Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Plus. Compara tu edición
Como administrador de Google Workspace, puedes proteger mejor tu dominio tomando medidas rápidamente en respuesta a muchas de las alertas del Centro de alertas. Puedes hacerlo desde la sección Acciones recomendadas en la página de detalles de la alerta.
Por ejemplo, si recibes una alerta de suplantación de identidad de posible empleado de Gmail, puedes ir a la sección Acciones recomendadas y, luego, hacer clic en Marcar como phishing para mover los mensajes a las carpetas de spam de tus usuarios, o bien puedes bloquear un dispositivo cuando recibas una alerta de Dispositivo comprometido.
Cómo usar las acciones recomendadas
-
En la Consola del administrador de Google, ve a Menú
SeguridadCentro de alertas.Debes acceder como administrador avanzado para realizar esta tarea.
- Haz clic en uno de los elementos de la página para abrir la página Detalles de la alerta.
- En la sección Acción recomendada, haz clic en la acción recomendada, por ejemplo, Borrar mensaje o Marcar como phishing.
Ingresa una explicación o un motivo para la acción y, luego, haz clic en la acción para confirmarla (por ejemplo, haz clic en Borrar mensaje o Marcar como phishing).
Para obtener la lista completa de las acciones recomendadas disponibles en el Centro de alertas y los privilegios necesarios, consulta la siguiente sección.
Si faltan detalles en las alertas de Gmail, los motivos más comunes son los siguientes:
- La alerta se generó debido a la clasificación de spam que realizó un usuario. Por ejemplo, es posible que falte Correo electrónico del actor en la alerta Suplantación de identidad denunciada por el usuario. Cuando faltan detalles de la alerta, es posible que fallen las acciones recomendadas para esa alerta y que se muestre un mensaje de error que diga Se produjo un error.
- Creaste una política de regiones de datos para almacenar tus datos cubiertos en una ubicación geográfica específica. En este caso, se quita la información de identificación personal (PII) de los eventos de registro de Gmail, que se usan para generar alertas de Gmail.
Alertas, acciones recomendadas y privilegios requeridos
Las siguientes acciones recomendadas están disponibles para algunas alertas en el Centro de alertas:
- Marcar como phishing: Marca como phishing el mensaje que activó la alerta.
- Borrar mensaje: Borra el mensaje que activó la alerta.
- Poner el mensaje en cuarentena: Envía a cuarentena el mensaje que activó la alerta.
- Restablecer mensaje: Restablece los correos electrónicos clasificados de forma incorrecta (marcados como spam o puestos en cuarentena) a su carpeta de origen.
- Apelar la suspensión: Apela la suspensión de una cuenta especificada en la alerta de Advertencia de suspensión de cuenta.
- Suspender usuario: Suspende a los usuarios especificados en la alerta.
- Restablecer usuario: Restablece los usuarios especificados en la alerta.
- Bloquear dispositivo: Bloquea el dispositivo que activó la alerta. Esto bloquea el acceso a los datos de Google Workspace en el dispositivo hasta que confirmes que es seguro. El usuario aún puede acceder a su cuenta de Gmail, Calendario y contactos desde una computadora de escritorio o un navegador para dispositivos móviles.
Limpiar cuenta: La cuenta del usuario y los datos de Google Workspace se borran del dispositivo.
Nota: Si configuraste el acceso sin conexión a las Cuentas de Google para los dispositivos de tu organización, esas cuentas no se podrán limpiar de los dispositivos sin conexión. Para obtener más detalles sobre cómo borrar cuentas de dispositivos, consulta Quita datos corporativos de un dispositivo.
Para usar las acciones recomendadas en el Centro de alertas, necesitas privilegios para la herramienta de investigación. Los administradores avanzados tienen estos privilegios de forma predeterminada, o bien puedes agregarlos a un rol de administrador personalizado. Para obtener instrucciones sobre cómo configurar privilegios, consulta Privilegios de administrador para la herramienta de investigación.
En la siguiente tabla, se incluye una lista de las alertas que incluyen acciones recomendadas y los privilegios necesarios para cada alerta.
| Nombre de la alerta | Acciones recomendadas | Privilegios obligatorios |
|---|---|---|
| Posible falsificación de la identidad de un empleado en Gmail | Marcar como phishing |
Herramienta de investigación > Gmail > Actualizar o borrar Herramienta de investigación > Gmail > Visualizar metadatos y atributos |
| Se detectó un mensaje de software malicioso luego de la entrega |
|
Herramienta de investigación > Gmail > Actualizar o borrar Herramienta de investigación > Gmail > Visualizar metadatos y atributos |
| Se detectó un mensaje de phishing luego de la entrega |
|
Herramienta de investigación > Gmail > Actualizar o borrar Herramienta de investigación > Gmail > Visualizar metadatos y atributos |
| Phishing denunciado por el usuario |
|
Herramienta de investigación > Gmail > Actualizar o borrar Herramienta de investigación > Gmail > Visualizar metadatos y atributos |
| Phishing en las carpetas Recibidos debido a lista blanca incorrecta | Borrar mensaje |
Herramienta de investigación > Gmail > Actualizar o borrar Herramienta de investigación > Gmail > Visualizar metadatos y atributos |
| Aumento repentino de spam denunciado por los usuarios | Borrar mensaje |
Herramienta de investigación > Gmail > Actualizar o borrar Herramienta de investigación > Gmail > Visualizar metadatos y atributos |
| Se denunció un mensaje sospechoso |
|
Herramienta de investigación > Gmail > Actualizar o borrar Herramienta de investigación > Gmail > Visualizar metadatos y atributos |
| Advertencia de suspensión de cuenta | Apelar suspensión | Disponible para todos los administradores que acceden al Centro de alertas |
| Contraseña filtrada | Suspender usuario |
Herramienta de investigación > Usuario > Actualizar o borrar Herramientas de investigación > Usuario > Visualizar metadatos y atributos |
| Acceso sospechoso | Suspender usuario |
Herramienta de investigación > Usuario > Actualizar o borrar Herramientas de investigación > Usuario > Visualizar metadatos y atributos |
| Acceso programático sospechoso | Suspender usuario |
Herramienta de investigación > Usuario > Actualizar o borrar Herramientas de investigación > Usuario > Visualizar metadatos y atributos |
| Usuario suspendido | Restablecer usuario |
Herramienta de investigación > Usuario > Actualizar o borrar Herramientas de investigación > Usuario > Visualizar metadatos y atributos |
| Se suspendió al usuario debido a actividad sospechosa | Restablecer usuario |
Herramienta de investigación > Usuario > Actualizar o borrar Herramientas de investigación > Usuario > Visualizar metadatos y atributos |
| Usuario suspendido por generar spam | Restablecer usuario |
Herramienta de investigación > Usuario > Actualizar o borrar Herramientas de investigación > Usuario > Visualizar metadatos y atributos |
| Suspensión del usuario por generación de spam a través de retransmisión | Restablecer usuario |
Herramienta de investigación > Dispositivo > Actualizar o borrar Herramienta de investigación > Dispositivo > Visualizar metadatos y atributos |
| Dispositivo vulnerado | Bloquear dispositivo |
Herramienta de investigación > Dispositivo > Actualizar o borrar Herramienta de investigación > Dispositivo > Visualizar metadatos y atributos |
| Actividad sospechosa del dispositivo |
|
Herramienta de investigación > Dispositivo > Actualizar o borrar Herramienta de investigación > Dispositivo > Visualizar metadatos y atributos |
Durante cuánto tiempo están disponibles las acciones recomendadas
Las acciones recomendadas están disponibles durante un tiempo limitado después de que se registra un evento. En la siguiente tabla, se muestra la duración durante la que están disponibles las acciones recomendadas específicas. Por ejemplo, no podrás usar la acción Borrar mensaje si el evento que activó la alerta ocurrió hace más de 30 días.
| Acción | Activo durante |
|---|---|
| Marcar como phishing | 30 días |
| Borrar mensaje | 30 días |
| Restablecer mensaje | 30 días |
| Advertencia de suspensión de cuenta | 3 días |
| Suspender usuario | 6 meses |
| Apelar suspensión | 6 meses |
| Restablecer usuario | 6 meses |
| Bloquear dispositivo | 6 meses |