Implementar Microsoft Purview Audit (Estándar)

  • 4 minutos

Microsoft Purview Audit (Estándar) en Microsoft 365 permite a las organizaciones buscar registros de auditoría de actividades completadas por usuarios y administradores en los diferentes servicios de Microsoft 365. La auditoría (estándar) está habilitada de forma predeterminada para la mayoría de las organizaciones de Microsoft 365 y Office 365. Como resultado, solo hay algunas cosas que una organización debe hacer para poder buscar en el registro de auditoría.

Diagrama que muestra los pasos para configurar Microsoft Purview Audit (Estándar), que incluyen la configuración de licencias y permisos.

Los pasos de configuración que deben completarse para que una organización pueda buscar en el registro de auditoría mediante auditoría (estándar) incluyen:

  • Garantizar las suscripciones organizativas y las licencias de usuario adecuadas necesarias para generar y conservar los registros de auditoría.
  • Asignar permisos a los miembros del equipo de sus equipos de operaciones de seguridad, TI, cumplimiento y legal.

Estos pasos se examinan con más detalle en las secciones siguientes.

Paso 1: comprobar la suscripción de la organización y las licencias de usuario

Licencias para Auditoría (Estándar) requiere la suscripción de organización adecuada que proporciona:

  • acceso a la herramienta de búsqueda de registros de auditoría.
  • licencias por usuario necesarias para registrar y conservar los registros de auditoría.

Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría que se almacena en el registro de auditoría de la organización. En Auditoría (estándar), los registros de auditoría se conservan y se pueden buscar en el registro de auditoría durante 180 días.

Para obtener una lista de los requisitos de suscripción y licencias de auditoría (estándar), consulta Soluciones de auditoría en Microsoft 365.

Paso 2: asignar permisos para buscar en el registro de auditoría

Para buscar en el registro de auditoría, los administradores y miembros de los equipos de investigación deben tener asignado el rol Registros de Auditoría de solo vista o Registros de Auditoría en Exchange Online.

  • De forma predeterminada, estos roles se asignan a los grupos de roles Administración de cumplimiento y Administración de la organización en la página Permisos del Centro de administración de Exchange.
  • Los administradores globales de Office 365 y Microsoft 365 se agregan automáticamente como miembros del grupo de roles de la Administración de la organización en Exchange Online.

Para dar a un usuario la capacidad de buscar en el registro de auditoría con el nivel mínimo de privilegios, las organizaciones pueden:

  1. Crea un grupo de roles personalizado en Exchange Online.
  2. Agregue el rol Registros de Auditoría de solo vista o Registros de Auditoría al grupo de roles.
  3. Agrega el usuario como miembro del nuevo grupo de roles.

Para obtener más información, consulteAdministrar grupos de roles en Exchange en línea.

En la captura de pantalla siguiente se muestran los dos roles relacionados con la auditoría asignados al grupo de roles de la Administración de la organización en el Centro de administración de Exchange.

Captura de pantalla del centro de administración de Exchange que muestra el rol de administración de la organización y los permisos asignados.

Paso 3: buscar en el registro de auditoría

En este momento, una organización está lista para buscar el registro de auditoría en el portal de cumplimiento de Microsoft Purview.

  1. En el portal de cumplimiento de Microsoft Purview, selecciona Auditoría en el panel de navegación.

  2. En la página Auditoría, configura la búsqueda con las siguientes condiciones en la pestaña Buscar.

    Captura de pantalla de la página de Auditoría en el portal de cumplimiento de Microsoft Purview que muestra la configuración de búsqueda de registros de auditoría.

    • R: Intervalo de fecha y hora. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período. La fecha y la hora se muestran en hora local. Los últimos siete días se seleccionan de manera predeterminada.
    • B. Actividades. Selecciona las actividades que quieres buscar. Usa el cuadro de búsqueda para buscar las actividades que se van a agregar a la lista. Para obtener una lista parcial de las actividades auditadas, consulta Actividades auditadas. Deja este cuadro en blanco para devolver entradas para todas las actividades auditadas.
    • C. Usuarios. Selecciona en este cuadro y empieza a escribir el nombre de los usuarios para los que se mostrarán los resultados de la búsqueda. Las entradas del registro de auditoría para las actividades seleccionadas realizadas por los usuarios seleccionados en este cuadro se muestran en la lista de resultados. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.
    • D. Archivo, carpetao sitio. Escribe uno o todos los nombres de archivo o carpeta para buscar actividad relacionada con el archivo de carpeta que contiene la palabra clave especificada. También puede especificar una dirección URL de un archivo o carpeta. Si usas una dirección URL de un archivo o carpeta, asegúrese de escribir la ruta de acceso URL completa o, si escribes una parte de la dirección URL, no incluyas caracteres especiales ni espacios. Deje este cuadro en blanco para devolver las entradas de todos los archivos y carpetas de la organización.

  3. Seleccione Buscar para ejecutar la búsqueda.

Se muestra una nueva página que muestra que se está ejecutando la búsqueda de registros de auditoría. Cuando se completa la búsqueda, los registros de auditoría se muestran en la página. Selecciona un registro para mostrar una página de control flotante con propiedades detalladas.

Nota:

Este paso se examina con más detalle en la unidad siguiente.