Toma medidas en función de los resultados de la búsqueda

Herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Standard y Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Comparar tu edición

Después de realizar una búsqueda en la herramienta de investigación de seguridad, tienes la opción de realizar varias acciones en función de tu búsqueda. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, marcarlos como spam o phishing, enviarlos a cuarentena o a las bandejas de entrada de los usuarios.

Para obtener detalles e instrucciones sobre las numerosas acciones que puedes realizar en la herramienta de investigación, consulta las siguientes secciones.

Nota:

  • Las fuentes de datos disponibles variarán según tu edición de Google Workspace.
  • Antes de tomar medidas en función de los resultados de la búsqueda, es posible que los administradores de tu organización tengan la opción de ingresar texto de justificación para registrar los motivos de sus acciones. Si eres administrador avanzado, puedes habilitar esta opción ajustando la configuración de la herramienta de investigación. Para obtener instrucciones, consulta Configura los parámetros de configuración para tus investigaciones.
  • Si acotas el período de tu búsqueda, los resultados aparecerán antes en la herramienta de investigación. Por ejemplo, si acotas la búsqueda a los eventos que ocurrieron la semana pasada, la consulta se mostrará más rápido que si buscas sin restringir la consulta a un período más corto.
  • Si se produce un tiempo de espera cuando realizas una acción masiva, reduce el período de la búsqueda y, luego, vuelve a intentarlo.

Tipos de acciones en la herramienta de investigación

Acciones para dispositivos

Cuando realizas una búsqueda basada en Dispositivos o Eventos de registro de dispositivos, puedes seleccionar dispositivos en los resultados de la búsqueda y, luego, realizar las siguientes acciones:

  • Aprobar el dispositivo : Aprueba el dispositivo. Si seleccionaste Habilitar la activación del dispositivo, los dispositivos que se registren después de que se habilite el parámetro de configuración de activación del dispositivo deberán aprobarse antes de que puedan comenzar a sincronizarse con tu dominio. Si habilitas la activación del dispositivo, se obliga al usuario del dispositivo a instalar la app de Device Policy para sincronizarlo con Google Workspace.
  • Bloquear el dispositivo : Bloquea el acceso a los datos de Google Workspace (Gmail, Calendario y Contactos) en el dispositivo. El usuario aún puede acceder a su Gmail, Calendario y Contactos desde una computadora de escritorio o un navegador para dispositivos móviles.
  • Limpiar el dispositivo de la cuenta de administrador : Limpia de forma remota solo los datos de Google Workspace del dispositivo. Para obtener más detalles, consulta Quita datos corporativos de un dispositivo móvil.
  • Limpiar el dispositivo de forma remota : Limpia de forma remota todos los datos del dispositivo. Para obtener más detalles, consulta Quita datos corporativos de un dispositivo móvil.
  • Cancelar la limpieza remota del dispositivo : Cancela la limpieza remota del dispositivo.

Acciones para eventos de registro de Drive

Cuando realizas una búsqueda basada en eventos de registro de Drive, puedes seleccionar archivos en los resultados de la búsqueda, auditar los permisos de esos archivos y mucho más.

Haz lo siguiente:

  1. Después de ejecutar una búsqueda en la herramienta de investigación de seguridad basada en eventos de registro de Drive, marca las casillas de los archivos pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones > Auditar los permisos del archivo para abrir la página Permisos.
    La pestaña Archivos, que se muestra de forma predeterminada, muestra los archivos que se incluyeron en los resultados de la búsqueda. Desde aquí, puedes administrar el acceso a esos archivos. Los archivos de la unidad compartida no están disponibles en esta vista.
  3. Haz clic en Personas para ver los usuarios y grupos con acceso a los archivos.
    Las personas de esta lista tienen acceso a uno o más de los elementos de los resultados de la búsqueda. Usa esta vista para administrar el acceso de las personas (usuarios y grupos).
  4. Haz clic en Vínculos para ver o modificar la configuración de uso compartido de los archivos seleccionados.
  5. Haz clic en Agregar usuarios si quieres proporcionar acceso a los archivos a más usuarios. Puedes agregar varios usuarios con una lista separada por comas y seleccionar el nivel de acceso para los usuarios que agregues.

    Nota: Para las acciones en la pestaña Unidad compartida, solo puedes editar el acceso a los archivos dentro de la unidad compartida. Los archivos fuera de una unidad compartida no aparecerán en esta pestaña.
  6. Haz clic en Cambios pendientes para revisar tus cambios antes de guardarlos.

Acciones para unidades compartidas

Si tienes el privilegio Herramienta de investigación de seguridad y luego Actualizar o borrar Drive, también puedes modificar las unidades compartidas y los archivos que contienen:

  • Puedes cambiar, quitar o agregar el nivel de acceso de un miembro de una unidad compartida.
  • Puedes cambiar, quitar o agregar el acceso que se otorgó directamente a los usuarios a uno o más archivos de una unidad compartida.

Nota: Si bien Google Drive permite compartir carpetas y cambiar su propiedad, la herramienta de investigación no permite estas acciones para los administradores.

Acciones para los mensajes y los eventos de registro de Gmail

Cuando realizas una búsqueda basada en mensajes o eventos de registro de Gmail, puedes seleccionar mensajes en los resultados de la búsqueda y, luego, realizar las siguientes acciones (las acciones disponibles solo se aplican a los mensajes de Gmail y no incluyen los mensajes de Grupos de Google):

  • Ver encabezado
  • Ver los mensajes
  • Borrar mensajes
  • Restablecer mensajes
  • Marcar mensaje como spam
  • Marcar mensaje como caso de phishing
  • Enviar mensaje a Recibidos (también quita una clasificación de spam o phishing)
  • Enviar mensaje a cuarentena (los mensajes se envían a la cuarentena predeterminada)

    Importante: Los mensajes que se envían a cuarentena se borran automáticamente cuando se activa tu política de retención de Vault. Por lo tanto, si estos mensajes son anteriores a tu política de retención de Vault, se borrarán en lugar de enviarse a cuarentena. La retención predeterminada se establece en 30 días después de que se envió o recibió el correo electrónico originalmente. También puedes usar Vault para establecer reglas de retención personalizadas.

Por ejemplo, para enviar un mensaje a la bandeja de entrada de un usuario, haz lo siguiente:

  1. Después de ejecutar la búsqueda en la herramienta de investigación, marca las casillas de los mensajes pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones.
  3. Elige Enviar mensaje a Recibidos.
  4. Para confirmar, haz clic en Enviar a Recibidos.
  5. Para ver el resultado de la acción, haz clic en Ver en la parte inferior de la página.
    En la columna Resultado, puedes ver el estado de la acción; por ejemplo, El mensaje se envió correctamente a Recibidos.

Nota: También puedes ver el contenido de los mensajes de Gmail. Para obtener más detalles, consulta Cómo ver el contenido de los mensajes de Gmail.

Acciones para usuarios

Cuando realizas una búsqueda basada en usuarios, puedes seleccionar usuarios en los resultados de la búsqueda y, luego, realizar las siguientes acciones:

  • Restablecer usuario
  • Suspender usuario

Por ejemplo, para suspender usuarios específicos en los resultados de la búsqueda, haz lo siguiente:

  1. Después de ejecutar la búsqueda en la herramienta de investigación, marca las casillas de los usuarios pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones.
  3. Elige Suspender usuario.
  4. Para confirmar, haz clic en Suspender usuarios.

Puedes seguir pasos similares para restablecer usuarios.

Acciones para eventos de registro de usuarios

Cuando realizas una búsqueda basada en eventos de registro de usuarios, puedes seleccionar usuarios en los resultados de la búsqueda y, luego, realizar las siguientes acciones:

  • Forzar el cambio de contraseña
  • Restablecer usuario
  • Suspender usuario

Por ejemplo, para suspender usuarios específicos en los resultados de la búsqueda, haz lo siguiente:

  1. Después de ejecutar la búsqueda en la herramienta de investigación, marca las casillas de los usuarios pertinentes en los resultados de la búsqueda.
  2. Haz clic en Acciones.
  3. Elige Suspender usuario.
  4. Para confirmar, haz clic en Suspender usuarios.

Puedes seguir pasos similares para restablecer usuarios.

Acciones para eventos de registro de Meet

Cuando realizas una búsqueda basada en eventos de registro de Meet, puedes usar la acción Finalizar reunión para todos los participantes para quitar a todos los usuarios de las reuniones seleccionadas de tu organización. Por ejemplo, es posible que quieras evitar que los usuarios tengan reuniones sin supervisión cuando el organizador de la reunión no esté presente o después de que se complete un evento.

Para obtener más detalles, consulta Usa la herramienta de investigación para finalizar las reuniones.

Acciones masivas con resultados de la búsqueda

Además de seleccionar elementos individuales en los resultados de la búsqueda y realizar acciones en ellos, puedes realizar acciones masivas en una página completa o en todos los resultados de todas las páginas.

Nota: Si se produce un tiempo de espera cuando realizas una acción masiva, reduce el período de la búsqueda y, luego, vuelve a intentarlo.

Para realizar acciones masivas en los resultados de la búsqueda de la página actual que estás viendo, haz lo siguiente:

  1. Haz clic en la casilla de verificación que se encuentra en la parte superior de la columna del extremo izquierdo. Se marcarán todas las casillas de la página actual.
  2. Haz clic en Acciones en la barra de encabezado.

Para realizar acciones masivas en todos los resultados de la búsqueda de todas las páginas, haz lo siguiente:

  1. Haz clic en la casilla de verificación que se encuentra en la parte superior de la columna del extremo izquierdo.
  2. Haz clic en Seleccionar todos los resultados. Se marcarán todas las casillas de todas las páginas de los resultados de la búsqueda.

  3. Haz clic en Acciones en la barra de encabezado.

    Nota: Si haces clic en la página siguiente en los resultados de la búsqueda durante este proceso, se desmarcarán todas las casillas de todas las páginas de los resultados de la búsqueda y deberás volver a empezar.

Verifica el estado de tus acciones masivas

Puedes verificar el estado de tus tareas grandes en la Consola del administrador de Google para ver si aún están en curso o se completaron.

Por ejemplo, si una de tus acciones masivas en la herramienta de investigación tarda mucho en completarse, puedes salir de la Consola del administrador y volver más tarde para verificar el estado de tu acción.

En la parte superior de la Consola del administrador, haz clic en Tareas para ver el estado de tus tareas grandes.

Para obtener más detalles, consulta también Verifica el estado de las tareas grandes.

Elementos dinámicos basados en columnas en los resultados de la búsqueda

Puedes usar elementos dinámicos basados en columnas en los resultados de la búsqueda de la herramienta de investigación para ver datos sobre un elemento relacionado con otra fuente de datos. Por ejemplo, puedes ejecutar una búsqueda basada en eventos de registro de Gmail y, luego, hacer clic en cualquier destinatario de la columna Destinatario para crear una consulta de eventos de Drive por propietario. Esto te permite analizar datos sobre un usuario específico de dos fuentes de datos diferentes: eventos de registro de Gmail y eventos de registro de Drive.

Para pasar de los resultados de la búsqueda de un evento de registro de Gmail a un evento de registro de Drive, haz lo siguiente:

  1. Después de ejecutar una búsqueda en la herramienta de investigación de seguridad, coloca el cursor sobre el usuario pertinente en la columna Destinatario.
  2. Haz clic en el ícono de menú (tres puntos verticales) de ese usuario.
  3. Elige Eventos de registro de Drive y luego Propietario. Los criterios de búsqueda se ingresan automáticamente para una búsqueda de Eventos de registro de Drive.
  4. Incluye condiciones adicionales en tu búsqueda, por ejemplo, Título o Visibilidad.
  5. Haz clic en Buscar.

Puedes realizar otras acciones de elementos dinámicos para muchos elementos en los resultados de la búsqueda. Por ejemplo, puedes usar elementos dinámicos en una columna completa o en el asunto de un mensaje, el ID del mensaje, el remitente y mucho más.

Cancelar acciones

Puedes cancelar acciones en la herramienta de investigación antes de que se completen. Por ejemplo, si iniciaste una acción para suspender a varios usuarios, puedes hacer clic en Cancelar en la parte inferior de la página Investigación.

Si cancelas una acción masiva, obtendrás resultados parciales si la acción ya está en curso.

Nota: Para las acciones de exportación, solo el administrador que inició la exportación puede cancelarla. Para todas las demás acciones, los administradores que tengan los privilegios específicos para tomar medidas sobre los datos pertinentes para la acción, como Drive, Gmail o dispositivos móviles, pueden cancelar la acción.

Reintentar acciones

Cuando realizas una acción masiva, es posible que, en ocasiones, encuentres errores de búsqueda, por ejemplo, si algunos usuarios no se incluyen en los resultados de la búsqueda. Si esto sucede, puedes reintentar las acciones:

  1. Después de completar una acción en la herramienta de investigación, haz clic en VER DETALLES.
  2. En el panel Detalles de la acción, haz clic en REINTENTAR.
  3. Haz clic en la acción en la ventana de reintento, por ejemplo, haz clic en MARCAR COMO SPAM.

Exporta los resultados de las acciones a un archivo de Hojas de cálculo en tu carpeta Mi unidad

Para guardar los resultados de las acciones en tu carpeta Mi unidad, haz lo siguiente:

  1. Haz clic en el botón Exportar en la parte superior de la tabla de los resultados de las acciones.
  2. Escribe un nombre para la exportación.
  3. Haz clic en Exportar.

Consulta los resultados de las acciones exportadas

Ten en cuenta lo siguiente cuando veas los resultados de las acciones exportadas:

  • Después de hacer clic en el botón Exportar en la parte superior de la tabla, se crea una Hoja de cálculo de Google en tu carpeta Mi unidad que incluye los resultados de las acciones. Según el tamaño de los resultados, el proceso de exportación puede tardar un tiempo y es posible que se creen varias Hojas de cálculo de Google. Los resultados totales de la exportación se limitan a 30 millones de filas.
  • Mientras la exportación está en curso, se crean Hojas de cálculo de Google con un nombre temporal, por ejemplo, TMP-1-<title>. Si se crean varias Hojas de cálculo de Google, los archivos adicionales se denominan TMP-2-<title>, TMP-3-<title>, etcétera. Cuando se completa el proceso de exportación, los archivos cambian de nombre automáticamente a: <title> [1 de N], <title> [2 de N], etcétera. Si solo una Hoja de cálculo de Google contiene los datos exportados, el archivo cambia de nombre a <title>.
  • Los permisos de uso compartido de los archivos con los resultados de las acciones exportadas se establecen según la configuración de tu dominio. Por ejemplo, si, de forma predeterminada, los archivos creados se comparten con todos los miembros de la empresa, los datos exportados también tendrán esta visibilidad.