Eventos de registro de Gmail

Ediciones compatibles con esta función: Enterprise Plus y Education Plus. Comparar ediciones

Como administrador de tu organización, puedes usar la herramienta de investigación de seguridad para hacer búsquedas relacionadas con los eventos de registro de Gmail y tomar medidas según los resultados de búsqueda. En la herramienta de investigación, puedes consultar un registro de las acciones para ver la actividad de los usuarios y de los administradores de tu organización en Gmail. Por ejemplo, puedes ver cuándo se clasifican los correos como spam, cuándo se retiran de la cuarentena o cuándo se envían a la cuarentena de administrador. Si tienes los privilegios adecuados en la herramienta de investigación, también puedes ver el contenido de un mensaje de Gmail como parte de la investigación.

Además, puedes hacer una búsqueda por eventos de registro de Gmail y luego utilizar la herramienta para tomar algunas medidas, como eliminar mensajes específicos, marcar mensajes como spam o phishing, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios.

 

Buscar eventos de registro de Gmail

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición. 

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. Haz clic en Fuente de datos y selecciona Eventos de registro de Gmail.
  4. Haz clic en Añadir condición.
    Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
  5. Haz clic en Atributoy luegoselecciona una opción.
    Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
  6. Selecciona un operador.
  7. Introduce un valor o selecciona uno en la lista desplegable.
  8. (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
  9. Haz clic en Buscar.
    Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
  10. (Opcional) Para guardar la investigación, haz clic en Guardary luegointroduce un título y una descripcióny luegohaz clic en Guardar.

Nota:

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
  • Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

 
Atributo Descripción
Extensión del archivo adjunto ID del navegador Chrome.
Hash del archivo adjunto Hash SHA256 del archivo adjunto
Familia de software malicioso de archivos adjuntos Categoría de malware, si se detecta al gestionar el mensaje (por ejemplo, El contenido puede ser dañino, Programa de malware conocido o Virus/Gusano)
Nombre del archivo adjunto El nombre del archivo adjunto
Tipo de cliente Tipo de cliente de Gmail (por ejemplo, web, Android, iOS o POP3)
Fecha Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador)
Delegado Dirección de correo del usuario delegado que ha realizado la acción en nombre del propietario
Identificador de sesión del dispositivo El ID único generado en una sesión de usuario de cliente de correo
Dominio DKIM El dominio autenticado mediante el mecanismo DKIM (Domain Keys Identified Mail)
Dominio El dominio en el que se ha producido la acción
Evento La acción del evento registrado, como Descarga de archivo adjunto, Clic en enlace, Enviar o Ver.
De (sobre) Dirección envolvente del remitente
De (dirección de encabezado) Dirección del encabezado del remitente tal como aparece en los encabezados de los mensajes; por ejemplo, usuario@example.com
De (nombre de encabezado) Nombre visible del encabezado del remitente, tal como aparece en el encabezado del mensaje
Geolocalización Código de país ISO según la IP de relay
Tiene un archivo adjunto El correo incluye un archivo adjunto
Tiene delegado Indica si un usuario delegado ha realizado la acción en nombre del propietario o no
Dirección IP Dirección IP del cliente de correo que ha iniciado el mensaje o que ha interactuado con él
Enlazar dominio Dominios que se extraen de las URLs de enlaces presentes en el cuerpo del mensaje
ID de mensaje El ID único de mensaje que se encuentra en el encabezado del mensaje
ID de proyecto OAuth ID del proyecto de la consola de Cloud del desarrollador que se ha autenticado con OAuth
Propietario Propietario del mensaje de correo. En el caso de los mensajes entrantes, es el destinatario. En los mensajes salientes, es el remitente.
Dominio del remitente El dominio del remitente
Clasificación como spam Clasificación como spam del mensaje de correo; por ejemplo, Spam, Malware, Phishing, Sospechoso o Limpio (no es spam).
Motivo de la clasificación como spam El motivo por el que el mensaje se ha clasificado como spam; por ejemplo, Spam evidente, Regla personalizada, Reputación del remitente o Archivo adjunto sospechoso
Dominio SPF Nombre de dominio utilizado para la autenticación del marco de políticas del remitente (SPF)
Asunto El asunto del correo 
Hash de archivos adjuntos de destino Información sobre el hash de archivos adjuntos SHA256 cuando un usuario interactúa con el archivo adjunto de un mensaje
Familia de software malicioso de los archivos adjuntos de destino Información sobre la familia de malware de archivos adjuntos si los usuarios interactúan con el archivo adjunto de un mensaje. Por ejemplo, El contenido puede ser dañino, Programa malicioso conocido o Virus/Gusano.
Nombres de archivos adjuntos de destino Información sobre el nombre del archivo adjunto si los usuarios interactúan con el archivo adjunto de un mensaje
ID de la unidad de destino Información sobre el ID de Drive si los usuarios interactúan con el elemento de Drive de un mensaje
URL de enlace de destino Información sobre la URL del enlace si los usuarios interactúan con el enlace de un mensaje
Para (sobre) Dirección envolvente del destinatario
Fuente de tráfico Indica si un correo se envía o se recibe de forma interna (dentro de tu dominio) o externamente
Crear reglas de actividad y configurar alertas
  • Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
  • Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.

Tomar medidas en función de los resultados de búsqueda

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.

Temas relacionados con el Centro de seguridad

 

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
8833627063434334054
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false