se puede detectar el dispositivo).

Cuando se desconoce el ID del dispositivo y el atributo Estado del dispositivo indica que no hay indicadores del dispositivo, significa que el dispositivo del usuario no tiene agentes de informes, como la verificación de extremos o la administración de dispositivos móviles (MDM).
Riesgos del dispositivo Los riesgos de seguridad en el dispositivo que provocaron que se advirtiera o bloqueara al usuario, debido a una política de Asesor de seguridad para la protección al acceso de las apps
Evento La acción de evento registrada:
  • Access Denied: Se denegó el acceso al usuario (actor) que se indica en la aplicación que se menciona.
  • Acceso denegado (modo de supervisor): Indica cuándo se denegaría el acceso si el nivel de acceso estuviera en modo activo. Para obtener más información, consulta Implementa el Acceso adaptado al contexto.
  • Se denegó el acceso o se advirtió al usuario (asesor de seguridad): Se denegó el acceso o se advirtió al usuario debido a una política del asesor de seguridad para la protección al acceso de las apps.
  • Error interno de acceso denegado: No se pudo aplicar la política (se denegó el acceso) debido a un problema con el servidor de aplicación.
  • Access Evaluated: El acceso adaptado al contexto otorgó acceso al usuario (actor) que se indica en la aplicación que se indica.
  • Acceso evaluado (modo de supervisor): Indica cuándo el Acceso adaptado al contexto otorgaría acceso si el nivel de acceso estuviera en modo activo. Para obtener más información, consulta Implementa el Acceso adaptado al contexto.
Dirección IP Dirección IP del actor

ASN de IP

Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.

Número de sistema autónomo (ASN) de IP, subdivisión y región asociados con la entrada de registro.

Para revisar el ASN de IP y el código de subdivisión y región en los que se produjo la actividad, haz clic en el nombre en los resultados de la búsqueda.
Acceso protegido a la API

Es la API de la aplicación a la que el acceso adaptado al contexto le otorgó acceso al usuario.

Para el acceso a la API, es la API a la que la aplicación que realiza la llamada obtuvo acceso a través del Acceso adaptado al contexto.

Administra datos de eventos de registro

Comprende los eventos de registro de acceso denegado

A veces, es posible que veas una entrada de Acceso denegado en los eventos de registro de acceso adaptado al contexto para un usuario, aunque no haya informado que recibió una página de Acceso denegado.

Por qué sucede esto

  • Acceso a la cuenta en varios dispositivos: Este problema puede surgir cuando un usuario accede a su cuenta en varios dispositivos. Esto es especialmente probable si uno de estos dispositivos no tiene verificación de extremo a extremo o está asociado a otra cuenta. Por ejemplo, es posible que hayan accedido a un dispositivo personal o a un perfil diferente del navegador Chrome.
  • Acceso a cuentas secundarias: Otro caso involucra a usuarios que accedieron a su cuenta corporativa como cuenta secundaria en otro dispositivo. En este caso, es posible que la página Acceso denegado no aparezca en su dispositivo principal. Sin embargo, los eventos de registro capturarán el intento de acceso que se rechazó en el dispositivo secundario. Para obtener más detalles, consulta Cómo acceder a varias cuentas a la vez.

Qué hacer

  • Verifica si el usuario accedió a su cuenta corporativa en otro dispositivo.
  • Asegúrate de que la verificación de extremos esté instalada y configurada correctamente en todos los dispositivos en los que el usuario accede a su cuenta corporativa.
  • Revisa el evento de registro para obtener información del dispositivo y direcciones IP que te ayuden a identificar la fuente del intento de acceso denegado.

Toma medidas en función de los resultados de la búsqueda

Crea reglas de actividad y configura alertas

  • Puedes configurar alertas basadas en datos de eventos de registro con reglas de informes. Para obtener instrucciones, consulta Cómo crear y administrar reglas de informes.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Para ayudar a prevenir, detectar y corregir problemas de seguridad de manera eficiente, puedes automatizar acciones en la herramienta de investigación de seguridad y configurar alertas creando reglas de actividad. Para configurar una regla, establece las condiciones de la regla y, luego, especifica las acciones que se realizarán cuando se cumplan las condiciones. Para obtener más detalles, consulta Crea y administra reglas de actividad.

Toma medidas en función de los resultados de la búsqueda

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, colocarlos en cuarentena o enviarlos a las carpetas Recibidos de los usuarios. Para obtener más detalles, consulta Cómo tomar medidas en función de los resultados de la búsqueda.

Administra tus investigaciones

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Cómo ver tu lista de investigaciones

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Puedes ver las investigaciones guardadas en Acceso rápido, justo arriba de la lista de investigaciones.

Cómo configurar los parámetros de configuración de tus investigaciones

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones:

  • Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
  • Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
  • Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
  • Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener más detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Cómo guardar, compartir, borrar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y, luego, compartirla, duplicarla o borrarla.

Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.