Como administrador de Google Workspace, puedes usar alertas por correo electrónico para recibir notificaciones si los usuarios salen de sus cuentas debido a cookies de sesión sospechosas. El robo de cookies, o usurpación de sesión, consiste en robar el ID de sesión de un usuario con las cookies que se generan cuando accede a su cuenta. Cuando se detecta una cookie de sesión sospechosa, se cierra la sesión y se desconecta al usuario de su cuenta para esa sesión y cualquier otra sesión sospechosa relacionada en ese dispositivo.
Cuando el usuario intenta volver a acceder en el mismo dispositivo, ve un mensaje que le solicita que quite el software malicioso o no seguro. El usuario también debe proporcionar un paso de verificación adicional cuando vuelva a acceder a la cuenta en el dispositivo.
Con la herramienta de investigación de seguridad (SIT) o la herramienta de auditoría e investigación, puedes identificar intentos de usurpación de cuentas de usuario a través de cookies de sesión en tu organización.
Paso 1: Inicia la investigación
Opción 1: Investiga las cookies de sesión sospechosas en la SIT
Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición-
En la Consola del administrador de Google, ve a Menú
Seguridad Centro de seguridad Herramienta de investigación.Es necesario tener el privilegio de administrador del Centro de seguridad.
- En el menú Fuente de datos, selecciona Eventos de registro del usuario.
- En el menú Agregar condición, selecciona Evento y asegúrate de que la condición esté establecida en Es (la opción predeterminada).
- En el menú Evento, selecciona El usuario salió de su cuenta debido a una cookie de sesión sospechosa.
- Haz clic en Buscar.
Los resultados de la búsqueda se muestran en la parte inferior de la página.
Opción 2: Investiga las cookies de sesión sospechosas en la página de investigación y auditoría
-
En la Consola del administrador de Google, ve a Menú
Informes Investigación y auditoría Eventos de registro del usuario.Es necesario tener el privilegio de administrador de Auditoría e investigación.
- Haz clic en Agregar un filtro y, luego, selecciona Evento.
- En la ventana emergente, asegúrate de que el operador del menú superior esté configurado como Es (la opción predeterminada), selecciona El usuario salió de su cuenta debido a una cookie de sesión sospechosa en el menú inferior y haz clic en Aplicar.
- Haz clic en Buscar.
Los registros se muestran en la parte inferior de la página.
Paso 2: Toma medidas
En la columna Descripción, haz clic en Cookie de sesión sospechosa para abrir el panel Detalles del registro. Cada registro muestra un usuario afectado. Trabaja con los usuarios afectados y completa los pasos para quitar software malicioso o no seguro.
Protege las cuentas hackeadas
Si sospechas que una cuenta puede estar en riesgo o haber sido hackeada, como administrador, puedes asegurarte de que las cuentas de tus usuarios estén protegidas. Trabaja con los usuarios afectados para identificar y proteger las cuentas vulneradas.