Crea y administra reglas de actividad

Como administrador, puedes configurar reglas de actividad en la Consola del administrador de Google para enviar notificaciones o tomar medidas en respuesta a la actividad dentro de tu dominio. Usa las reglas de actividad para evitar, detectar y resolver problemas de seguridad de manera más rápida y eficiente.

Para configurar una regla, debes establecer condiciones y especificar qué notificaciones o acciones se deben realizar cuando se cumplan las condiciones. Una regla es simplemente una forma de decir que, si sucede x, se debe hacer y automáticamente.

Google realizará continuamente la búsqueda especificada en la regla de actividad. Si la cantidad de resultados que muestra esa búsqueda supera el umbral que configuraste, Google realizará las notificaciones y las acciones que especifiques. Por ejemplo, puedes configurar una regla para enviar notificaciones por correo electrónico a ciertos administradores si se comparten documentos de Google Drive fuera de la empresa.

Antes de comenzar

Tu capacidad para crear y ver reglas de actividad depende de tu edición de Google Workspace, tus privilegios de administrador y la fuente de datos. Para obtener más información, consulta Acceso de administrador a reglas de informes y de actividad rules.

Funciones para todas las ediciones

• Accede a las reglas de actividad desde la página Reglas o la herramienta de auditoría y de investigación.
• Filtros Y con hasta 5 condiciones (sin incluir las condiciones anidadas)

Funciones avanzadas

Ediciones admitidas para esta función: Frontline Plus, Enterprise Standard y Enterprise Plus, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium y Chrome Enterprise Premium. Comparar tu edición

• Accede a las reglas de actividad desde la herramienta de investigación de seguridad.
• Filtros O
• Establece acciones en los activadores.
• Establece umbrales para los activadores.
• Configura más de 5 condiciones en una regla.
• Condiciones anidadas
• Recibe una notificación cada vez que ocurra un evento.

Lineamientos importantes para crear reglas de actividad

• Solo puedes crear reglas de actividad basadas en fuentes de datos de eventos de registro, por ejemplo, Eventos de registro de Gmail o Eventos de registro de dispositivos. No puedes crear reglas de actividad basadas en fuentes de datos de estado activo, como Navegadores Chrome, Dispositivos, Mensajes de Gmail y Usuarios.
• Las fuentes de datos disponibles variarán según tu edición de Google Workspace. Para obtener más información, consulta Cómo realizar una búsqueda en la herramienta de investigación de seguridad.
• Debes agregar al menos un atributo de evento a la búsqueda.
• Puedes incluir un operador O en el nivel superior solo si incluyes una condición de evento en cada ruta condicional.
• Solo puedes agregar un valor para el atributo. Por ejemplo, Actor solo puede incluir un usuario. Para incluir varios valores, usa el Creador de condiciones para agregar un operador O y, luego, agrega el mismo atributo con un valor adicional.
• No puedes usar filtros de fecha para las reglas de actividad (ya que las reglas se evalúan de forma continua).
• Debes agregar al menos una acción o alerta a la regla.
• Debido a que las reglas de actividad se basan en eventos de registro, se activan después de que ocurre el evento. Por lo tanto, las reglas de actividad no son adecuadas para acciones como bloquear o compartir un documento, o enviar correos electrónicos.

Notificaciones por correo electrónico

Si configuras notificaciones por correo electrónico para tu regla, la regla de actividad enviará un correo electrónico de notificación por período de umbral cuando se active por primera vez. La regla no enviará notificaciones las otras veces que se active. La notificación por correo electrónico contiene un resumen de la regla que activó la alerta, incluido el nombre de la regla, los detalles del umbral, los datos de origen y mucho más. Los administradores que reciban la notificación por correo electrónico pueden hacer clic en Ver alerta para ir a la página Detalles de la alerta en el Centro de alertas.

Umbrales y notificaciones de reglas

Para minimizar las notificaciones, puedes crear reglas con umbrales que activen notificaciones solo cuando el evento ocurra más de una cantidad específica de veces durante un período determinado. Por ejemplo, la primera vez que un evento activa una regla, se agrega una alerta nueva en el Centro de alertas y se envía un correo electrónico (si está configurado para la regla). Si la regla tiene un umbral de una hora, los eventos adicionales dentro de ese período se agregarán a la misma alerta. No se enviarán notificaciones por correo electrónico adicionales hasta que pase el tiempo del umbral.

Cuando estableces un umbral para una regla, se aplica de forma acumulativa en las acciones del usuario, no por usuario. Por ejemplo, si creas una regla para suspender a los usuarios después de 5 intentos fallidos de acceso en el plazo de una hora, se alcanza el umbral cuando hay 5 intentos fallidos de acceso para uno o más usuarios en el plazo de una hora. En este caso, se suspenderían todos los usuarios con al menos un intento fallido.

Notas:

• Los correos electrónicos y las alertas que activa una regla con un umbral no incluyen una descripción del evento.
• Las reglas de actividad solo se pueden configurar para enviar correos electrónicos a los usuarios internos del dominio. Sin embargo, los administradores pueden configurar alertas de correo electrónico externas con Grupos de Google.
• Puedes evitar alertas excesivas espaciándolas durante una hora.

Crea una regla de actividad

1. Crea una regla (todas las ediciones de Google Workspace) con uno de los siguientes métodos:
   • En la página principal de la Consola del administrador, ve a Reglas y, luego, haz clic en Crear regla de actividad.
   • O bien, ve a Informes Auditoría y la investigación selecciona una fuente de datos Crear regla de actividad.
   • O bien, si tienes la herramienta de investigación de seguridad, ve a Seguridad Centro de seguridad Herramienta de investigación y, luego, haz clic en Crear regla de actividad.
2. Ingresa los detalles de la regla y haz clic en Continuar:
   • Nombre de la regla, por ejemplo, Uso compartido de datos externos.
   • Descripción , por ejemplo, Notificar si se comparten documentos fuera de la empresa

3. En la página Condiciones, define cuándo se activará la regla:

   1. Elige una Fuente de datos para la regla, por ejemplo, Eventos de registro de administración.

      Nota: La disponibilidad de las fuentes de datos varía según tu edición de Google Workspace y tus privilegios de administrador. No puedes agregar acciones para los eventos de registro de Drive. Para obtener más información, consulta Acceso de administrador a reglas de actividad y Fuentes de datos para la investigación de seguridad herramienta.

   2. Haz clic en la pestaña Filtro para filtrar los resultados de la búsqueda con parámetros simples , como Contiene, No contiene, Es o No es.

   3. Haz clic en la pestaña Creador de condiciones para filtrar los resultados de la búsqueda con los operadores Y/O. Para cada condición, elige un atributo, un operador y un valor.

      Por ejemplo, para configurar una condición que especifique que el evento es una transferencia de propiedad de un documento, elige Evento como el atributo, Es como el operador y Configuración de documentos > Transferir propiedad del documento como el valor.

      Nota: Evento es una condición obligatoria. Para obtener detalles sobre las condiciones disponibles para cada fuente de datos, consulta Fuentes de datos para la herramienta de investigación de seguridad.

   4. Haz clic en Agregar condición para incluir condiciones adicionales o en Continuar.

4. (Función avanzada) Selecciona una opción:

   • Cada vez que ocurre el evento: Envía notificaciones o realiza acciones cada vez que ocurre el evento.
   • Si la frecuencia del evento cumple con un umbral específico: Selecciona las opciones para activar notificaciones o acciones cuando el evento ocurra más de una cantidad específica de veces durante un período determinado. Por ejemplo, si el evento ocurre más de 10 veces en 1 hora.

5. (Función avanzada) Haz clic en Agregar acción para realizar una acción cuando ocurra el evento o se supere el umbral.

   • Por ejemplo, suspende a los usuarios o fuerza un cambio de contraseña cuando ocurra el evento.
   • Haz clic en Agregar acción para crear acciones adicionales.

6. En Notificación, selecciona las opciones:

   • Centro de alertas: (Recomendado) Envía una alerta al Centro de alertas. Las alertas incluyen información detallada para que puedas tomar medidas contra los problemas y colaborar con otros administradores de tu organización para resolverlos.
   • Correo electrónico: Envía notificaciones por correo electrónico a:
   • Todos los administradores avanzados : Envía correos electrónicos a todos los administradores avanzados.
   • Agregar destinatarios de correo electrónico : Envía correos electrónicos a los administradores seleccionados.
   • Frecuencia de notificación: Es la cantidad de notificaciones (alertas y correos electrónicos) que se envían cada hora para el mismo evento. Puedes espaciar las notificaciones durante la hora o recibir una notificación cada vez que ocurra el evento. Usa esta configuración para evitar notificaciones excesivas para el mismo evento. Elige una opción:
   • Hasta 5 por hora (predeterminado): Recibe una notificación cada 12 minutos por hora.
   • Hasta 2 por hora: Recibe una notificación cada 30 minutos por hora.
   • Hasta 10 por hora: Recibe una notificación cada 6 minutos por hora.
   • Cada vez que ocurre el evento (si está disponible en tu edición)
   • Gravedad: Es el nivel de gravedad que se muestra para el evento.

7. Selecciona el estado de la regla.

   • Activo (predeterminado): El sistema recopila registros y las reglas se aplican de manera forzosa.
   • Supervisión : El sistema recopila registros, pero las reglas no se aplican de manera forzosa. Usa esta opción para revisar los registros antes de aplicar la regla.
   • Inactivo: No se recopilan registros y la regla no se aplica de manera forzosa.

8. Haz clic en Continuar. Revisa los detalles de la regla. Haz clic en Atrás para realizar cambios, si es necesario.

9. Haz clic en Crear regla.

Cómo ver y editar tus reglas de actividad

Después de crear una regla de actividad, puedes ir a la página Reglas para ver los detalles y el alcance de la regla, las condiciones de la regla y las acciones que se activan cuando se cumplen los umbrales.

En la página Reglas, también puedes ver una lista de todas las reglas que crearon los administradores de tu dominio. Ve a la página principal de la Consola del administrador de Google y haz clic en Reglas.

En la página Reglas, los administradores de tu dominio pueden ver las reglas creadas por otros administradores, según la fuente de datos de la regla y los privilegios de cada administrador. Por ejemplo, un administrador podría tener privilegios de visualización para los eventos de registro de Drive, pero no para los eventos de registro de Gmail y, por lo tanto, no puede ver ninguna regla basada en eventos de registro de Gmail.

Puedes usar la página Reglas para realizar las siguientes acciones:

• Para filtrar la lista de reglas, haz clic en Agregar un filtro.
• Para ver y editar los detalles de la regla, haz clic en una de las reglas.
• Borrar reglas
• Crear reglas nuevas
• Haz clic en Investigar para abrir la herramienta de investigación y ver los datos de los eventos de registro de reglas.

Artículos relacionados

• Cómo crear y administrar reglas desde la página Reglas
• Cómo crear y administrar reglas de informes
• Acceso de administrador a reglas de actividad