Eventos de registro de reglas

Revisa los intentos de los usuarios por compartir datos sensibles

Según tu edición de Google Workspace, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los administradores avanzados pueden identificar y clasificar problemas de seguridad y privacidad, y tomar medidas para resolverlos. Más información

Como administrador de tu organización, puedes realizar búsquedas y tomar medidas sobre los eventos de registro de reglas. Por ejemplo, puedes ver un registro de acciones para revisar los intentos de los usuarios por compartir datos sensibles. También puedes revisar los eventos activados por incumplimientos de reglas de prevención de pérdida de datos (DLP). Por lo general, las entradas aparecen una hora después de que los usuarios realizan una acción.

En los eventos del registro de reglas, también se incluyen los tipos de datos para la protección de datos y contra amenazas de Chrome Enterprise Premium.

Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.

Herramienta de investigación y auditoría

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

  1. En la Consola del administrador de Google, ve a Menú y luego Informes y luegoInvestigación y auditoría y luegoEventos de registro de reglas.

    Es necesario tener el privilegio de administrador de Auditoría e investigación.

  2. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  3. Haz clic en Agregar un filtro y luegoselecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
  4. Selecciona un operador y luegoselecciona un valor y luegohaz clic en Aplicar.
    • Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
    • Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
  5. Haz clic en Buscar. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Herramienta de investigación de seguridad

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luegoCentro de seguridad y luegoHerramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.

  3. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  4. Haga clic en Agregar condición.
    Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
  5. Haz clic en Atributo y luegoselecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
    Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
  6. Selecciona un operador.
  7. Ingresa un valor o selecciona uno de la lista.
  8. (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
  9. Haz clic en Buscar.
    Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
  10. Para guardar tu investigación, haz clic en Guardar y luegoingresa un título y una descripción y luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
  • Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
  • Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Descripciones de atributos

Para esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro.

Atributo Descripción
Nivel de acceso Son los niveles de acceso seleccionados como condiciones de Acceso adaptado al contexto de esta regla. Para obtener más información, consulta Crea niveles de acceso adaptado al contexto.
Actor

Dirección de correo electrónico del usuario que realizó la acción. El valor puede ser Usuario anónimo si los eventos son los resultados de un nuevo análisis.

Nota: En el caso de las acciones que activa el sistema y no un usuario, este valor puede estar vacío.
Nombre del grupo de actores

Es el nombre del grupo del actor. Para obtener más información, consulta Cómo filtrar resultados por Grupo de Google.

Para agregar un grupo a tu lista de grupos de filtrado permitido, sigue estos pasos:

  1. Selecciona Nombre del grupo de actores.
  2. Haz clic en Grupos de filtrado.
    Aparecerá la página Grupos de filtrado.
  3. Haz clic en Agregar grupos.
  4. Para buscar un grupo, ingresa los primeros caracteres de su nombre o dirección de correo electrónico. Cuando veas el grupo que quieras, selecciónalo.
  5. Para agregar otro grupo, busca uno y selecciónalo (opcional).
  6. Cuando termines de seleccionar los grupos, haz clic en Agregar.
  7. Para quitar un grupo, haz clic en Quitar grupo (opcional).
  8. Haz clic en Guardar.
Unidad organizativa del actor Unidad organizativa del actor
Destinatarios bloqueados Los destinatarios que bloqueó la regla activada
Acción condicional Es una lista de acciones que se podrían activar en el momento del acceso del usuario, según las condiciones de contexto configuradas para la regla.
ID de la conferencia ID de conferencia de la reunión en la que se realizó la acción como parte de este activador de regla
ID del contenedor ID del contenedor principal al que pertenece el recurso
Tipo de contenedor Tipo de contenedor principal al que pertenece el recurso (por ejemplo, Espacio de Chat o Chat en grupo, para mensajes o archivos adjuntos de chat)
Fuente de datos La aplicación que originó el recurso
Fecha Fecha y hora en que ocurrió el evento
ID del detector Identificador de un detector que coincidió
Nombre del detector Nombre de un detector coincidente que definieron los administradores
ID del dispositivo El ID del dispositivo en el que se activó la acción Este tipo de datos se aplica a la protección de datos y contra amenazas de Chrome Enterprise Premium.
Tipo de dispositivo Tipo de dispositivo al que se refiere el ID de dispositivo Este tipo de datos se aplica a la protección de datos y contra amenazas de Chrome Enterprise Premium.
Evento

Es la acción del evento registrada.

Drive

Se registran los siguientes eventos de reglas de DLP para Drive:

  • Action complete, Content matched*: Una regla de DLP marcó contenido en el contenido de un documento de Drive
  • Acción completada, contenido no coincidente*: Se quitó la marca del documento de Drive porque el contenido que originalmente activó una regla de DLP ya no está presente.
  • Acceso bloqueado: Una regla de DLP bloqueó un intento de descarga o copia de un archivo de Drive.

Notas de Drive:

  • Cuando cambia una etiqueta de Drive, el valor es Label applied, Field value changed o Label removed.
  • Cuando las reglas de confianza bloquean el uso compartido de archivos de Drive, el valor es Uso compartido bloqueado.
  • Cuando las reglas de confianza bloquean el acceso a los archivos de Drive (ver, descargar o copiar), el valor es Acceso bloqueado.

Gmail

Los siguientes eventos de reglas de DLP se registran para Gmail:

  • Action complete, Message send audited*: Una regla de DLP auditó el mensaje de Gmail durante el envío.
  • Action complete, Message send blocked*: Una regla de DLP impidió que se enviara el mensaje de Gmail.
  • Acción completada, mensaje enviado a cuarentena*: Una regla de la PPD colocó el mensaje de Gmail en cuarentena para su revisión. No se envió el mensaje.
  • Action complete, Message send warned*: Una regla de DLP advirtió al usuario que no enviara el mensaje de Gmail.

* La parte "Acción completada" de estos nombres de eventos quedará obsoleta.

Calendario (beta)

Los siguientes eventos de reglas de DLP se registran para el Calendario:

  • Se auditó el evento de calendario mientras se guardaba: Se auditó el evento de calendario mientras se guardaba.
  • Se envió una advertencia al evento de calendario mientras se guardaba: Se advirtió a un usuario que no guardara el evento de calendario.
  • Se bloqueó el evento de calendario mientras se guardaba: Se bloqueó el evento de calendario mientras se guardaba.
Incluye contenido sensible Para las reglas de DLP activadas con contenido sensible detectado y registrado, el valor es Verdadero.
Destinatario* Las personas que recibieron el recurso compartido
Cantidad de destinatarios omitidos* Cantidad de destinatarios de recursos omitidos por superar el límite
ID de recurso Objeto modificado. Para las reglas de DLP:
  • En el caso de las entradas relacionadas con Google Drive, haz clic en el ID de recurso para ver el documento de Drive que se modificó.
  • En el caso de las entradas relacionadas con Google Chat, haz clic en el ID de recurso para ver los detalles de una conversación de Chat. Ten en cuenta que algunos datos de Chat pueden vencer, por lo que no todos los detalles estarán disponibles siempre.
Propietario del recurso Usuario que posee el recurso que se analizó y sobre el que se realizó una acción.
Título del recurso Es el título del recurso que se modificó. Para DLP, es un título de documento.
Tipo de recurso Para la DLP de Drive, el recurso es Documento. Para la DLP de Chat, el recurso es Mensaje de chat o Adjunto de chat. Para la DLP de Calendario, el recurso es Evento de calendario.
ID de regla ID de la regla que activó el evento
Nombre de la regla El nombre de la regla que proporcionó el administrador cuando creó la regla.
Tipo de regla DLP es el valor para las reglas de DLP.
Tipo de análisis

Estos son los valores:

  • Análisis continuo de Drive (se produce cuando cambia una regla)
  • Análisis en línea (a medida que se modifica un documento)
  • Analizar el contenido de Chat antes de enviarlo (se produce cuando se envía un mensaje de Chat)
  • Se analiza el contenido del calendario antes de guardar el evento (se produce antes de que se cree o actualice el evento)
  • Se analiza el contenido del calendario mientras se guarda el evento (se produce cuando se crea o modifica el evento)
Gravedad La gravedad asignada a la regla cuando se activó
Acción suprimida* Las acciones que se configuraron en la regla, pero se suprimieron. Se suprime una acción cuando al mismo tiempo se produce y se activa una acción de mayor prioridad.
Activador Actividad que provocó la activación de una regla
Acción activada Enumera las acciones realizadas. Este espacio estará en blanco si se activó una regla de solo auditoría.
IP del cliente del activador Dirección IP del actor que activó la acción
Correo electrónico del usuario que provocó la activación* Dirección de correo electrónico del actor que activó la acción
Acción del usuario La acción que intentaba realizar el usuario y que se bloqueó por una regla
* No puedes crear reglas de informes con estos filtros. Obtén más información sobre las reglas de informes en comparación con las reglas de actividad.

Nota: Si le asignaste un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.

Administra datos de eventos de registro

Cómo administrar los datos de la columna de resultados de la búsqueda

Puedes controlar qué columnas de datos aparecen en los resultados de la búsqueda.

  1. En la esquina superior derecha de la tabla de resultados de la búsqueda, haz clic en Administrar columnas .
  2. Para quitar las columnas actuales, haz clic en Quitar (opcional).
  3. Para agregar columnas, junto a Agregar nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos (opcional).
    Repite la acción según sea necesario.
  4. Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos (opcional).
  5. Haz clic en Guardar.

Cómo exportar los datos de los resultados de la búsqueda

Puedes exportar los resultados de la búsqueda a Hojas de cálculo o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de la búsqueda, haz clic en Exportar todos.
  2. Ingresa un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de la búsqueda en Resultados de la acción de Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo.

Los límites de exportación varían:

  • La cantidad total de resultados de la exportación se limita a 100,000 filas.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Si tienes la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas.

Para obtener más información, consulta Cómo exportar los resultados de la búsqueda.

¿Cuándo y durante cuánto tiempo están disponibles los datos?

Toma medidas en función de los resultados de la búsqueda

Crea reglas de actividad y configura alertas

  • Puedes configurar alertas basadas en datos de eventos de registro con reglas de informes. Para obtener instrucciones, consulta Cómo crear y administrar reglas de informes.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Para ayudar a prevenir, detectar y corregir problemas de seguridad de manera eficiente, puedes automatizar acciones en la herramienta de investigación de seguridad y configurar alertas creando reglas de actividad. Para configurar una regla, establece las condiciones de la regla y, luego, especifica las acciones que se realizarán cuando se cumplan las condiciones. Para obtener más detalles, consulta Crea y administra reglas de actividad.

Toma medidas en función de los resultados de la búsqueda

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, colocarlos en cuarentena o enviarlos a las carpetas Recibidos de los usuarios. Para obtener más detalles, consulta Cómo tomar medidas en función de los resultados de la búsqueda.

Administra tus investigaciones

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Cómo ver tu lista de investigaciones

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Puedes ver las investigaciones guardadas en Acceso rápido, justo arriba de la lista de investigaciones.

Cómo configurar los parámetros de configuración de tus investigaciones

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones:

  • Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
  • Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
  • Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
  • Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener más detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Cómo guardar, compartir, borrar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y, luego, compartirla, duplicarla o borrarla.

Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.

Usa los eventos de registro de reglas para investigar mensajes de Chat

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Como administrador, puedes crear una regla de protección de datos para Chat que supervise y evite las filtraciones de contenido sensible. Luego, puedes usar la herramienta de investigación de seguridad para supervisar la actividad de Chat en tu organización, incluidos los mensajes y los archivos que se envían fuera de tu dominio. Para obtener más información, consulta Cómo investigar mensajes de Chat para proteger los datos de tu organización.

Usa los eventos de registro de reglas para investigar los incumplimientos de las reglas de DLP

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Como administrador, puedes usar fragmentos de la prevención de pérdida de datos (DLP) para investigar si un incumplimiento de regla de la DLP es un incidente real o un falso positivo. Para obtener más información, consulta Visualiza el contenido que activa las reglas de la DLP.