Descripción de la auditoría en Microsoft Purview

  • 4 minutos

Las soluciones de auditoría de Microsoft Purview ayudan a las organizaciones a responder eficazmente a eventos de seguridad, investigaciones forenses, investigaciones internas y obligaciones de cumplimiento. Miles de operaciones de usuario y administrador realizadas en docenas de servicios y soluciones de Microsoft 365 y también Security Copilot (si está habilitado) se capturan, registran y conservan en el registro de auditoría unificado de la organización. Los operadores de seguridad, administradores de TI, equipos de riesgo interno e investigadores legales y de cumplimiento de su organización pueden buscar en los registros de auditoría de estos eventos. Esta funcionalidad proporciona visibilidad de las actividades realizadas en toda la organización en Microsoft 365.

Microsoft Purview proporciona dos soluciones de auditoría:

  • Auditoría (Estándar)
  • Auditoría (Premium)

Auditoría (Estándar)

La Auditoría (Estándar) está activada de forma predeterminada para todas las organizaciones que tienen la suscripción adecuada y disponible para los usuarios con los permisos adecuados. Cuando un usuario o un administrador realiza una actividad auditada, se genera una anotación de auditoría, que se almacena en el registro de auditoría de la organización. En la Auditoría (Estándar), los registros se conservan durante 180 días. Puede recuperar los registros de auditoría que se producen en la mayoría de los servicios de Microsoft 365 de su organización mediante los siguientes métodos:

  • La herramienta de búsqueda de registros de auditoría en el portal de Microsoft Purview.
  • La API de actividad de administración de Office 365
  • El cmdlet Search-UnifiedAuditLog en PowerShell de Exchange Online

Después de buscar en el registro de auditoría, puede exportar los registros de auditoría devueltos por la búsqueda a un archivo CSV, lo que permite realizar análisis adicionales mediante Microsoft Excel o Excel Power Query.

Auditoría (Premium)

La herramienta Auditoría (Premium) amplía las funcionalidades de Auditoría (Estándar) y proporciona directivas para la retención de los registros de auditoría, mayor tiempo de retención de estos registros, información inteligente de alto valor y acceso con mayor ancho de banda a la API de Actividad de administración de Office 365.

  • Directivas de retención de registros de auditoría. Puede crear directivas de retención personalizadas para conservar los registros de auditoría durante periodos de tiempo más largos hasta un año (o hasta 10 años para los usuarios con la licencia del complemento correspondiente).
  • Retención prolongada de registros de auditoría. De forma predeterminada los registros de auditoría de Microsoft Entra, Exchange, OneDrive y SharePoint se conservan durante un año. Los registros de auditoría de las restantes actividades se conservan durante 180 días de forma predeterminada, o bien puede usar directivas de retención de registros de auditoría para configurar períodos de retención mayores.
  • Información inteligente de Auditoría (Premium). Los registros de auditoría de información inteligente pueden ayudar a su organización a realizar investigaciones forenses y de cumplimiento proporcionando visibilidad a eventos como cuando se accedió a los elementos de correo, o cuando se respondieron y reenviaron los elementos de correo, o cuándo y qué usuario ha buscado en Exchange Online y SharePoint Online. Esta información inteligente puede ayudarle a investigar posibles infracciones y determinar el alcance del riesgo.
  • Mayor ancho de banda para la API de Actividad de administración de Office 365 Auditoría (Premium) proporciona a las organizaciones más ancho de banda para acceder a los registros de auditoría a través de la API de actividad de administración de Office 365.

Licencias

Las licencias para Auditoría (Estándar) o Auditoría (Premium) requieren la suscripción de nivel de organización adecuada y las licencias por usuario correspondientes. Para más información sobre los requisitos de licencia, visite la sección Más información de la unidad Resumen y recursos.

Registro de auditoría en Microsoft Purview para Security Copilot

La característica de registro de auditoría de Security Copilot usa Microsoft Purview para procesar y almacenar acciones de administrador, acciones de usuario y respuestas de Copilot. Esto incluye datos de cualquier integración de Microsoft y que no sea de Microsoft.

Desde el portal de Microsoft Security Copilot (la experiencia independiente), los propietarios de Copilot pueden optar por permitir que Microsoft Purview acceda, procese, copie y almacene datos de clientes desde tus servicios de Security Copilot. Una vez habilitada esta característica en Copilot, si tu organización ya usa Microsoft Purview, no es necesario realizar más acciones. El registro de auditoría está activado de forma predeterminada para todas las organizaciones Microsoft 365. Sin embargo, al configurar una nueva organización de Microsoft 365, debes comprobar el estado de auditoría de tu organización. Si tu organización aún no usa Microsoft Purview, es necesario aprovisionar el registro de auditoría. Vea Activación o desactivación de la auditoría para más información.

Microsoft Purview almacena los datos de los clientes en la región donde se almacenan los datos de Microsoft 365. Vea Privacidad y seguridad de datos en Microsoft Security Copilot para más información.