Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Enterprise Essentials y Enterprise Essentials Plus. Compara tu edición
Como administrador, puedes usar la herramienta de investigación de seguridad para ver y estudiar datos del estado en vivo sobre los dispositivos de tu organización. Por ejemplo:
- Investiga si una actualización del navegador llegó a todos los dispositivos de tu organización.
- Averigua si algún dispositivo está vulnerado en este momento.
- Conoce la fecha de la última actualización del sistema operativo de un dispositivo.
- Consulta el estado de un dispositivo, por ejemplo, si está desactivado o se restableció su configuración de fábrica.
Cómo buscar datos de dispositivos
Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.
Para realizar una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. Luego, elige una o más condiciones para la búsqueda. Para cada condición, elige un atributo, un operador y un valor.
-
En la Consola del administrador de Google, ve a Menú
Seguridad Centro de seguridad Herramienta de investigación.Requiere tener el privilegio de administrador del Centro de seguridad.
- Haz clic en Fuente de datos y selecciona Dispositivos.
-
Haga clic en Agregar condición.
Sugerencia: Puedes incluir una o más condiciones en tu búsqueda o personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas. -
Haz clic en Atributo selecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
Para obtener una lista completa de los atributos, consulta la sección Descripciones de atributos. - Selecciona un operador.
- Ingresa un valor o selecciona uno de la lista.
- (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
-
Haz clic en Buscar.
Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página. -
(Opcional) Para guardar la investigación, haz clic en Guardar
ingresa un título y una descripción haz clic en Guardar.
Notas
- En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtrar para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
- Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
- Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.
Descripciones de atributos
Para esta fuente, puedes usar los siguientes atributos cuando busques datos de eventos de registro.
| Atributo | Descripción |
|---|---|
| Operador | Operador de telefonía móvil del dispositivo |
| Estado de vulneración del dispositivo | Indica si el dispositivo tiene acceso raíz o se le aplicó jailbreak, procesos que quitan las restricciones del dispositivo. Entre los valores, se incluyen los siguientes:
|
| ID del dispositivo | Es el ID que se asigna al dispositivo cuando se inscribe para la administración de dispositivos. Si un dispositivo se inscribe más de una vez, es posible que se le asigne más de un ID. |
| Modelo del dispositivo | Modelo del dispositivo |
| Propietario del dispositivo |
Nombre del usuario que realizó el evento en el dispositivo Nota: En el caso de los dispositivos iOS de la empresa, los cambios en la inscripción del dispositivo en el Administrador de empresas de Apple o el Administrador de escuelas de Apple los realiza una cuenta de servicio que se informa como "Usuario anónimo". |
| Tipo de dispositivo | Tipo de dispositivo en el que ocurrió el evento, por ejemplo, Android, ChromeOS, iOS, Linux, Mac o Windows |
| Fecha de la última sincronización | Fecha y hora más recientes en que el dispositivo sincronizó los datos corporativos |
| Tipo de administración | Tipo de administración que se aplica al dispositivo. Entre los valores, se incluyen los siguientes:
|
| Estado de la contraseña | Indica si el dispositivo tiene una contraseña. El valor es Activado si se establece una contraseña. |
| Fecha registrada | Fecha y hora en que el dispositivo sincronizó los datos corporativos por primera vez |
| Fecha del parche de seguridad | Fecha de la última actualización de seguridad del SO, en el formato AAAA-MM-DD (solo Android 6.0 y versiones posteriores) |
| Status | Estado del dispositivo, por ejemplo, Se restableció la configuración de la cuenta, Aprobado, Bloqueado o Desactivado |
| Correo electrónico del usuario | Dirección de correo electrónico del usuario del dispositivo |
Toma medidas en función de los resultados de la búsqueda
Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, colocarlos en cuarentena o enviarlos a las carpetas Recibidos de los usuarios. Para obtener más detalles sobre las acciones en la herramienta de investigación de seguridad, consulta Toma medidas en función de los resultados de la búsqueda.
Cómo administrar tus investigaciones
Cómo ver tu lista de investigaciones
Para ver una lista de las investigaciones que son de tu propiedad y las que se compartieron contigo, haz clic en Ver investigaciones 
. La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.
En esta lista, puedes tomar medidas en relación con las investigaciones que son de tu propiedad, por ejemplo, borrar una. Marca la casilla de una investigación y, luego, haz clic en Acciones.
Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones guardadas recientemente.
Cómo configurar los parámetros de configuración de tus investigaciones
Como superadministrador, haz clic en Configuración 
para hacer lo siguiente :
- Cambiar la zona horaria de tus investigaciones (la zona horaria se aplica a las condiciones y los resultados de la búsqueda)
- Activar o desactivar la opción Solicitar revisor (para obtener más detalles, consulta Solicita revisores para las acciones masivas)
- Activar o desactivar la opción Ver contenido (este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido)
- Activar o desactivar la opción Habilitar la justificación de acciones
Para obtener instrucciones y detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.
Cómo administrar las columnas en los resultados de la búsqueda
Puedes controlar qué columnas de datos aparecen en los resultados de la búsqueda.
- En la esquina superior derecha de la tabla de resultados de la búsqueda, haz clic en Administrar columnas
. - Para quitar las columnas actuales, haz clic en Quitar elemento
(opcional). - Para agregar columnas, junto a Agregar nueva columna, haz clic en la flecha hacia abajo
y selecciona la columna de datos (opcional).
Repite el proceso según sea necesario. - Para cambiar el orden de las columnas, arrastra el nombre de la columna (opcional).
- Haz clic en Guardar.
Cómo exportar datos de los resultados de la búsqueda
Puedes exportar los resultados de la búsqueda en la herramienta de investigación de seguridad a Hojas de cálculo de Google o a un archivo CSV. Para obtener instrucciones, consulta Cómo exportar los resultados de la búsqueda.
Cómo compartir, borrar y duplicar investigaciones
Para guardar los criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y luego compartirla, duplicarla o borrarla.
Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.
¿Cuándo y durante cuánto tiempo están disponibles los datos?
Para obtener más información sobre las fuentes de datos, consulta Retención de datos y tiempos de retraso.
Temas relacionados
- Inicia investigaciones basadas en un gráfico de panel
- Crea un gráfico personalizado que esté basado en una investigación
- Inicia una investigación desde el Centro de alertas
- Investiga denuncias de correos electrónicos maliciosos
- Investiga el uso compartido de archivos
- Investiga a los usuarios en diversas fuentes de datos