Investiga archivos sospechosos y toma medidas al respecto

Ediciones admitidas para esta función: Chrome Enterprise Premium. Comparar tu edición

Evidence Locker, disponible con Chrome Enterprise Premium, permite a los administradores inspeccionar archivos marcados como software malicioso o que infrinjan las reglas de protección de datos, lo que proporciona mayor visibilidad y control sobre los riesgos potenciales. Los archivos se guardan en el bucket de Google Cloud Storage de tu organización y el administrador de seguridad puede descargarlos desde la Herramienta de investigación de seguridad (SIT) de Google Workspace.

Antes de comenzar

Se requiere lo siguiente:

Navegador Chrome

Para obtener más información, consulte:

Licencia de Chrome Enterprise Premium

Para obtener más información y registrarte, consulta Mejora la seguridad con Chrome Enterprise Premium o la descripción general de Chrome Enterprise Premium.
Para ver y administrar tu licencia de Chrome Enterprise Premium , haz lo siguiente:
En la Consola del administrador de Google, ve a Menú Facturación Suscripciones.

Ir a Suscripciones

Es necesario tener el privilegio de administración de facturación.

Configura Evidence Locker

Paso 1: Crea un bucket de Google Cloud Storage

Evidence Locker almacena archivos sospechosos o sensibles en un bucket de Google Cloud Storage (GCS). Deberás crear un bucket siguiendo los pasos que se indican a continuación. Es útil tener conocimientos generales de Google Cloud Storage.

Sugerencia: Una regla de Google Cloud Data Loss Prevention (DLP) que sea demasiado permisiva puede guardar muchos archivos en el bucket, lo que genera costos de almacenamiento elevados. Crea reglas que guarden solo los archivos altamente sospechosos.

Crea un proyecto de Google Cloud. Para obtener instrucciones, consulta Crea y administra proyectos.
- La cuenta de servicio y el usuario de Google Cloud necesitan privilegios de administrador de almacenamiento en el proyecto de Google Cloud que contiene el bucket. Consulta Otorga roles a nivel de proyecto, de bucket o de carpeta administrada.
Habilita la API de Cloud Resource Manager para el proyecto:
- La API de Cloud Resource Manager te permite administrar de manera programática los recursos de contenedores, como organizaciones y proyectos, en Google Cloud.
- Ve a la API de Cloud Resource Manager para el número_de_proyecto.
Crea un bucket con una clave de encriptación administrada por el cliente (CMEK).
- Habilita la API de KMS. Consulta Usa claves de encriptación administradas por el cliente.
- (Opcional) Para crear un llavero de claves y una clave CMEK, ve a Seguridad > Administración de claves > Crear llavero de claves.
- Crea un bucket en Cloud Storage > Buckets. Consulta Crea buckets.
  - El bucket de GCS debe ser propiedad de tu organización y estar dentro del mismo dominio.
  - La CMEK debe estar en la misma región que el bucket. Más información
- (Opcional, pero recomendado): Establece un tiempo de actividad (TTL) para los archivos. Por ejemplo, bórralos automáticamente después de 30 días.

Paso 2: Configura Evidence Locker

En la Consola del administrador de Google, ve a Menú Apps Servicios adicionales de Google.

Ir a Servicios adicionales de Google

Es necesario tener el privilegio de administrador de la configuración del servicio.
Haz clic en Servicios de seguridad de Chrome Enterprise.
Haz clic en Activado para todos o Desactivado para todos y, luego, en Guardar.
(Opcional) Si quieres activar o desactivar un servicio para una unidad organizativa, sigue estos pasos:
1. Sobre la izquierda, selecciona la unidad organizativa.
2. Para cambiar el estado del servicio, selecciona Activar o Desactivar.
3. Elige una opción:
  - Si el estado del servicio se establece como Heredado y quieres mantener el parámetro de configuración actualizado, incluso si cambia el parámetro superior, haz clic en Anular.
  - Si el estado del servicio se estableció como Anulado, haz clic en Heredar para revertir al mismo parámetro de configuración que el del elemento superior o en Guardar para mantener el parámetro nuevo incluso si cambia el de nivel superior.
    Obtén más información sobre la estructura organizativa.
Haz clic en Configuración de Evidence Locker.
Haz clic en Ingresa el nombre del bucket de Google Cloud Storage.
Si no tienes una cuenta de servicio, haz clic en Generar una cuenta de servicio. Se requiere una cuenta de servicio para continuar.
Agrega la cuenta de servicio a tu bucket de Google Cloud Storage (GCS).
Importante: La cuenta de servicio debe tener privilegios de administrador de almacenamiento en el proyecto de GCP que contiene el bucket. Consulta Crea un bucket de Google Cloud Storage.
1. En la consola de Google Cloud, ve a Menú IAM y administración Administrar recursos.
2. Ve al proyecto de GCS que contiene el bucket.
3. Haz clic en la pestaña Permisos.
4. Selecciona la cuenta de servicio de Evidence Locker.
5. Haz clic en Otorgar acceso.
6. En Principal nuevo, ingresa la cuenta de servicio que acabas de generar.
7. En Rol, selecciona Administrador de almacenamiento.
8. (Opcional): Los usuarios que no son administradores avanzados también deben tener privilegios de administrador de almacenamiento en el proyecto de GCP que contiene el bucket. Esto es necesario para seleccionar un bucket de GCS del proyecto.
9. Haz clic en Guardar.
En la configuración de Evidence Locker de la Consola del administrador de Google Workspace, ingresa el nombre del bucket de Google Cloud.
(Opcional) Para conservar copias de los archivos marcados como software malicioso en Evidence Locker, selecciona Guardar en Evidence Locker el contenido que incluya software malicioso.
Haz clic en Guardar.

Paso 3: Activa Evidence Locker para los análisis de software malicioso

Puedes guardar en el bucket de almacenamiento todas las cargas y descargas de archivos marcadas como software malicioso. Esta opción también se puede habilitar durante la configuración de Evidence Locker.

En la Consola del administrador de Google, ve a Menú Apps Servicios adicionales de Google.

Ir a Servicios adicionales de Google

Es necesario tener el privilegio de administrador de la configuración del servicio.
Haz clic en Servicios de seguridad de Chrome Enterprise.
Haz clic en Configuración de Evidence Locker.
Haz clic en y espera a que se muestre la cuenta de servicio de tu organización.
Debajo del campo Nombre del bucket, selecciona Guardar en Evidence Locker el contenido que incluya software malicioso.

Paso 4: Activa Evidence Locker para los análisis de transferencia de datos sensibles

Puedes copiar archivos al bucket de Evidence Locker cuando se produce una infracción de la regla de protección de datos. Solo se copian los archivos activados por las siguientes acciones:

Se subió el archivo
Se descargó un archivo
Imprimir

El contenido marcado con "Contenido pegado" no se copia en Evidence Locker.

En la Consola del administrador de Google, ve a Menú Reglas.

Ve a Reglas.
En el menú desplegable, selecciona Protección de datos.
Escribe un nombre y una descripción para la regla.
En Alcance, selecciona las unidades organizativas o grupos a los que se aplicará esta regla.
Nota: Si seleccionas un alcance de grupo, solo se admitirán los grupos creados por los administradores en la Consola del administrador de Google.
En Apps, selecciona las opciones de Chrome Se subió el archivo, Se descargó un archivo o Contenido impreso.
En Acciones, en Evidence Locker, selecciona Guardar en Evidence Locker el contenido que se suba, se descargue o se imprima, y que detecte esta regla.

Para obtener más información, consulta Crea reglas de protección de datos.

Supervisa y descarga archivos de Evidence Locker

Importante: Las reglas de protección de datos de Evidence Locker son altamente configurables. Tu organización es responsable de garantizar el cumplimiento de las políticas de privacidad de los empleados y de todos los costos de almacenamiento en el bucket de Google Cloud Storage. Ten en cuenta que el almacenamiento extenso de archivos de las reglas de protección de datos puede generar tarifas considerables de Google Cloud Storage.

En los registros de Chrome

En la Consola del administrador de Google, ve a Menú Seguridad Centro de seguridad Herramienta de investigación.

Ir a la Herramienta de investigación

Es necesario tener el privilegio de administrador del centro de seguridad.

Se requieren los siguientes privilegios específicos de administrador del centro de seguridad. Consulta Privilegios de administrador de la Herramienta de investigación de seguridad.
- Para descargar y administrar archivos sospechosos:
  Administrar > Chrome
- Para ver el contenido de los archivos sospechosos:
  Ver contenido sensible > Chrome
Haz clic en Fuente de datos y selecciona Eventos de registro de Chrome.
Busca las entradas de tu búsqueda y desplázate hacia la derecha.
En la columna Ruta de archivo de Evidence Locker, haz clic en el vínculo al archivo almacenado.
Los detalles del archivo se muestran en el panel lateral. Por ejemplo, el nombre y la ruta originales del archivo en el bucket de Google Cloud Storage.
En la parte inferior, haz clic en Descargar archivo.

El archivo zip descargado está protegido con contraseña. La contraseña es "protected" y es la misma para todos los archivos.

En los registros de reglas

En la Consola del administrador de Google, ve a Menú Seguridad Centro de seguridad Herramienta de investigación.

Ir a la Herramienta de investigación

Es necesario tener el privilegio de administrador del centro de seguridad.
Haz clic en Fuente de datos y selecciona Eventos de registro de reglas. Haz clic en Buscar.
Busca la fila Acción completada con la regla deseada y desplázate hacia la derecha para encontrar la columna Ruta de archivo de Evidence Locker.
Esta es la ruta en la que se almacena el archivo. Haz clic en Más para ver acciones adicionales.

Investiga archivos sospechosos y toma medidas al respecto Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.