Implementar auditoría de Microsoft Purview (Premium)

  • 3 minutos

Si una organización tiene una suscripción y una licencia de usuario final que admite Auditoría (Premium), debería realizar los pasos siguientes para configurar y usar las funcionalidades de Auditoría (Premium).

Diagrama que muestra el flujo de trabajo para configurar Auditoría Premium de Microsoft Purview.

Paso 1: Configurar Auditoría (Premium) para los usuarios.

Las características de Auditoría (Premium) requieren una licencia adecuada de E5 asignada a los usuarios. También se debe habilitar la aplicación o el plan de servicio de Auditoría avanzada para estos usuarios. Para comprobar que la aplicación de Auditoría avanzada está asignada a los usuarios, realice estos pasos para cada usuario:

  1. En el Centro de administración de Microsoft 365, seleccione Usuarios en el panel de navegación y, a continuación, Usuarios activos.
  2. En la página Usuarios activos, seleccione un usuario.
  3. En la página de control flotante de propiedades de usuario que aparece, seleccione la pestaña Licencias y aplicaciones .
  4. En la sección Licencias , compruebe que al usuario se le ha asignado una licencia E5 o una licencia de complemento adecuada. Para obtener una lista de licencias compatibles con Auditoría (Premium), consulte Requisitos de licencias de Auditoría (Premium).
  5. Expanda la sección Aplicaciones. Compruebe que la casilla Auditoría avanzada de Microsoft 365 esté activada. Active la casilla si no está seleccionada y, a continuación, seleccione Guardar cambios.

El registro de los registros de auditoría para los eventos de MailItemsAccessedSend empezará en 24 horas. Una organización debe realizar el paso 4 para iniciar el registro de otros dos eventos de Auditoría (Premium):

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Además, si ha personalizado las acciones de buzón de correo que se auditan en buzones de usuario o compartidos, cualquier evento nuevo de Auditoría (Premium) publicado por Microsoft no se auditará automáticamente en esos buzones de correo.

Lectura adicional. Para información sobre cómo cambiar las acciones de buzón de correo que se auditan para cada tipo de inicio de sesión, consulte la sección "Cambiar o restaurar acciones de buzón registradas de forma predeterminada" en Administrar la auditoría de buzón.

Paso 2: Habilitar eventos premium de auditoría

Debe habilitar los siguientes eventos de auditoría (Premium) para que se registren y los usuarios puedan realizar búsquedas en Exchange Online y SharePoint Online:

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Para permitir que estos dos eventos se auditen para los usuarios, ejecute el siguiente comando (para cada usuario) en PowerShell de Exchange Online:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

En un entorno multigeográfico, debe ejecutar el comando anterior Set-Mailbox en el bosque de dominio en el que se encuentra el buzón del usuario.

Para identificar la ubicación del buzón del usuario, ejecute el siguiente comando:

Get-Mailbox <user identity> | FL MailboxLocations

Si el comando para habilitar la auditoría de consultas de búsqueda se ejecutó anteriormente en un bosque que es diferente al que se encuentra el buzón del usuario, debe quitar el valor SearchQueryInitiate del buzón del usuario ejecutando el siguiente comando:

Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}

A continuación, debe agregar el valor SearchQueryInitiated al buzón del usuario en el bosque donde se encuentra el buzón del usuario.

Paso 3: Configurar directivas de retención de auditoría

La directiva de retención predeterminada de Auditoría (Premium) conserva los registros de auditoría de Exchange, SharePoint y Microsoft Entra durante un año. Una organización puede crear otra directiva de retención de registros de auditoría para satisfacer los requisitos de los equipos de cumplimiento, TI y operaciones de seguridad.

Para obtener más información, vea la siguiente unidad sobre cómo "Administrar directivas de retención de los registros de auditoría."

Paso 4: Buscar eventos de Auditoría (Premium)

Ahora que ha configurado Auditoría (Premium) para su organización, puede buscar eventos cruciales de Auditoría (Premium) y otras actividades al realizar investigaciones forenses. Después de completar los pasos 1 y 2 puede buscar en el registro de auditoría eventos de Auditoría (Premium) y otras actividades durante investigaciones exhaustivas de cuentas comprometidas y otros tipos de investigaciones de seguridad o cumplimiento.

Para obtener más información sobre cómo realizar una investigación forense de cuentas de usuario en peligro mediante el evento MailItemsAccessed de Auditoría (Premium), consulte la última unidad de este módulo sobre cómo "Investigar cuentas en peligro".