Explorar la Auditoría de Microsoft Purview (Premium)
La funcionalidad de Auditoría en Microsoft Purview proporciona a las organizaciones visibilidad de muchos tipos de actividades auditadas a través de muchos servicios diferentes de Microsoft 365. Microsoft Purview proporciona dos soluciones de auditoría: Auditoría (Estándar) y Auditoría (Premium).
En un módulo anterior, aprendió que la Auditoría de Microsoft Purview (Standard) proporciona a las organizaciones la capacidad de registrar y buscar actividades auditadas. También permite a una organización potenciar sus investigaciones forenses, informáticas, de cumplimiento y legales.
En este módulo, podrás aprender que la Auditoría de Microsoft Purview (Premium) se basa en las capacidades de la Auditoría de Microsoft Purview (Estándar). Ofrece funciones avanzadas diseñadas específicamente para organizaciones que llevan a cabo investigaciones forenses y de cumplimiento de la normativa. Estas características proporcionan:
- Mayor retención de registros de auditoría necesarios para llevar a cabo una investigación.
- Acceso a eventos cruciales que ayudan a determinar el alcance del compromiso.
- Acceso de mayor ancho de banda y, por tanto, acceso más rápido a la API de actividad de administración de Office 365.
Esta unidad proporciona una visión general de las capacidades de Auditoría (Premium).
Suscripción de organizaciones y licencias de usuario
Auditoría (Premium) está disponible para organizaciones con una suscripción a Office 365 E5/A5/G5 o Microsoft 365 Enterprise E5/A5/G5. Para las organizaciones con una suscripción E5/A5/G5, los clientes y usuarios que reúnan los requisitos y tengan asignada la licencia E5/A5/G5 correspondiente tendrán acceso a los eventos de Auditoría (Premium). Los eventos de Auditoría (Premium) solo se generarán para los usuarios con licencias E5/A5/G5 una vez que se hayan asignado esas licencias.
Para beneficiarse de las funciones de Auditoría a nivel de usuario (Premium), un usuario debe tener asignada una licencia E5/A5/G5. Hay algunas funciones que buscan la licencia adecuada para mostrar la característica para el usuario. Por ejemplo, si está intentando retener los registros de auditoría para un usuario al que no se le ha asignado una licencia apropiada durante más de 90 días, el sistema devolverá un mensaje de error.
Retención a largo plazo de los registros de auditoría
Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría que se almacena en el registro de auditoría de la organización. En Auditoría de Microsoft Purview ( Estándar), los registros de auditoría se conservan durante 90 días. En comparación, Audit (Premium) conserva todos los registros de auditoría de Exchange, SharePoint y Microsoft Entra durante un año.
Auditoría (Premium) proporciona este tiempo de retención adicional mediante la implementación de una directiva de retención de registros de auditoría por defecto. Retener registros de auditoría durante períodos más prolongados puede ser de ayuda para investigaciones en curso de cumplimiento y forenses. Para más información, vea la sección "Directiva predeterminada de retención de registros de auditoría" en Administrar las directivas de retención de registros de auditoría.
Nota:
Además de las capacidades de retención de un año de Auditoría (Premium), Microsoft 365 puede retener opcionalmente registros de auditoría durante 10 años. La retención de los registros de auditoría durante 10 años ofrece soporte a investigaciones de larga duración y ayuda a responder frente a obligaciones reglamentarias, jurídicas e internas. La conservación de los registros de auditoría durante 10 años requiere una licencia adicional por usuario.. Después de asignar esta licencia a un usuario y de establecer una directiva de retención de registros de auditoría de 10 años para ese usuario, los registros de auditoría cubiertos por esa directiva comenzarán a conservarse durante un período de 10 años. Esta directiva no es retroactiva. Por lo tanto, no puede retener registros de auditoría que fueron generados antes de que se creara la directiva de retención de registros de auditoría de 10 años.
Directivas de retención de los registros de auditoría
Todos los registros de auditoría generados en otros servicios que no están cubiertos por la directiva de retención de registros de auditoría predeterminada se conservan durante 90 días. Pero puedes crear directivas de retención de registros de auditoría personalizadas para conservar otros registros de auditoría durante un máximo de 10 años. Puede crear una directiva para conservar registros de auditoría en función de uno o varios de los siguientes criterios:
- Las actividades auditadas se realizan en el servicio de Microsoft 365.
- Especificar las actividades auditadas.
- Ser el usuario que realiza la actividad auditada.
También puedes especificar durante cuánto tiempo se conservarán los registros de auditoría que coincidan con la directiva y un nivel de prioridad. Este diseño permite que determinadas directivas tengan prioridad sobre otras.
Cualquier directiva de retención de registros de auditoría personalizada tiene prioridad sobre la directiva de retención de auditoría predeterminada en caso de que deba conservar Exchange, SharePoint o Microsoft Entra registros de auditoría durante menos de un año (o hasta 10 años) para algunos o todos los usuarios de su organización.
Precaución
Los datos de registro de auditoría cubiertos por una directiva de retención de registros de auditoría de 10 años que creó después de que la característica se publicara para que su disponibilidad general en el último trimestre de 2020 se conservarán durante 10 años. Este diseño incluye directivas de retención de registros de auditoría de 10 años que se crearon antes de que la licencia complementaria necesaria se pusiera a la venta en marzo de 2021. Sin embargo, como ahora está disponible la licencia complementaria de retención de registros de auditoría de 10 años, debe adquirir y asignar esas licencias complementarias a todos los usuarios cuyos datos de auditoría estén cubiertos por una directiva de retención de auditorías de 10 años.
Eventos de Auditoría (Premium)
Audit (Premium) ayuda a las organizaciones a llevar a cabo investigaciones forenses y de cumplimiento proporcionando acceso a eventos importantes, como:
- cuando se ha accedido a los envíos de correo.
- cuándo los elementos de correo fueron respondidos y reenviados.
- cuándo y qué ha buscado un usuario en Exchange Online y SharePoint Online.
Estos eventos pueden ayudarle a investigar posibles vulneraciones y determinar el alcance de la intromisión. Junto con estos eventos en Exchange y SharePoint, hay eventos en otros servicios de Microsoft 365 que también se consideran eventos importantes. Estos eventos también requieren que a los usuarios se les asigne la licencia de Auditoría (Premium) apropiada.
Importante
A los usuarios se les debe asignar una licencia de Auditoría (Premium) para que se generen registros de auditoría cuando los usuarios realicen estos eventos.
Auditoría (Premium) proporciona los siguientes nuevos eventos, cada uno de los cuales se presenta en las siguientes secciones:
- Evento MailItemsAccessed
- Evento Send
- Evento SearchQueryInitiatedExchange
- Evento SearchQueryInitiatedSharePoint
- Otros eventos de Auditoría (Premium) en Microsoft 365
Nota:
Estos nuevos eventos de Auditoría (Premium) están disponibles en la API de actividad de administración de Office 365. Siempre que se generen registros de auditoría para usuarios con la licencia adecuada, podrás acceder a estos registros a través de la API de actividad de administración de Office 365.
Evento MailItemsAccessed
El evento MailItemsAccessed es una acción de auditoría del buzón. Se activa cuando los protocolos de correo y los clientes de correo acceden a los datos de correo. Este evento puede ayudar a los investigadores a identificar las vulneraciones de datos y determinar el ámbito de los mensajes que puedan haber estado en peligro. Si un atacante ha obtenido acceso a mensajes de correo electrónico, se activará la acción MailItemsAccessed aunque no haya ninguna señal explícita de que se han leído mensajes. En otras palabras, el tipo de acceso, como un Vinculo o una sincronización, se registra en el registro de auditoría.
El evento MailItemsAccessed sustituye a MessageBind en el registro de auditoría de buzones en Exchange Online. Proporciona las siguientes mejoras:
- MessageBind solo era configurable para el tipo de inicio de sesión de usuario AuditAdmin. No se aplicaba a las acciones de delegados o propietarios.
- Mejora. MailItemsAccessed se aplica a todos los tipos de inicio de sesión.
- MessageBind sólo cubre el acceso de un cliente de correo. No se aplicó a las actividades de sincronización.
- Mejora. Los eventos MailItemsAccessed se desencadena con los tipos de acceso enlazar y sincronizar.
- Las acciones MessageBind desencadenaban la creación de varios registros de auditoría cuando se accedía al mismo mensaje de correo electrónico. Este diseño produjo la auditoría del "ruido".
- Mejora. Los eventos MailItemsAccessed se agregan en menos registros de auditoría.
Para buscar registros de auditoría MailItemsAccessed, las organizaciones pueden buscar la actividad Elementos del buzón accedidos en la lista desplegable de actividades del buzón de Exchange en la herramienta de búsqueda de registros de auditoría del portal de cumplimiento de Microsoft Purview.
También puede ejecutar los comandos Search-UnifiedAuditLog -Operations MailItemsAccessed o Search-MailboxAuditLog -Operations MailItemsAccessed en Exchange Online PowerShell.
Evento Send
El evento Enviar es otra acción de auditoría del buzón. Se activa cuando un usuario completa una de las siguientes acciones:
- Envía un mensaje de correo electrónico.
- Responde a un mensaje de correo electrónico
- Reenvía un mensaje de correo electrónico
Los investigadores pueden usar el evento Send para identificar correos enviados desde una cuenta en peligro. El registro de auditoría de un evento de envío contiene información sobre el mensaje, como por ejemplo:
- cuando se envió el mensaje.
- el Id. de InternetMessage.
- La línea de asunto.
- Indica si el mensaje tiene datos adjuntos.
Esta información de auditoría puede ayudar a que los investigadores identifiquen información acerca de los mensajes de correo electrónico enviados a través de una cuenta en peligro o por un atacante. Además, los investigadores pueden utilizar una herramienta de eDiscovery de Microsoft 365 para buscar el mensaje (utilizando la línea de asunto o el Id. del mensaje). Al hacerlo, pueden identificar a los destinatarios a los que se envió el mensaje y el contenido real del mensaje enviado.
Para buscar registros de auditoría de envío, puede buscar la actividad Mensaje enviado en la lista desplegable Actividades del buzón de Exchange en la herramienta de búsqueda de registros de auditoría del portal de cumplimiento de Microsoft Purview.
También puede ejecutar los comandos Search-UnifiedAuditLog -Operations Send o Search-MailboxAuditLog -Operations Send en Exchange Online PowerShell.
Evento SearchQueryInitiatedExchange
El evento SearchQueryInitiatedExchange se activa cuando una persona usa Outlook para buscar elementos en un buzón. Los eventos se activan cuando se realizan búsquedas en los siguientes entornos de Outlook:
- Outlook (cliente de escritorio)
- Outlook en la Web (OWA)
- Outlook para iOS
- Outlook para Android
- Aplicación Correo para Windows 10
Los investigadores pueden utilizar el evento SearchQueryInitiatedExchange para determinar si un atacante (que puede haber comprometido una cuenta) buscó o intentó acceder a información confidencial en el buzón. El registro de auditoría para un evento SearchQueryInitiatedExchange contiene información como el texto real de la consulta de búsqueda. El registro de auditoría también indica el entorno de Outlook en el que se ha realizado la búsqueda. Al observar las consultas de búsqueda que un atacante pudiera haber realizado, un investigador puede comprender mejor el porqué se buscaron esos datos de correo.
Para buscar registros de auditoría SearchQueryInitiatedExchange, puede buscar la actividad Búsqueda de correo electrónico realizada en la lista desplegable Actividades de búsqueda de la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview.
También puede ejecutar Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange en Exchange Online PowerShell.
Debe habilitar el registro de SearchQueryInitiatedExchange para poder buscar este evento en el registro de auditoría.
Evento SearchQueryInitiatedSharePoint
El evento SearchQueryInitiatedSharePoint es similar a la búsqueda de elementos del buzón. Se activa cuando una persona busca elementos en SharePoint. Los eventos se desencadenan cuando se realizan búsquedas en la página raíz o predeterminada de los siguientes tipos de sitios de SharePoint:
- Sitios principales
- Sitios de comunicación
- Sitios concentradores
- Sitios asociados con Microsoft Teams
Los investigadores pueden usar el evento SearchQueryInitiatedSharePoint para determinar si un atacante ha intentado encontrar información confidencial en SharePoint (y, posiblemente, haber accedido a ella). El registro de auditoría de un evento SearchQueryInitiatedSharePoint contiene el texto real de la consulta de búsqueda. El registro de auditoría también indica el tipo de sitio de SharePoint en el que se ha buscado. Al examinar las consultas de búsqueda que puede haber ejecutado un atacante, un investigador puede comprender mejor la intención y el alcance de los datos de archivo que el atacante buscó.
Para buscar registros de auditoría SearchQueryInitiatedSharePoint, puedes buscar la actividad de Búsqueda de SharePoint realizada en la lista desplegable de Buscar actividades de la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview.
También puede ejecutar Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint en Exchange Online PowerShell.
Nota:
Debe habilitar el registro de SearchQueryInitiatedSharePoint para poder buscar este evento en el registro de auditoría.
Otros eventos de Auditoría (Premium) en Microsoft 365
Además de los eventos en Exchange Online y SharePoint Online, hay eventos en otros servicios de Microsoft 365 que se registran cuando los usuarios tienen asignada la licencia de Auditoría (Premium) correspondiente. Los siguientes servicios de Microsoft 365 proporcionan eventos de Auditoría (Premium). Haga clic en el vínculo correspondiente para ir a un artículo que identifique y describa estos eventos.
Acceso de banda ancha a la API de Actividad de administración de Office 365
Las organizaciones que anteriormente accedían a los registros de auditoría a través de la API de actividad de administración de Office 365 estaban restringidas por la limitación de peticiones a nivel de editor. En consecuencia, en el caso de los editores que extraían datos en nombre de varios clientes, el límite era compartido por todos ellos.
Con el lanzamiento de Auditoría (Premium), Microsoft 365 ha pasado de un límite a nivel de editor a un límite a nivel de inquilino. El resultado es que cada organización obtendrá su propia cuota de ancho de banda completamente asignada para tener acceso a los datos de auditoría. El ancho de banda no es un límite estático y predefinido. En su lugar, se basa en una combinación de factores. Estos factores incluyen el número de puestos en la organización y el hecho de que las organizaciones E5/A5/G5 obtendrán más ancho de banda que las no E5/A5/G5.
Se asigna inicialmente una línea base de 2000 solicitudes por minuto a todas las organizaciones. Este límite se incrementará de forma dinámica dependiendo del número de puestos de la organización y su suscripción de licencias. Las organizaciones E5/A5/G5 obtendrán, aproximadamente, el doble de ancho de banda que las organizaciones que no son E5/A5/G5. También habrá un límite en el ancho de banda máximo para proteger el estado del servicio.
Lectura adicional. Para obtener más información, vea la sección "límite de la API" en la referencia de la API de Actividad de administración de Office 365.
Comprobación de conocimientos
Elija la mejor respuesta para cada una de las siguientes preguntas.