Investiga archivos sospechosos y toma medidas al respecto

Ediciones admitidas para esta función: Chrome Enterprise Premium. Comparar tu edición

Evidence Locker, disponible con Chrome Enterprise Premium, permite a los administradores inspeccionar archivos marcados como software malicioso o que infrinjan las reglas de protección de datos, lo que proporciona mayor visibilidad y control sobre los posibles riesgos. Los archivos se guardan en el bucket de Google Cloud Storage de tu organización y el administrador de seguridad puede descargarlos desde la Herramienta de investigación de seguridad (SIT) de Google Workspace.

Antes de comenzar

Se requiere lo siguiente:

Navegador Chrome

Para obtener más información, consulte:

Licencia de Chrome Enterprise Premium

Para obtener más información y registrarte, consulta Mejora la seguridad con Chrome Enterprise Premium o la descripción general de Chrome Enterprise Premium.
Para ver y administrar tu licencia de Chrome Enterprise Premium, sigue estos pasos:
En la Consola del administrador de Google, ve a Menú FacturaciónSuscripciones.

Ir a Suscripciones

Es necesario tener el privilegio de administración de facturación.

Cómo configurar Evidence Locker

Paso 1: Crea un bucket de Google Cloud Storage

La Biblioteca de evidencias almacena archivos sospechosos o sensibles en un bucket de Google Cloud Storage (GCS). Deberás crear un bucket siguiendo estos pasos. Es útil tener conocimientos básicos de Google Cloud Storage.

Nota: Una regla de Prevención de pérdida de datos (DLP) de Google Cloud demasiado permisiva puede guardar muchos archivos en el bucket, lo que generaría costos de almacenamiento elevados. Crea reglas que solo guarden los archivos altamente sospechosos.

Crea un proyecto de Google Cloud. Para obtener instrucciones, consulta Crea y administra proyectos.
- La cuenta de servicio y el usuario de Google Cloud necesitan privilegios de administrador de almacenamiento en el proyecto de Google Cloud que contiene el bucket. Consulta Otorga roles a nivel de proyecto, de bucket o de carpeta administrada.
Habilita la API de Cloud Resource Manager para el proyecto:
- La API de Cloud Resource Manager te permite administrar de forma programática los recursos de contenedor, como organizaciones y proyectos, en Google Cloud.
- Ve a la API de Cloud Resource Manager para el número de proyecto.
Crea un bucket con una clave de encriptación administrada por el cliente (CMEK).
- Habilita la API de KMS. Consulta Usa claves de encriptación administradas por el cliente.
- (Opcional) Para crear un llavero de claves y una clave de CMEK, ve a Seguridad > Administración de claves > Crear llavero de claves.
- Crea un bucket en Cloud Storage > Buckets. Consulta Crea buckets.
  - El bucket de GCS debe ser propiedad de tu organización y estar dentro del mismo dominio.
  - La CMEK debe estar en la misma región que el bucket. Más información
- (Opcional, pero recomendado): Establece un tiempo de actividad (TTL) en los archivos. Por ejemplo, borrarlos automáticamente después de 30 días.

Paso 2: Configura el Evidence Locker

En la Consola del administrador de Google, ve a Menú AppsServicios adicionales de Google.

Ir a Servicios adicionales de Google

Es necesario tener el privilegio de administrador de Configuración del servicio.
Haz clic en Servicios de seguridad de Chrome Enterprise.
Haz clic en Activado para todos o Desactivado para todos y, luego, en Guardar.
(Opcional) Si deseas activar o desactivar un servicio para una unidad organizativa, sigue estos pasos:
1. Sobre la izquierda, selecciona la unidad organizativa.
2. Para cambiar el estado del servicio, selecciona Activado o Desactivado.
3. Elige una opción:
  - Si el estado del servicio se establece como Heredado y quieres mantener el parámetro de configuración actualizado, incluso si cambia el parámetro superior, haz clic en Anular.
  - Si el estado del servicio se estableció como Anulado, haz clic en Heredar para revertir al mismo parámetro de configuración que el del elemento superior o en Guardar para mantener el parámetro nuevo incluso si cambia el de nivel superior.
    Obtén más información sobre la estructura organizativa.
Haz clic en Configuración de Evidence Locker.
Haz clic en Ingresa el nombre del bucket de Google Cloud Storage.
Si no tienes una cuenta de servicio, haz clic en Generar una cuenta de servicio. Se requiere una cuenta de servicio para continuar.
Agrega la cuenta de servicio a tu bucket de Google Cloud Storage (GCS).
Importante: La cuenta de servicio debe tener privilegios de administrador de almacenamiento en el proyecto de GCP que contiene el bucket. Consulta Crea un bucket de Google Cloud Storage.
1. En la consola de Google Cloud, ve a Menú IAM y administraciónAdministrar recursos.
2. Ve al proyecto de GCS que contiene el bucket.
3. Haz clic en la pestaña Permisos.
4. Selecciona la cuenta de servicio de Evidence Locker.
5. Haz clic en Otorgar acceso.
6. En Principal nuevo, ingresa la cuenta de servicio que acabas de generar.
7. En Rol, selecciona Administrador de almacenamiento.
8. (Opcional) Los usuarios que no son administradores avanzados también deben tener privilegios de administrador de almacenamiento en el proyecto de GCP que contiene el bucket. Esto es necesario para seleccionar un bucket de GCS del proyecto.
9. Haz clic en Guardar.
En la configuración del casillero de evidencia de la Consola del administrador de Google Workspace, ingresa el nombre del bucket de Google Cloud.
(Opcional) Para conservar copias de los archivos marcados como software malicioso en Evidence Locker, selecciona Guardar en Evidence Locker el contenido que incluya software malicioso.
Haz clic en Guardar.

Paso 3: Activa el Evidence Locker para los análisis de software malicioso

Puedes guardar todas las cargas y descargas de archivos marcadas como malware en el bucket de almacenamiento. Esta opción también se puede habilitar durante la configuración de Evidence Locker.

En la Consola del administrador de Google, ve a Menú AppsServicios adicionales de Google.

Ir a Servicios adicionales de Google

Es necesario tener el privilegio de administrador de Configuración del servicio.
Haz clic en Servicios de seguridad de Chrome Enterprise.
Haz clic en Configuración de Evidence Locker.
Haz clic en y espera a que se muestre la cuenta de servicio de tu organización.
Debajo del campo de nombre del bucket, selecciona Guardar en Evidence Locker el contenido que incluya software malicioso.

Paso 4: Activa Evidence Locker para los análisis de transferencia de datos sensibles

Puedes copiar archivos al bucket de Evidence Locker cuando se produzca un incumplimiento de una regla de protección de datos. Solo se copian los archivos que se activan con las siguientes acciones:

Se subió el archivo
Se descargó el archivo
Imprimir

El contenido marcado con la opción "Se pegó contenido" no se copia en el Evidence Locker.

Ve a Menú Reglas.
En el menú desplegable, selecciona Protección de datos.
Escribe un nombre y una descripción para la regla.
En Alcance, selecciona las unidades organizativas o los grupos a los que se aplicará esta regla.
Nota: Si seleccionas un alcance de grupo, solo se admiten los grupos creados por administradores en la Consola del administrador de Google.
En Apps, selecciona las opciones de Chrome Se subió el archivo, Se descargó el archivo o Se imprimió el contenido.
En Acciones, en Evidence Locker, selecciona Guardar en Evidence Locker el contenido que se suba, se descargue o se imprima, y que detecte esta regla.

Para obtener más información, consulta Crea reglas de protección de datos.

Supervisa y descarga archivos de la biblioteca de evidencias

Importante: Las reglas de protección de datos de Evidence Locker son altamente configurables. Tu organización es responsable de garantizar el cumplimiento de las políticas de privacidad de los empleados y de todos los costos de almacenamiento en el bucket de Google Cloud Storage. Ten en cuenta que el almacenamiento de archivos extenso de las reglas de protección de datos puede generar cargos significativos de Google Cloud Storage.

En los registros de Chrome

En la Consola del administrador de Google, ve a Menú SeguridadCentro de seguridadHerramienta de investigación.

Ir a la Herramienta de investigación

Es necesario tener el privilegio de administrador del Centro de seguridad.

Se requieren los siguientes privilegios de administrador específicos del Centro de seguridad. Consulta Privilegios de administrador de la Herramienta de investigación de seguridad.
- Para descargar y administrar archivos sospechosos, haz lo siguiente:
  Administrar > Chrome
- Para ver el contenido de los archivos sospechosos, haz lo siguiente:
  Ver contenido sensible > Chrome
Haz clic en Fuente de datos y selecciona Eventos de registro de Chrome.
Busca las entradas de tu búsqueda y desplázate hacia la derecha.
En la columna Ruta de acceso al archivo del Evidence Locker, haz clic en el vínculo al archivo almacenado.
Los detalles del archivo se muestran en el panel lateral. Por ejemplo, el nombre y la ruta originales del archivo en el bucket de Google Cloud Storage.
En la parte inferior, haz clic en Descargar archivo.

El archivo ZIP descargado está protegido con contraseña. La contraseña es "protected" y es la misma para todos los archivos.

En los registros de reglas

En la Consola del administrador de Google, ve a Menú SeguridadCentro de seguridadHerramienta de investigación.

Ir a la Herramienta de investigación

Es necesario tener el privilegio de administrador del Centro de seguridad.
Haz clic en Fuente de datos y selecciona Eventos de registro de reglas. Haz clic en Buscar.
Busca la fila Action complete con la regla deseada y desplázate hacia la derecha para encontrar la columna Evidence Locker Filepath.
Esta es la ruta de acceso en la que se almacena el archivo. Haz clic en Más para ver acciones adicionales.

Investiga archivos sospechosos y toma medidas al respecto Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.