Antecedentes

Google Workspace amplía las capacidades de audit logs con nuevos filtros, campos adicionales y más contexto para investigación. Las mejoras alcanzan al security investigation tool, la integración con Google Security Operations (SecOps), el método Activities.List del AdminSDK y los eventos exportados a BigQuery, reforzando el análisis forense y la visibilidad sobre recursos y actividad.

{getToc} $title={Tabla de Contenido}

Antecedentes

Según el anuncio oficial Workspace audit logs: New functionality and expanded event fields, Google lanza un conjunto de mejoras para los registros de auditoría de Workspace orientadas a búsquedas más precisas y mayor riqueza de datos.

Las novedades principales incluyen:

• Log filtering enhancements para el campo Resources en el security investigation tool de Gmail y Google Drive.
• Updated Application and Network fields en la integración de Workspace audit logs con SecOps.
• Expanded filtering en el método Activities.List del AdminSDK.
• Nuevo campo OwnerDetails en eventos publicados a AdminSDK y BigQuery.

En el caso de Gmail y Drive, Google destaca la mejora de filtros sobre classification labels, útiles para analizar contenido sensible e investigar incidentes. También se añade soporte para el atributo Actor application info en eventos de Gmail.

Para Activities.List, se incorporan filtros por RegionCode mediante networkInfoFilter y por OAuthClientId mediante applicationInfoFilter. Además, OwnerDetails permite identificar al dueño de un recurso con Owner Type y Owner Identity, incluyendo casos como USER, CUSTOMER, GROUP o SHARED_DRIVE.

{getCard} $type={post} $title={LEA TAMBIÉN}

RECUERDE: Algunas mejoras dependen del uso de classification labels, pero estas solo están disponibles para ciertas ediciones. Revise la elegibilidad antes de planificar cambios en su proceso de investigación.{alertSuccess}

Los nuevos filtros y campos amplían el análisis en herramientas de seguridad, APIs y exports.

Impacto

La actualización fortalece la capacidad de investigación y monitoreo para administradores y equipos de seguridad, sobre todo cuando necesitan cruzar datos entre Gmail, Drive, APIs y plataformas externas.

• Búsquedas más precisas: más granularidad en el filtrado de recursos y etiquetas sensibles.
• Más contexto técnico: los campos de Application y Network enriquecen eventos enviados a SecOps.
• Mejor trazabilidad: OwnerDetails ayuda a identificar quién es dueño de un recurso auditado.
• Automatización más potente: los nuevos filtros de Activities.List mejoran integraciones y análisis por región o app.

Recomendaciones

Para aprovechar estas mejoras, conviene revisar los playbooks de investigación y adaptar tanto consultas manuales como automatizaciones existentes.

• Actualice consultas: incorpore RegionCode y OAuthClientId en scripts o dashboards donde tenga sentido.
• Revise exports: valide cómo aprovechar OwnerDetails en análisis en BigQuery o herramientas SIEM.
• Use classification labels: si su edición lo permite, úselas como pivote para investigar contenido sensible.
• Documente cambios: ajuste playbooks de respuesta a incidentes para reflejar los nuevos campos y filtros.

Disponibilidad y requisitos

Cómo empezar

• Administradores: a medida que se despliegue la función, puede empezar a analizar datos en Audit and Investigation tool, Admin SDK (Reports API), SecOps o BigQuery.
• Usuarios finales: no hay configuración para usuarios finales.

Ritmo de lanzamiento

• Rapid Release y Scheduled Release domains: despliegue gradual (hasta 15 días para visibilidad).

Disponibilidad

• Disponible para Google Workspace with Audit Log eligible licenses. Tenga en cuenta que Classification labels están disponibles solo para algunas ediciones.

{getCard} $type={custom} $title={Google al día} $info={¿Buscas más noticias del buscador y sus productos?} $icon={}