Eventos de registro de cumplimiento de políticas

Para acceder a los eventos del registro de cumplimiento de políticas, necesitas el complemento Assured Controls o Assured Controls Plus de Google Workspace. Para obtener más detalles, comunícate con tu representante de ventas.

Como administrador de tu organización, puedes ejecutar búsquedas y tomar medidas para resolver problemas de seguridad relacionados con el cumplimiento de políticas. Por ejemplo, puedes usar la fuente de datos de eventos del registro de cumplimiento de políticas para saber si, en una fecha específica, los datos de un usuario se almacenaron en Estados Unidos o Europa, si el procesamiento de sus datos también se regionalizó y si se activó o desactivó alguno de los parámetros de configuración avanzados de regiones de datos.

Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.

Herramienta de investigación y auditoría

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

  1. En la Consola del administrador de Google, ve a Menú y luego Informes y luegoInvestigación y auditoría y luegoEventos de registro de cumplimiento de políticas.

    Es necesario tener el privilegio de administrador de Auditoría e investigación.

  2. Haz clic en Agregar un filtro y luegoselecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
  3. Selecciona un operador y luegoselecciona un valor y luegohaz clic en Aplicar.
    • Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
    • Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
  4. Haz clic en Buscar.
    Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Herramienta de investigación de seguridad

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luegoCentro de seguridad y luegoHerramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Fuente de datos y selecciona Eventos de registro de cumplimiento de políticas.
  3. Haga clic en Agregar condición.
    Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
  4. Haz clic en Atributo y luegoselecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
    Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
  5. Selecciona un operador.
  6. Ingresa un valor o selecciona uno de la lista.
  7. (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
  8. Haz clic en Buscar.
    Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
  9. Para guardar tu investigación, haz clic en Guardar y luegoingresa un título y una descripción y luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
  • Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
  • Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Descripciones de atributos

Para esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro.

Atributo Descripción
Nombre del recurso Nombre del usuario
ID de recurso Dirección de correo electrónico del usuario
Tipo de recurso Unidad organizativa del actor
ID de la aplicación Tipo de entidad al que hace referencia, como User
Evento

Especifica si este registro se refiere a la aplicación de una política regional o si se trata de un parámetro de configuración avanzado para procesos no regionalizados.

  • Se aplicó la política de la región
  • Se aplicó la política de procesos no regionalizados
Tipo de política de regiones de datos Es la región asignada a un usuario y si se aplica al almacenamiento o al almacenamiento y procesamiento, como Regiones de datos: región.
Política de las regiones de datos Es la región asignada a un usuario y si se aplica al almacenamiento o al almacenamiento y procesamiento. Si el usuario no tiene una licencia de Assured Controls o Assured Controls Plus, verás el mensaje Se requiere Assured Controls. De lo contrario, este atributo puede ser:
  • Estados Unidos (solo almacenamiento)
  • Estados Unidos (almacenamiento y procesamiento)
  • Europa (solo almacenamiento)
  • Europa (almacenamiento y procesamiento)
  • Sin preferencias

ASN de IP

Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.

Número de sistema autónomo (ASN) de IP, subdivisión y región asociados con la entrada de registro.

Para revisar el ASN de IP y el código de subdivisión y región en los que se produjo la actividad, haz clic en el nombre en los resultados de la búsqueda.
Tipo de política de procesos no regionalizados

Especifica el parámetro de configuración avanzado al que hace referencia este registro. Si el usuario no tiene una licencia de Assured Controls o Assured Controls Plus, verás el mensaje Se requiere Assured Controls. De lo contrario, este atributo puede ser uno de los siguientes:

  • Regiones de datos: Procesos no regionalizados de Google Chat y la versión clásica de Hangouts
  • Regiones de datos: Procesos no regionalizados de Google Meet
  • Regiones de datos: Procesos no regionalizados de Drive y Documentos
  • Regiones de datos: Procesos no regionalizados de Calendario
  • Regiones de datos: Procesos no regionalizados de Gmail
Política de procesos no regionalizados

Es el valor asociado al tipo de política. Puede ser una de estas opciones:

  • Habilitado
  • Inhabilitado
Versión de las regiones de datos Es la versión de las regiones de datos que tiene el usuario. Puede ser uno de los siguientes valores:
  • Ninguno
  • Básico
  • Educación
  • Enterprise
  • Assured Controls
Para obtener más información, consulta Compara las funciones de las regiones de datos.

Toma medidas en función de los resultados de la búsqueda

Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de cumplimiento de políticas y, luego, cambiar tu política de regiones de datos si encuentras un problema. Para obtener más detalles sobre las acciones en la herramienta de investigación de seguridad, consulta Toma medidas en función de los resultados de la búsqueda.

Administra tus investigaciones

Cómo ver tu lista de investigaciones

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Puedes ver las investigaciones guardadas en Acceso rápido, justo arriba de la lista de investigaciones.

Cómo configurar los parámetros de configuración de tus investigaciones

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones:

  • Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
  • Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
  • Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
  • Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener más detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Cómo compartir, borrar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y, luego, compartirla, duplicarla o borrarla.

Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.