Ediciones compatibles con esta función: Enterprise Plus y Education Plus. Comparar ediciones
Como administrador de tu organización, puedes usar la herramienta de investigación de seguridad para hacer búsquedas relacionadas con los eventos de registro de Gmail y tomar medidas según los resultados de búsqueda. En la herramienta de investigación, puedes consultar un registro de las acciones para ver la actividad de los usuarios y de los administradores de tu organización en Gmail. Por ejemplo, puedes ver cuándo se clasifican los correos como spam, cuándo se retiran de la cuarentena o cuándo se envían a la cuarentena de administrador. Si tienes los privilegios adecuados en la herramienta de investigación, también puedes ver el contenido de un mensaje de Gmail como parte de la investigación.
Además, puedes hacer una búsqueda por eventos de registro de Gmail y luego utilizar la herramienta para tomar algunas medidas, como eliminar mensajes específicos, marcar mensajes como spam o phishing, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios.
Buscar eventos de registro de Gmail
La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.
Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadCentro de SeguridadHerramienta de investigación.
- Haz clic en Fuente de datos y selecciona Eventos de registro de Gmail.
- Haz clic en Añadir condición.
Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas. - Haz clic en Atributoselecciona una opción.
Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo. - Selecciona un operador.
- Introduce un valor o selecciona uno en la lista desplegable.
- (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
- Haz clic en Buscar.
Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página. - (Opcional) Para guardar la investigación, haz clic en Guardarintroduce un título y una descripciónhaz clic en Guardar.
Nota:
- En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
- Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
Atributo | Descripción |
---|---|
Extensión del archivo adjunto | ID del navegador Chrome. |
Hash del archivo adjunto | Hash SHA256 del archivo adjunto |
Familia de software malicioso de archivos adjuntos | Categoría de malware, si se detecta al gestionar el mensaje (por ejemplo, El contenido puede ser dañino, Programa de malware conocido o Virus/Gusano) |
Nombre del archivo adjunto | El nombre del archivo adjunto |
Tipo de cliente | Tipo de cliente de Gmail (por ejemplo, web, Android, iOS o POP3) |
Fecha | Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador) |
Delegado | Dirección de correo del usuario delegado que ha realizado la acción en nombre del propietario |
Identificador de sesión del dispositivo | El ID único generado en una sesión de usuario de cliente de correo |
Dominio DKIM | El dominio autenticado mediante el mecanismo DKIM (Domain Keys Identified Mail) |
Dominio | El dominio en el que se ha producido la acción |
Evento | La acción del evento registrado, como Descarga de archivo adjunto, Clic en enlace, Enviar o Ver. |
De (sobre) | Dirección envolvente del remitente |
De (dirección de encabezado) | Dirección del encabezado del remitente tal como aparece en los encabezados de los mensajes; por ejemplo, usuario@example.com |
De (nombre de encabezado) | Nombre visible del encabezado del remitente, tal como aparece en el encabezado del mensaje |
Geolocalización | Código de país ISO según la IP de relay |
Tiene un archivo adjunto | El correo incluye un archivo adjunto |
Tiene delegado | Indica si un usuario delegado ha realizado la acción en nombre del propietario o no |
Dirección IP | Dirección IP del cliente de correo que ha iniciado el mensaje o que ha interactuado con él |
Enlazar dominio | Dominios que se extraen de las URLs de enlaces presentes en el cuerpo del mensaje |
ID de mensaje | El ID único de mensaje que se encuentra en el encabezado del mensaje |
ID de proyecto OAuth | ID del proyecto de la consola de Cloud del desarrollador que se ha autenticado con OAuth |
Propietario | Propietario del mensaje de correo. En el caso de los mensajes entrantes, es el destinatario. En los mensajes salientes, es el remitente. |
Dominio del remitente | El dominio del remitente |
Clasificación como spam | Clasificación como spam del mensaje de correo; por ejemplo, Spam, Malware, Phishing, Sospechoso o Limpio (no es spam). |
Motivo de la clasificación como spam | El motivo por el que el mensaje se ha clasificado como spam; por ejemplo, Spam evidente, Regla personalizada, Reputación del remitente o Archivo adjunto sospechoso. |
Dominio SPF | Nombre de dominio utilizado para la autenticación del marco de políticas del remitente (SPF) |
Asunto | El asunto del correo |
Hash de archivos adjuntos de destino | Información sobre el hash de archivos adjuntos SHA256 cuando un usuario interactúa con el archivo adjunto de un mensaje |
Familia de software malicioso de los archivos adjuntos de destino | Información sobre la familia de malware de archivos adjuntos si los usuarios interactúan con el archivo adjunto de un mensaje. Por ejemplo, El contenido puede ser dañino, Programa malicioso conocido o Virus/Gusano. |
Nombres de archivos adjuntos de destino | Información sobre el nombre del archivo adjunto si los usuarios interactúan con el archivo adjunto de un mensaje |
ID de la unidad de destino | Información sobre el ID de Drive si los usuarios interactúan con el elemento de Drive de un mensaje |
URL de enlace de destino | Información sobre la URL del enlace si los usuarios interactúan con el enlace de un mensaje |
Para (sobre) | Dirección envolvente del destinatario |
Fuente de tráfico | Indica si un correo se envía o se recibe de forma interna (dentro de tu dominio) o externamente |
- Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
- Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones
Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.
Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones
Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.
Temas relacionados con el Centro de seguridad
- Iniciar investigaciones basadas en un gráfico del panel de control
- Crear gráficos personalizados basados en investigaciones
- Iniciar investigaciones desde el Centro de alertas
- Investigar informes de correos electrónicos maliciosos
- Investigar el uso compartido de archivos
- Investigar a usuarios a través de varias fuentes de datos