Crea y administra reglas de actividad

Configura alertas y toma medidas

Como administrador, puedes configurar reglas de actividad en la Consola del administrador de Google para enviar notificaciones o tomar medidas en respuesta a la actividad dentro de tu dominio. Usa reglas de actividad para evitar, detectar y resolver problemas de seguridad de manera más rápida y eficiente.

Para configurar una regla, debes establecer condiciones y especificar qué notificaciones o acciones se deben realizar cuando se cumplan las condiciones. Una regla es simplemente una forma de decir que, si sucede x, se debe hacer y automáticamente.

Google realizará continuamente la búsqueda especificada en la regla de actividad. Si la cantidad de resultados que muestra esa búsqueda supera el umbral que configuraste, Google realizará las notificaciones y las acciones que especifiques. Por ejemplo, puedes configurar una regla para enviar notificaciones por correo electrónico a ciertos administradores si se comparten documentos de Google Drive fuera de la empresa.

Antes de comenzar

Tu capacidad para crear y ver reglas de actividad depende de tu edición de Google Workspace, tus privilegios de administrador y la fuente de datos. Para obtener más detalles, consulta Acceso de administrador a reglas de informes y de actividad.

Funciones para todas las ediciones

  • Accede a las reglas de actividad desde la página Rules o la herramienta de auditoría e investigación
  • Filtros AND con hasta 5 condiciones (sin incluir las condiciones anidadas)

Funciones avanzadas

Ediciones admitidas para esta función: Frontline Plus, Enterprise Standard y Enterprise Plus, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium y Chrome Enterprise Premium. Comparar tu edición
  • Accede a las reglas de actividad desde la herramienta de investigación de seguridad
  • Filtros OR
  • Cómo configurar acciones en los activadores
  • Cómo establecer umbrales para los activadores
  • Configurar más de 5 condiciones en una regla
  • Condiciones anidadas
  • Recibir una notificación cada vez que ocurra un evento

Lineamientos importantes para crear reglas de actividad

  • Solo puedes crear reglas de actividad basadas en fuentes de datos de eventos de registro, por ejemplo, Eventos de registro de Gmail o Eventos de registro de dispositivos. No puedes crear reglas de actividad basadas en fuentes de datos de estado activo, como navegadores Chrome, dispositivos, mensajes de Gmail y usuarios.
  • Las fuentes de datos disponibles variarán según tu edición de Google Workspace. Para obtener más detalles, consulta Cómo realizar una búsqueda en la herramienta de investigación de seguridad.
  • Debes agregar al menos un atributo de evento a la búsqueda.
  • Solo puedes incluir un operador OR en el nivel superior si incluyes una condición de evento en cada ruta condicional.
  • Solo puedes agregar un valor para el atributo. Por ejemplo, Actor solo puede incluir un usuario. Para incluir varios valores, usa el Creador de condiciones para agregar un operador OR y, luego, agrega el mismo atributo con un valor adicional.
  • No puedes usar filtros de fecha para las reglas de actividad (ya que las reglas se evalúan de forma continua).
  • Debes agregar al menos una acción o alerta a la regla.
  • Debido a que las reglas de actividad se basan en eventos de registro, se activan después de que ocurre el evento. Por lo tanto, las reglas de actividad no son adecuadas para acciones como bloquear o compartir un documento, o enviar correos electrónicos.

Notificaciones por correo electrónico

Si configuras notificaciones por correo electrónico para tu regla, la regla de actividad enviará un correo electrónico de notificación por período de límite cuando se active la regla por primera vez. La regla no enviará notificaciones para los otros momentos en que se active. La notificación por correo electrónico contiene un resumen de la regla que activó la alerta, incluido el nombre de la regla, los detalles del umbral, los datos de origen y mucho más. Los administradores que reciban la notificación por correo electrónico pueden hacer clic en Ver alerta para ir a la página Detalles de la alerta en el Centro de alertas.

Umbrales y notificaciones de reglas

Para minimizar las notificaciones, puedes crear reglas con umbrales que activen las notificaciones solo cuando el evento ocurra más de una cantidad específica de veces en un período determinado. Por ejemplo, la primera vez que un evento activa una regla, se agrega una alerta nueva en el Centro de alertas y se envía un correo electrónico (si la regla está configurada para hacerlo). Si la regla tiene un umbral de una hora, los eventos adicionales que ocurran dentro de ese período se agregarán a la misma alerta. No se envían notificaciones por correo electrónico adicionales hasta que se supera el tiempo límite.

Cuando estableces un umbral para una regla, se aplica de forma acumulativa en todas las acciones del usuario, no por usuario. Por ejemplo, si creas una regla para suspender a los usuarios después de 5 intentos fallidos de acceso en el plazo de una hora, se alcanzará el umbral cuando haya 5 intentos fallidos de acceso para uno o más usuarios en el plazo de una hora. En este caso, se suspendería a todos los usuarios con al menos un intento fallido.

Notas:

  • Los correos electrónicos y las alertas que se activan con una regla que tiene un límite no incluyen una descripción del evento.
  • Las reglas de actividad solo se pueden configurar para enviar correos electrónicos a los usuarios del dominio interno. Sin embargo, los administradores aún pueden configurar alertas de correo electrónico externas con Grupos de Google.
  • Puedes evitar las alertas excesivas espaciándolas durante una hora.

Crea una regla de actividad

  1. Crea una regla (todas las ediciones de Google Workspace) con uno de los siguientes métodos:
    • En la página principal de la Consola del administrador, ve a Reglas y, luego, haz clic en Crear regla de actividad.
    • También puedes ir a Informes y luego Auditoría e investigación y luego seleccionar una fuente de datos y luego Crear regla de actividad.
    • O bien, si tienes la herramienta de investigación de seguridad, ve a Seguridad y luego Centro de seguridad y luego Herramienta de investigación y, luego, haz clic en Crear regla de actividad.
  2. Ingresa los detalles de la regla y haz clic en Continuar:
    • Nombre de la regla: Por ejemplo, Uso compartido de datos externos.
    • Descripción: Por ejemplo, Notificar si se comparten documentos fuera de la empresa

  3. En la página Condiciones, define cuándo se activará la regla:

    1. Elige una Fuente de datos para la regla, por ejemplo, Eventos de registro de administrador.

      Nota: La disponibilidad de las fuentes de datos varía según tu edición de Google Workspace y tus privilegios de administrador. No puedes agregar acciones para los eventos de registro de Drive. Para obtener más información, consulta Acceso de administrador a las reglas de actividad y Fuentes de datos de la herramienta de investigación de seguridad.

    2. Haz clic en la pestaña Filtro para filtrar los resultados de la búsqueda con parámetros simples, como Contiene, No contiene, Es o No es.

    3. Haz clic en la pestaña Creador de condiciones para filtrar los resultados de la búsqueda con los operadores Y/O. Para cada condición, elige un atributo, un operador y un valor.

      Por ejemplo, para configurar una condición que especifique que el evento es una transferencia de propiedad del documento, elige Evento como el atributo, Es como el operador y Configuración del documento > Transferir la propiedad del documento como el valor.

      Nota: Evento es una condición obligatoria. Para obtener detalles sobre las condiciones disponibles para cada fuente de datos, consulta Fuentes de datos de la herramienta de investigación de seguridad.

    4. Haz clic en Agregar condición para agregar condiciones adicionales o haz clic en Continuar.

  4. (Función avanzada) Selecciona una opción:

    • Cada vez que ocurre el evento: Envía notificaciones o realiza acciones cada vez que ocurre el evento.
    • Si la frecuencia del evento alcanza un umbral específico: Selecciona las opciones para activar notificaciones o acciones cuando el evento ocurra más de una cantidad específica de veces durante un período determinado. Por ejemplo, si el evento ocurre más de 10 veces en 1 hora.

  5. (Función avanzada) Haz clic en Agregar acción para realizar una acción cuando se produzca el evento o se supere el umbral.

    • Por ejemplo, suspender usuarios o forzar un cambio de contraseña cuando se produzca el evento.
    • Haz clic en Agregar acción para crear acciones adicionales.

  6. En Notificación, selecciona las siguientes opciones:

    • Centro de alertas: (Recomendado) Envía una alerta al Centro de alertas. Las alertas incluyen información detallada para que puedas abordar los problemas y colaborar con otros administradores de tu organización para resolverlos.
    • Correo electrónico: Envía notificaciones por correo electrónico a las siguientes direcciones:
      • Todos los administradores avanzados: Envía correos electrónicos a todos los administradores avanzados.
      • Agregar destinatarios de correo electrónico: Envía correos electrónicos a administradores seleccionados.
    • Frecuencia de las notificaciones: Es la cantidad de notificaciones (alertas y correos electrónicos) que se envían cada hora para el mismo evento. Puedes espaciar las notificaciones a lo largo de la hora o recibir una notificación cada vez que ocurra el evento. Usa este parámetro de configuración para evitar notificaciones excesivas sobre el mismo evento. Elige una opción:
      • Hasta 5 por hora (predeterminado): Recibe una notificación cada 12 minutos cada hora.
      • Hasta 2 por hora: Recibe una notificación cada 30 minutos de cada hora.
      • Hasta 10 por hora: Recibe una notificación cada 6 minutos por hora.
      • Cada vez que ocurre el evento (si está disponible en tu edición)
    • Gravedad: Es el nivel de gravedad que se muestra para el evento.

  7. Selecciona el estado de la regla.

    • Activo (predeterminado): El sistema recopila registros y se aplican las reglas.
    • Monitor: El sistema recopila registros, pero las reglas no se aplican de manera forzosa. Usa esta opción para revisar los registros antes de aplicar la regla.
    • Inactivo: No se recopilan registros y la regla no se aplica de manera forzosa.

  8. Haz clic en Continuar. Revisa los detalles de la regla. Haz clic en Atrás para realizar cambios si es necesario.

  9. Haz clic en Crear regla.

Cómo ver y editar tus reglas de actividad

Después de crear una regla de actividad, puedes ir a la página Reglas para ver los detalles y el alcance de la regla, las condiciones de la regla y las acciones que se activan cuando se alcanzan los umbrales.

En la página Reglas, también puedes ver una lista de todas las reglas que crearon los administradores de tu dominio. Ve a la página principal de la Consola del administrador de Google y haz clic en Reglas.

En la página Rules, los administradores de tu dominio pueden ver las reglas creadas por otros administradores, según la fuente de datos de la regla y los privilegios de cada administrador. Por ejemplo, un administrador podría tener privilegios de visualización para los eventos de registro de Drive, pero no para los de Gmail, por lo que no podrá ver ninguna regla basada en los eventos de registro de Gmail.

En la página Reglas, puedes realizar las siguientes acciones:

  • Para filtrar la lista de reglas, haz clic en Agregar un filtro.
  • Haz clic en una de las reglas para ver y editar sus detalles.
  • Borra reglas.
  • Crear reglas nuevas
  • Haz clic en Investigar para abrir la herramienta de investigación y ver los datos de los eventos de registro de reglas.