Eventos de registro de Transparencia de acceso

Ediciones compatibles con esta función: Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus.  Comparar ediciones

Como administrador de tu organización, puedes usar la herramienta de investigación de seguridad para hacer búsquedas relacionadas con eventos de registro de Transparencia de acceso. Puedes ver un registro de las acciones para consultar información sobre las actividades que realiza el personal de Google cuando accede a tus datos.

Los datos de eventos de registro de Transparencia de acceso incluyen la siguiente información:

  • Recurso afectado y acción realizada
  • Hora a la que se ha llevado a cabo la acción
  • Motivo de la acción (por ejemplo, el número de caso asociado a una solicitud al servicio de asistencia)
  • El miembro del personal de Google que ha realizado la acción (por ejemplo, la ubicación de su oficina)

Para obtener más información, consulta el artículo Transparencia de acceso: consultar registros sobre el acceso de Google al contenido de usuarios.

Reenviar datos de registro a Google Cloud

Puedes aceptar compartir datos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Buscar eventos de registro de Transparencia de acceso

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición. 

Sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. En la lista desplegable Fuente de datos, selecciona Eventos de registro de Transparencia de acceso.
  4. Haz clic en Añadir condición.
    Puedes incluir una o varias condiciones en tu búsqueda. También puedes personalizar la búsqueda con consultas anidadas, es decir, búsquedas con dos o tres niveles de condiciones (para conocer los detalles, consulta el artículo Personalizar la búsqueda con consultas anidadas).
  5. En la lista desplegable Atributo, selecciona uno de los atributos (por ejemplo, Actor o Fecha). Para ver una lista completa de los atributos disponibles en los eventos de registro de Transparencia de acceso, consulta la sección siguiente.

    Nota: Cuanto más reduzcas el periodo de la búsqueda, antes aparecerán los resultados en la herramienta de investigación de seguridad. Por ejemplo, si reduces la búsqueda a eventos que ocurrieron en la última semana, la consulta devolverá resultados más rápidamente que si buscas en un periodo más amplio.
     
  6. Selecciona un operador; por ejemplo, Es, No es, Contiene o No contiene.
  7. Elige o introduce un valor para el atributo. En algunos atributos puedes elegir el valor en una lista desplegable. En el resto de los atributos, introduce un valor.
  8. (Opcional) Para incluir varias condiciones de búsqueda, repite los pasos anteriores.
  9. Haz clic en Buscar.
    Los resultados de búsqueda de la herramienta se muestran en una tabla en la parte inferior de la página.
  10. (Opcional) Para guardar tu búsqueda, haz clic en Guardar e introduce un título y una descripción. A continuación, haz clic en Guardar.

Nota: En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores Y/O. En la pestaña Filtrar también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo Descripción
Nombre del grupo actor

El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google.

Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:

  1. Selecciona Nombre del grupo del actor.
  2. Haz clic en Grupos de filtrado.
    Se mostrará la página Grupos de filtrado.
  3. Haz clic en Añadir grupos.
  4. Para buscar un grupo, escribe los primeros caracteres de su nombre o de su dirección de correo electrónico. Cuando veas el grupo que buscas, selecciónalo.
  5. (Opcional) Para añadir otro grupo, búscalo y selecciónalo.
  6. Cuando hayas seleccionado todos los grupos que te interesen, haz clic en Añadir.
  7. (Opcional) Para quitar un grupo, haz clic en Quitar grupo .
  8. Haz clic en Guardar.
Oficina principal del actor

Oficina principal del actor que accedió a los datos. Muestra el código del país o de la región (según la norma ISO 3166-1 alfa-2) donde el usuario que ha accedido a los datos trabaja de manera permanente.

Entre los valores posibles se incluyen los siguientes:

  • Identificador del continente de 3 caracteres si el miembro del personal de Google se encuentra en un país con poca población; por ejemplo, ASI , EUR , OCE , AFR , NAM , GCV o HORRA
  • "??" significa que la ubicación no está disponible
Unidad organizativa del actor Unidad organizativa del actor
Fecha Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador)
Evento La acción del evento registrado; por ejemplo, Se ha accedido al recurso
Producto de Google Workspace Nombre del recurso al que se ha accedido
Justificaciones Justificaciones del acceso. Por ejemplo, Servicio de asistencia iniciado por el cliente. Número de caso: 12345678.
ID de registro ID de registro único.
En nombre de Direcciones de correo de los usuarios cuya autoridad se haya utilizado para los controles de Gestión de Accesos
Correo electrónico del propietario ID de correo electrónico o identificador de equipo del cliente propietario del recurso.
Nombre del recurso Nombre del recurso al que se ha accedido
Incidencias Incidencias asociadas a la justificación, si las hubiera.

Tomar medidas en función de los resultados de búsqueda

Crear reglas de actividad y configurar alertas
  • Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
  • Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.

Tomar medidas en función de los resultados de búsqueda

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.

Interpretar los datos del registro de Transparencia de acceso

Descripción de los campos del registro

Nombre del campo en el registro Nombre del campo en el sistema Descripción
Fecha items:id:time Fecha y hora en que se ha anotado el registro.
Producto de Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME Producto del cliente al que se ha accedido (en mayúsculas). Valores posibles:
  • GMAIL
  • CALENDAR
  • DRIVE
  • SHEETS
  • SLIDES
Correo del propietario items:events:parameters:OWNER_EMAIL ID de correo electrónico o identificador de equipo del cliente propietario del recurso.
Oficina principal del empleado items:events:parameters:ACTOR_HOME_OFFICE

Código del país o del territorio (según la norma ISO 3166-1 alfa-2) donde el usuario que ha accedido a los datos trabaja de manera permanente:

  • Si la ubicación no está disponible, se muestra "??".
  • Si el miembro del personal de Google se encuentra en un país con poca población, se muestra el identificador de 3 caracteres del continente (ASI, EUR, OCE, AFR, NAM, SAM o ANT).
Justificaciones

items:events:parameters:JUSTIFICATIONS

Justificaciones del acceso. Por ejemplo, Servicio de asistencia iniciado por el cliente. Número de caso: 12345678.
Incidencias tickets Incidencias asociadas a la justificación, si las hubiera.
ID de registro items:events:parameters:LOG_ID ID de registro único.
Nombre de recurso items:events:parameters:RESOURCE_NAME Nombre del recurso al que se ha accedido. Los nombres de recurso se pueden usar en la herramienta de investigación de seguridad para identificar y clasificar problemas de seguridad y privacidad de tu dominio, así como para tomar medidas al respecto.
En nombre de items:events:parameters:ON_BEHALF_OF A quién se le da acceso. La persona a la que se le da acceso a un documento puede ser quien contactó con el servicio de asistencia, en lugar del propietario. En nombre de proporciona información adicional para comprender el contexto de un acceso.
Política de Gestión de Accesos items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 La política de Gestión de Accesos validada antes de acceder. Solo se aplica a los clientes que tienen Gestión de Accesos configurada.

Descripción de las justificaciones

Motivo Descripción
Servicio de asistencia iniciado por el cliente Es un evento de asistencia solicitado por el cliente, como un número de caso.
Revisión por uso inadecuado iniciada externamente

 

 Se activa una revisión por uso inadecuado externamente cuando se denuncia cierto contenido para que Google lo revise.
  • Los usuarios pueden denunciar contenido por no cumplir con los Términos del Servicio de Google.
  • Como superadministrador, puedes usar la herramienta de investigación de seguridad para ver detalles asociados a un documento, como el título, el propietario, el tipo de documento y los eventos de registro que han ocurrido en los 180 días anteriores:
  1. Abre la herramienta de investigación y haz una búsqueda con la fuente de datos Eventos de registro de Drive.
  2. En Condiciones, haz clic en ID de documento.
  3. Copia el ID del recurso que figura en el registro de Transparencia de acceso y pégalo en el campo ID de documento de la herramienta de investigación.
  4. Haz clic en Buscar

Para obtener más información e instrucciones, consulta el artículo sobre personalizar búsquedas en la herramienta de investigación.

Más información sobre cómo denunciar un abuso
Respuesta de Google a una alerta de producción Acceso de Google a los datos para mantener la fiabilidad del sistema al sospechar que se ha producido una interrupción. Por ejemplo, puede acceder con los siguientes propósitos:
  • Confirmar que los clientes no se han visto afectados por una posible interrupción del servicio.
  • Crear copias de seguridad o recuperar datos tras interrupciones y fallos del sistema.
Revisión iniciada por Google Acceso de Google a los datos por razones de seguridad o de cumplimiento de políticas, o para investigar casos de fraude o abuso. Por ejemplo, puede acceder con los siguientes propósitos:
  • Asegurarse de que las cuentas y los datos de los clientes estén protegidos.
  • Comprobar si los datos se han visto afectados por eventos que pueden poner en riesgo la seguridad de las cuentas, como infecciones de malware.
  • Confirmar que los clientes utilizan los servicios de acuerdo con los Términos del Servicio de Google.
  • Investigar las reclamaciones de otros usuarios y clientes u otros indicios de uso inadecuado.
  • Comprobar que los servicios de Google se utilizan de conformidad con las regulaciones oportunas, como las normativas contra el blanqueo de dinero.

Servicio iniciado por Google

Acceso iniciado por Google para realizar tareas de mantenimiento y prestar servicios de Google Cloud. Por ejemplo, puede acceder con los siguientes propósitos:

  • Hacer tareas de depuración técnicas para responder a una solicitud o investigación de asistencia compleja.
  • Solucionar problemas técnicos, como errores de almacenamiento aislado o datos dañados.
Solicitud de datos de terceros Google accede a los datos de los clientes para responder a una solicitud legal o un proceso legal. Con esta justificación también se registran aquellas ocasiones en las que respondemos a procesos legales del cliente que requieran que accedamos a datos de su propiedad.

En este caso, es posible que no aparezca ningún registro en Transparencia de acceso si Google no puede informarte legalmente de que se ha abierto una solicitud o proceso de este tipo.

Configurar alertas de Transparencia de acceso

Puedes configurar alertas para que se te notifique por correo cuando se registre un evento que coincida con determinados filtros, como Correo del propietario u Oficina principal del empleado. También puedes habilitar una alerta que te avise cuando se genere un registro de Transparencia de acceso de cualquier producto compatible con esta función de seguridad.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. En la lista desplegable Fuente de datos, selecciona Eventos de registro de Transparencia de acceso.
  4. Haz clic en + Añadir un filtro.
  5. Selecciona uno o varios filtros y haz clic en Aplicar.
  6. (Opcional) Para activar una alerta cuando se genere un registro de cualquier producto compatible, haz clic en Nombre del eventoy luegoAcceso. Al hacerlo, se crea un filtro llamado Nombre del evento: Acceso.
  7. Haz clic en Crear regla de notificación , da un nombre a la regla y, a continuación, escribe las direcciones de correo electrónico de los destinatarios de la alerta.
  8. Haz clic en Crear.

Integrar los datos del registro de Transparencia de acceso con herramientas de terceros

Con la API Reports, puedes integrar los registros de Transparencia de acceso con las herramientas de gestión de eventos y de información de seguridad (SIEM) que ya utilices. Para obtener más información, consulta el artículo sobre los eventos de actividad de Transparencia de acceso.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Consulta el artículo Plazos de conservación y periodos de retraso de los datos.

Temas relacionados con el Centro de seguridad

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
7091335510273696283
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false