Eventos de registro de reglas

Consultar las ocasiones en que los usuarios han intentado compartir datos sensibles

En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información

Como administrador de tu organización, puedes hacer búsquedas y gestionar los eventos de registro de reglas. Por ejemplo, puedes ver un registro de las acciones para revisar las veces que tus usuarios han intentado compartir datos sensibles. También puedes consultar los eventos activados por eventos de infracción de reglas de Prevención de la pérdida de datos (DLP). Por lo general, las entradas aparecen menos de una hora después de que el usuario haya llevado a cabo la acción.

En los eventos de registro de reglas también se muestran los tipos de datos de Chrome Enterprise Premium threat and data protection.

Reenviar datos de eventos de registro a Google Cloud

Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Buscar eventos de registro

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Auditoría y herramienta de investigación

Para buscar eventos de registro, primero debes elegir una fuente de datos. A continuación, elige uno o varios filtros para la búsqueda.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Informesy luegoAuditoría e investigacióny luegoEventos de registro de reglas.
  3. Haz clic en Añadir un filtro y selecciona un atributo.
  4. En la ventana emergente, selecciona un operadory luegoselecciona un valory luegohaz clic en Aplicar.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
  5. Haz clic en Buscar.

  6. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.

Herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición. 

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.
  4. Haz clic en Añadir condición.
    Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
  5. Haz clic en Atributoy luegoselecciona una opción.
    Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
  6. Selecciona un operador.
  7. Introduce un valor o selecciona uno en la lista desplegable.
  8. (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
  9. Haz clic en Buscar.
    Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
  10. (Opcional) Para guardar la investigación, haz clic en Guardary luegointroduce un título y una descripcióny luegohaz clic en Guardar.

Nota:

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
  • Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado [email protected] a [email protected], no aparecerán resultados de eventos relacionados con [email protected].

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo Descripción
Nivel de acceso Los niveles de acceso seleccionados como las condiciones de acceso contextual de esta regla. Los niveles de acceso solo se aplican a los datos de Chrome. Para obtener más información, consulta el artículo Crear niveles de acceso contextual.
Actor La dirección de correo electrónico del usuario que ha realizado la acción. Si los eventos son el resultado de un nuevo análisis, el valor puede ser Usuario anónimo.
Nombre del grupo actor

El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google.

Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:

  1. Selecciona Nombre del grupo del actor.
  2. Haz clic en Grupos de filtrado.
    Se mostrará la página Grupos de filtrado.
  3. Haz clic en Añadir grupos.
  4. Para buscar un grupo, escribe los primeros caracteres de su nombre o de su dirección de correo electrónico. Cuando veas el grupo que buscas, selecciónalo.
  5. (Opcional) Para añadir otro grupo, búscalo y selecciónalo.
  6. Cuando hayas seleccionado todos los grupos que te interesen, haz clic en Añadir.
  7. (Opcional) Para quitar un grupo, haz clic en Quitar grupo .
  8. Haz clic en Guardar.
Unidad organizativa del actor Unidad organizativa del actor.
Destinatarios bloqueados Los destinatarios que se han bloqueado por la regla activada
Acción condicional Lista de acciones que podrían activarse cuando los usuarios accedan, en función de las condiciones de contexto configuradas para la regla.
ID de conferencia ID de conferencia de la reunión en la que se ha actuado como parte de este activador de regla
ID de contenedor ID del contenedor principal al que pertenece el recurso
Tipo de contenedor El tipo de contenedor principal al que pertenece el recurso; por ejemplo, Espacio de Chat o Chat de grupo, en el caso de los mensajes de Chat o los archivos adjuntos de Chat
Fuente de datos La aplicación de origen del recurso
Fecha Fecha y hora en que se ha producido el evento
ID de detector Identificador de un detector coincidente
Nombre del detector Nombre de un detector coincidente que han definido los administradores
ID de dispositivo El ID del dispositivo en el que se ha activado la acción. Este tipo de datos se aplica a Chrome Enterprise Premium threat and data protection.
Tipo de dispositivo El tipo de dispositivo al que hace referencia el ID de dispositivo. Este tipo de datos se aplica a Chrome Enterprise Premium threat and data protection.
Evento La acción del evento registrada. 
  • En el caso de las reglas de DLP, se registran los siguientes eventos: 
    Evento Explicación
    Acción completada, contenido coincidente* El contenido de un documento de Drive está marcado por una regla de DLP.
    Acción completada, contenido sin coincidencias* El documento de Drive no está marcado, ya que el contenido que originalmente activó una regla de DLP ya no está presente.
    Acceso bloqueado Una regla de DLP ha bloqueado la descarga o la copia de un archivo de Drive.
     
  • Cuando cambia una etiqueta de Drive, el valor es Etiqueta aplicada, Valor de campo cambiado o Etiqueta eliminada.
  • Cuando las reglas de confianza bloquean el uso compartido de archivos de Drive, el valor es Uso compartido bloqueado.
  • Cuando las reglas de confianza bloquean el acceso a los archivos de Drive (ver, descargar o copiar), el valor es Acceso bloqueado.

* La parte "Acción completada" de estos nombres de eventos dejará de estar disponible.
Incluye contenido sensible En el caso de las reglas de DLP activadas con contenido sensible detectado y registrado, el valor es True.
Destinatario* Quienes han recibido el recurso compartido
Número de destinatarios omitidos* Número de destinatarios de recursos omitidos porque se ha superado el límite
ID de recurso El objeto modificado. Para las reglas de DLP:
  • En el caso de las entradas relacionadas con Google Drive, haz clic en el ID de recurso para ver el documento de Drive que se ha modificado.
  • En el caso de las entradas relacionadas con Google Chat, haz clic en el ID de recurso para ver los detalles de una conversación de Chat. Ten en cuenta que algunos datos de Chat pueden caducar, por lo que no siempre estarán disponibles todos los detalles.
Propietario del recurso El usuario al que pertenece el recurso analizado y al que se le ha aplicado una acción
Título del recurso El título del recurso que se ha modificado. En el caso de DLP, se tratará de un título de documento.
Tipo de recurso En el caso de DLP, el recurso es Documento. En el caso de DLP de Chat, el recurso es Mensaje de Chat o Archivo adjunto de Chat.
ID de regla El ID de la regla que se ha activado
Nombre de la regla El nombre que asignó el administrador a la regla en el momento de crearla.
Tipo de regla En las reglas de DLP, el valor es DLP
Tipo de análisis

Los valores son los siguientes:

  • Análisis continuo de Drive (cuando cambia una regla)
  • Análisis online (cuando cambia un documento)
  • Análisis del contenido de chat antes del envío (cuando se envía un mensaje de Chat)
Gravedad La gravedad que se le asignó a la regla en el momento de activarse
Acción suprimida* Las acciones que se han configurado en la regla, pero que se han suprimido. Se suprime una acción cuando se produce otra de mayor prioridad a la vez y se activa.
Activador Actividad que ha provocado que se active una regla
Acción activada Enumera las acciones realizadas. Este campo aparece en blanco al activarse una regla de solo auditoría.
IP del cliente activador Dirección IP del actor que ha activado la acción
Correo electrónico del usuario activador* Dirección de correo del actor que ha activado la acción
Acción de usuario La acción que el usuario estaba intentando realizar y que ha sido bloqueada por una regla
* No puedes crear reglas de informes con estos filtros. Más información sobre las diferencias entre las reglas de informes y las reglas de actividad

Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado [email protected] a [email protected], no aparecerán resultados de eventos relacionados con [email protected].

Gestionar datos de eventos de registro

Gestionar datos de columnas de resultados de búsqueda

Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.

  1. En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
  2. (Opcional) Para quitar columnas, haz clic en Quitar .
  3. (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo  y selecciona la columna de datos.
    Repite el proceso tantas veces como sea necesario.
  4. (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
  5. Haz clic en Guardar.

Exportar datos de resultados de búsqueda

Puedes exportar los resultados de búsqueda a Hojas de cálculo de Google o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
  2. Introduce un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo de Google.

Los límites de exportación varían:

  • Los resultados totales de la exportación están limitados a 100.000 de filas, excepto las búsquedas de mensajes de Gmail, que están limitadas a 10.000 de filas.
  • Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Si utilizas la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas (excepto en el caso de las búsquedas de mensajes de Gmail, que tienen un límite de 10.000 filas).

Para obtener más información, consulta el artículo Exportar resultados de búsqueda.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Tomar medidas en función de los resultados de búsqueda

Crear reglas de actividad y configurar alertas
  • Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
  • Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.

Tomar medidas en función de los resultados de búsqueda

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.

Gestionar tus investigaciones

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Ver la lista de investigaciones

Para ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente. 

En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.

Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.

Configurar los ajustes de las investigaciones

Como superadministrador, haz clic en Configuración para hacer lo siguiente:

  • Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
  • Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
  • Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
  • Activar o desactivar la opción Habilitar justificación de acciones.

Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.

Compartir, eliminar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.

Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.

Usar eventos de registro de reglas para investigar mensajes de Chat

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Como administrador, puedes crear una regla de protección de datos para que Chat monitorice y evite las filtraciones de contenido sensible. Con la herramienta de investigación de seguridad, puedes monitorizar la actividad de Chat en tu organización, incluidos los mensajes y archivos que se envíen fuera de tu dominio. Consulta más información en el artículo Investigar mensajes de Chat para proteger los datos de tu organización.

Usar eventos de registro de reglas para investigar infracciones de reglas de DLP

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Como administrador, puedes utilizar fragmentos de Prevención de la pérdida de datos (DLP) para investigar si una infracción de una regla de DLP es un incidente real o un falso positivo. Para obtener más información, consulta el artículo Ver contenido que activa reglas de DLP.

Temas relacionados con el Centro de seguridad

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
10432129922878115907
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false