Consideraciones sobre el registro de auditoría para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas en el registro de auditoría de Microsoft 365. Está diseñado para ayudar a las organizaciones gubernamentales a aumentar su madurez de seguridad y cumplimiento, a la vez que se adhiere a los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
El registro de auditoría de Microsoft 365 es un servicio de registro unificado que captura eventos de varios servicios y aplicaciones en la plataforma de Microsoft 365. Proporciona una única ubicación para ver los datos de auditoría de los servicios de Microsoft 365, como Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI, etc.
El registro de auditoría se puede usar para realizar un seguimiento de la actividad de usuario y administrador en su organización, incluidas las actividades relacionadas con el etiquetado de confidencialidad. Para obtener información sobre los eventos de Microsoft Purview y prevención de pérdida de datos (DLP) que se capturan en el registro de auditoría, consulte Actividades del registro de auditoría de Microsoft Purview a través de Administración de Microsoft 365.
El registro de auditoría es importante para las implementaciones de Microsoft Purview como:
- El registro de auditoría conserva las decisiones sobre quién aplicó etiquetas a los elementos.
- El registro de auditoría conserva información sobre los cambios de etiqueta, incluidas las justificaciones de cambio de etiqueta.
- El registro de auditoría proporciona información sobre los elementos entrantes y salientes.
- El registro de auditoría proporciona visibilidad de los eventos durante períodos de tiempo más largos que otras ubicaciones de informes donde las actividades de Microsoft 365 son visibles (por ejemplo, los eventos son visibles en el explorador de actividades durante 30 días).
Requisitos de retención de registros de auditoría
La necesidad de retención extendida se cubre según el siguiente requisito de ISM:
| Requisito | Detalles |
|---|---|
| ISM-0859 (junio de 2024) | Los registros de eventos, excepto los de los servicios del sistema de nombres de dominio y los servidores proxy web, se conservan durante al menos siete años. |
La duración predeterminada durante la que se conservan los datos de registro de auditoría está asociada al nivel de licencia de Microsoft 365. Las organizaciones con licencias E3 tienen retención de registros de auditoría durante 90 días. Las organizaciones con licencias E5 tienen retención para Entra, Exchange Online, OneDrive y SharePoint tienen un año.
Las directivas de retención de registros de auditoría amplían la retención de información de auditoría para un conjunto de actividades. Las directivas de auditoría se pueden configurar para conservar la información de auditoría durante un máximo de 10 años.
La retención a largo plazo de la información de auditoría requiere licencias de auditoría (Premium). Para obtener más información sobre la retención de registros de auditoría, consulte soluciones de auditoría en Microsoft Purview.
Integración de SIEM
Los sistemas de administración de eventos e información de seguridad (SIEMs) están diseñados para ayudar a la organización a detectar, analizar y responder a amenazas de seguridad antes de dañar las operaciones empresariales. Los SIEMs ingieren información de registro y proporcionan análisis de eventos. Los SIEMs se usan para aumentar la velocidad de detección de amenazas, admitir incidentes de seguridad, administración de eventos y cumplimiento.
Microsoft Sentinel es un SIEM escalable y nativo de la nube que ofrece una solución inteligente y completa para siem y orquestación, automatización y respuesta de seguridad (SOAR). Esto significa que los eventos de Microsoft Purview ingeridos en Sentinel (o un SIEM equivalente), se analizan fácilmente y pueden generar informes avanzados.
Para obtener más información sobre cómo se puede configurar Sentinel para ingerir datos de registro de auditoría de Microsoft 365, consulte Uso de Office 365 datos de auditoría con Microsoft Sentinel.