Toma medidas en función de los resultados de la búsqueda

Herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Después de realizar una búsqueda en la herramienta de investigación de seguridad, tienes la opción de realizar varias acciones según tu búsqueda. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, marcarlos como spam o phishing, enviarlos a cuarentena o enviarlos a las carpetas Recibidos de los usuarios.

Para obtener detalles e instrucciones sobre las numerosas acciones que puedes realizar en la herramienta de investigación, consulta las siguientes secciones.

Nota:

  • Las fuentes de datos disponibles variarán según tu edición de Google Workspace.
  • Antes de tomar medidas en relación con los resultados de la búsqueda, es posible que los administradores de tu organización tengan la opción de ingresar texto de justificación para registrar los motivos de sus acciones. Si eres superadministrador, puedes habilitar esta opción ajustando la configuración de la herramienta de investigación. Para obtener instrucciones, consulta Cómo configurar los parámetros de configuración para tus investigaciones.
  • Si acotas el período de tu búsqueda, los resultados aparecerán antes en la herramienta de investigación. Por ejemplo, si acotas la búsqueda a los eventos que ocurrieron en la última semana, la consulta se devolverá más rápido que si buscas sin restringirla a un período más corto.
  • Si se agota el tiempo de espera cuando realizas una acción masiva, reduce el período de la búsqueda y vuelve a intentarlo.

Tipos de acciones en la herramienta de investigación

Acciones para dispositivos

Cuando realizas una búsqueda basada en Dispositivos o Eventos de registro de dispositivos, puedes seleccionar dispositivos en los resultados de la búsqueda y, luego, realizar las siguientes acciones:

  • Aprobar dispositivo: Aprueba el dispositivo. Si seleccionaste Habilitar la activación del dispositivo, los dispositivos que se registren después de que se habilite el parámetro de configuración de activación del dispositivo deberán aprobarse antes de que puedan comenzar a sincronizarse con tu dominio. Habilitar la activación del dispositivo obliga al usuario del dispositivo a instalar la app de Device Policy para sincronizarlo con Google Workspace.
  • Bloquear dispositivo: Bloquea el acceso a los datos de Google Workspace (Gmail, Calendario y contactos) en el dispositivo. El usuario aún puede acceder a su cuenta de Gmail, Calendario y contactos desde una computadora de escritorio o un navegador para dispositivos móviles.
  • Borrar la cuenta de administrador del dispositivo: Borra de forma remota solo los datos de Google Workspace del dispositivo. Para obtener más detalles, consulta Cómo quitar datos corporativos de un dispositivo móvil.
  • Limpiar dispositivo de forma remota: Borra de forma remota todos los datos del dispositivo. Para obtener más detalles, consulta Cómo quitar datos corporativos de un dispositivo móvil.
  • Cancel remote wipe device: Cancela la limpieza remota del dispositivo.

Acciones para eventos de registro de Drive

Cuando realizas una búsqueda basada en eventos de registro de Drive, puedes seleccionar archivos en los resultados de la búsqueda, auditar los permisos de esos archivos y mucho más.

Haz lo siguiente:

  1. Después de ejecutar una búsqueda en la herramienta de investigación de seguridad basada en eventos de registro de Drive, marca las casillas de los archivos pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones > Auditar permisos de archivos para abrir la página Permisos.
    La pestaña Archivos, que se muestra de forma predeterminada, muestra los archivos que se incluyeron en los resultados de la búsqueda. Desde aquí, puedes administrar el acceso a esos archivos. Por el momento, los archivos de las unidades compartidas no están disponibles en esta vista.
  3. Haz clic en Personas para ver los usuarios y grupos que tienen acceso a los archivos.
    Las personas de esta lista tienen acceso a uno o más de los elementos de tus resultados de la búsqueda. Usa esta vista para administrar el acceso de las personas (usuarios y grupos).
  4. Haz clic en Vínculos para ver o modificar la configuración de uso compartido de los archivos seleccionados.
  5. Haz clic en Agregar usuarios si quieres brindar acceso a los archivos a más usuarios. Puedes agregar varios usuarios con una lista separada por comas y seleccionar el nivel de acceso para los usuarios que agregues.

    Nota: En el caso de las acciones de la pestaña Unidad compartida, solo puedes editar el acceso a los archivos dentro de la unidad compartida. Los archivos que no estén en una unidad compartida no aparecerán en esta pestaña.
  6. Haz clic en Cambios pendientes para revisar tus cambios antes de guardarlos.

Acciones para unidades compartidas

Si tienes el privilegio Herramienta de investigación de seguridad y luego Actualizar o borrar unidades de Drive, también puedes modificar las unidades compartidas y los archivos que contienen:

  • Puedes cambiar, quitar o agregar el nivel de acceso de un miembro de una unidad compartida.
  • Puedes cambiar, quitar o agregar el acceso que se les otorgó directamente a los usuarios a un archivo o archivos en una unidad compartida.

Nota: Si bien Google Drive permite compartir carpetas y cambiar la propiedad de las carpetas, la herramienta de investigación no permite que los administradores realicen estas acciones.

Acciones para los mensajes y los eventos de registro de Gmail

Cuando realizas una búsqueda basada en mensajes o eventos de registro de Gmail, puedes seleccionar mensajes en los resultados de la búsqueda y, luego, realizar las siguientes acciones (las acciones disponibles solo se aplican a los mensajes de Gmail y no incluyen los mensajes de Grupos de Google):

  • Ver encabezado
  • Ver los mensajes
  • Borrar mensajes
  • Cómo restablecer mensajes
  • Cómo marcar un mensaje como spam
  • Marcar mensaje como phishing
  • Enviar el mensaje a Recibidos (también quita la clasificación de spam o phishing)
  • Enviar mensaje a cuarentena (los mensajes se envían a la cuarentena predeterminada)

    Importante: Los mensajes que se envían a cuarentena se borran automáticamente cuando se activa tu política de retención de Vault. Por lo tanto, si estos mensajes son anteriores a tu política de retención de Vault, se borrarán en lugar de enviarse a cuarentena. La retención predeterminada se establece en 30 días después de que se envió o recibió el correo electrónico originalmente. También puedes usar Vault para establecer reglas de retención personalizadas.

Por ejemplo, para enviar un mensaje a la carpeta Recibidos de un usuario, haz lo siguiente:

  1. Después de ejecutar la búsqueda en la herramienta de investigación, marca las casillas de los mensajes pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones.
  3. Elige Enviar el mensaje a Recibidos.
  4. Para confirmar, haz clic en Enviar a la bandeja de entrada.
  5. Para ver el resultado de la acción, haz clic en Ver en la parte inferior de la página.
    En la columna Resultado, puedes ver el estado de la acción, por ejemplo, El mensaje se envió correctamente a la bandeja de entrada.

Nota: También puedes ver el contenido de los mensajes de Gmail. Para obtener más información, consulta Cómo ver el contenido de los mensajes de Gmail.

Acciones para los usuarios

Cuando realizas una búsqueda basada en usuarios, puedes seleccionar usuarios en los resultados de la búsqueda y, luego, realizar las siguientes acciones:

  • Restablecer usuario
  • Suspender usuario

Por ejemplo, para suspender usuarios específicos en los resultados de la búsqueda, haz lo siguiente:

  1. Después de ejecutar la búsqueda en la herramienta de investigación, marca las casillas de los usuarios pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones.
  3. Elige Suspender al usuario.
  4. Para confirmar, haz clic en Suspender usuarios.

Puedes seguir pasos similares para restablecer usuarios.

Acciones para eventos de registro del usuario

Cuando realizas una búsqueda basada en eventos de registro del usuario, puedes seleccionar usuarios en los resultados de la búsqueda y, luego, realizar las siguientes acciones:

  • Forzar el cambio de contraseña
  • Restablecer usuario
  • Suspender usuario

Por ejemplo, para suspender usuarios específicos en los resultados de la búsqueda, haz lo siguiente:

  1. Después de ejecutar la búsqueda en la herramienta de investigación, marca las casillas de los usuarios pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones.
  3. Elige Suspender al usuario.
  4. Para confirmar, haz clic en Suspender usuarios.

Puedes seguir pasos similares para restablecer usuarios.

Acciones para eventos de registro de Meet

Cuando realices una búsqueda basada en eventos de registro de Meet, puedes usar la acción Finalizar reunión para todos los participantes para quitar a todos los usuarios de las reuniones seleccionadas de tu organización. Por ejemplo, es posible que quieras evitar que los usuarios tengan reuniones sin supervisión cuando el organizador de la reunión no esté presente o después de que finalice un evento.

Para obtener más detalles, consulta Usa la herramienta de investigación para finalizar las reuniones.

Acciones masivas con resultados de la búsqueda

Además de seleccionar elementos individuales en los resultados de la búsqueda y realizar acciones en ellos, puedes realizar acciones masivas en toda una página o en todos los resultados de todas las páginas.

Nota: Si se agota el tiempo de espera cuando realizas una acción masiva, reduce el período de la búsqueda y, luego, vuelve a intentarlo.

Para realizar acciones masivas en los resultados de la búsqueda de la página actual que estás viendo, sigue estos pasos:

  1. Haz clic en la casilla de verificación que se encuentra en la parte superior de la columna del extremo izquierdo. Esta acción marca todas las casillas de la página actual.
  2. Haz clic en Acciones en la barra de encabezado.

Para realizar acciones masivas en todos los resultados de la búsqueda de todas las páginas, haz lo siguiente:

  1. Haz clic en la casilla de verificación que se encuentra en la parte superior de la columna del extremo izquierdo.
  2. Haz clic en Seleccionar todos los resultados. Esta acción marca todas las casillas de todas las páginas de los resultados de la búsqueda.

  3. Haz clic en Acciones en la barra de encabezado.

    Nota: Si haces clic en la página siguiente de los resultados de la búsqueda durante este proceso, se desmarcarán todas las casillas de todas las páginas de los resultados de la búsqueda, y deberás comenzar de nuevo.

Cómo verificar el estado de tus acciones masivas

Puedes verificar el estado de tus tareas grandes en la Consola del administrador de Google para ver si aún están en curso o se completaron.

Por ejemplo, si una de tus acciones masivas en la herramienta de investigación tarda mucho en completarse, puedes salir de la Consola del administrador y volver más tarde para verificar el estado de la acción.

En la parte superior de la Consola del administrador, haz clic en Tareas para ver el estado de tus tareas grandes.

Para obtener más detalles, consulta también Cómo verificar el estado de tareas grandes.

Cambio de orientación basado en columnas en los resultados de la búsqueda

Puedes usar elementos dinámicos basados en columnas en los resultados de la búsqueda de la herramienta de investigación para ver datos sobre un elemento relacionado con otra fuente de datos. Por ejemplo, puedes ejecutar una búsqueda basada en eventos de registro de Gmail y, luego, hacer clic en cualquier destinatario de la columna Destinatario para crear una búsqueda de eventos de Drive por propietario. Esto te permite analizar los datos de un usuario específico desde dos fuentes de datos diferentes: los eventos de registro de Gmail y los eventos de registro de Drive.

Para cambiar de los resultados de la búsqueda de un evento de registro de Gmail a un evento de registro de Drive, haz lo siguiente:

  1. Después de realizar una búsqueda en la herramienta de investigación de seguridad, coloca el cursor sobre el usuario correspondiente en la columna Recipient.
  2. Haz clic en el ícono de menú (tres puntos verticales) de ese usuario.
  3. Elige Eventos de registro de Drive y luego Propietario. Los criterios de búsqueda se ingresan automáticamente para una búsqueda de eventos de registro de Drive.
  4. Incluye condiciones adicionales en tu búsqueda, por ejemplo, Título o Visibilidad.
  5. Haz clic en Buscar.

Puedes realizar otras acciones de pivote para muchos elementos en los resultados de la búsqueda. Por ejemplo, puedes crear una tabla dinámica en función de una columna completa o del asunto de un mensaje, el ID del mensaje, el remitente y mucho más.

Cómo cancelar acciones

Puedes cancelar acciones en la herramienta de investigación antes de que se completen. Por ejemplo, si iniciaste una acción para suspender a varios usuarios, puedes hacer clic en Cancelar en la parte inferior de la página Investigación.

Si cancelas una acción masiva, obtendrás resultados parciales si la acción ya está en curso.

Nota: En el caso de las acciones de exportación, solo el administrador que inició la exportación puede cancelarla. En el caso de todas las demás acciones, los administradores que tienen los privilegios específicos para tomar medidas sobre los datos pertinentes para la acción (como Drive, Gmail o dispositivos móviles) pueden cancelar la acción.

Acciones de reintento

Cuando realices una acción masiva, es posible que, en ocasiones, encuentres errores de búsqueda, por ejemplo, si algunos usuarios no se incluyen en los resultados de la búsqueda. Si esto ocurre, puedes volver a intentar las acciones:

  1. Después de completar una acción en la herramienta de investigación, haz clic en VER DETALLES.
  2. En el panel Action details, haz clic en RETRY.
  3. Haz clic en la acción en la ventana de reintento; por ejemplo, haz clic en MARCAR COMO SPAM.

Exporta los resultados de la acción a un archivo de Hojas de cálculo en tu carpeta de Mi unidad

Para guardar los resultados de la acción en tu carpeta de Mi unidad, sigue estos pasos:

  1. Haz clic en el botón Exportar en la parte superior de la tabla de resultados de la acción.
  2. Escribe un nombre para la exportación.
  3. Haz clic en Exportar.

Cómo ver los resultados de las acciones exportadas

Ten en cuenta lo siguiente cuando veas los resultados de las acciones exportadas:

  • Después de hacer clic en el botón Exportar en la parte superior de la tabla, se creará una hoja de cálculo de Google en tu carpeta Mi unidad que incluirá los resultados de la acción. Según el tamaño de los resultados, el proceso de exportación podría tardar un tiempo y es posible que se creen varias Hojas de cálculo de Google. Los resultados totales de la exportación se limitan a 30 millones de filas.
  • Mientras la exportación está en curso, se crean Hojas de cálculo de Google con un nombre temporal, por ejemplo, TMP-1-<título>. Si se crean varias Hojas de cálculo de Google, los archivos adicionales se denominan TMP-2-<título>, TMP-3-<título>, etcétera. Cuando finaliza el proceso de exportación, los archivos se renombran automáticamente como <título> [1 de N], <título> [2 de N], y así sucesivamente. Si solo una hoja de cálculo de Google contiene los datos exportados, el archivo se cambia de nombre a <título>.
  • Los permisos de uso compartido de los archivos con los resultados de la acción exportada se basan en la configuración de tu dominio. Por ejemplo, si, de forma predeterminada, los archivos creados se comparten con todos los miembros de la empresa, los datos exportados también tendrán esta visibilidad.