Registro de auditoría de O365: 15 cosas que debe saber

Este artículo describe la descripción general del registro de auditoría de O365 y sus características para realizar un seguimiento de la actividad administrativa y del usuario dentro del inquilino de Microsoft 365, como los cambios realizados en sus ajustes de configuración de inquilino de Exchange Online y SharePoint Online, y los cambios realizados por los usuarios en los documentos y otros elementos. Los administradores pueden usar la información de auditoría disponible en Microsoft 365 para cumplir con las obligaciones de cumplimiento.

1 Auditoría de buzones

1.1 Verifique que la auditoría de buzones esté activada de forma predeterminada

1.2 Acciones de buzón para buzones de grupo de Microsoft 365

1.3 Desactivar la auditoría de buzones de forma predeterminada

1.4 Registro de auditoría

1.5 Activar la auditoría

1.5.1 Usar PowerShell para activar la auditoría

1.6 Habilitar la auditoría de buzones

1.7 Deshabilitar la auditoría de buzones para buzones específicos

2 Informes de auditoría en línea de Exchange

3 registros de auditoría O365 powershell

4 ¿Cómo ver los informes de registro de auditoría en SharePoint Online?

5 API de registros de auditoría de O365

6 Resumen

Auditoría de buzones

Microsoft está activando el registro de auditoría de buzones de forma predeterminada para todas las organizaciones. Esto significa que ciertas acciones realizadas por propietarios, delegados y administradores de buzones se registran automáticamente, y los registros de auditoría de buzones correspondientes estarán disponibles cuando los busque en el registro de auditoría de buzones. Antes de que la auditoría de buzones se activara de forma predeterminada, tenía que habilitarla manualmente para cada buzón de usuario de su organización.

Estos son algunos de los beneficios de la auditoría de buzones de correo de forma predeterminada:

• La auditoría se habilita automáticamente cuando crea un nuevo buzón. No necesita habilitarlo manualmente para nuevos usuarios.
• No necesita administrar las acciones del buzón que se auditan. Un conjunto predefinido de acciones de buzón se audita de forma predeterminada para cada tipo de inicio de sesión (Administrador, Delegado y Propietario).
• Cuando Microsoft lanza una nueva acción de buzón, la acción puede agregarse automáticamente a la lista de acciones de buzón que se auditan de forma predeterminada (sujeto a que el usuario tenga la licencia adecuada). Esto significa que no necesita monitorear agregar nuevas acciones en los buzones.
• Tiene una política de auditoría de buzones coherente en toda su organización (porque está auditando las mismas acciones para todos los buzones).

Verifique que la auditoría de buzones de correo esté activada de forma predeterminada

Para comprobar que la auditoría de buzones de correo está activada de forma predeterminada para su organización, ejecute el siguiente comando en  Exchange Online PowerShell :

Get-OrganizationConfig | Auditoría FL deshabilitada

El valor  Falso  indica que la auditoría de buzones está habilitada de forma predeterminada para la organización. Este valor organizativo predeterminado anula la configuración de auditoría de buzones en buzones específicos. Por ejemplo, si la auditoría de buzón está deshabilitada para un buzón (la  propiedad AuditEnabled  es  falsa  en el buzón), las acciones predeterminadas del buzón aún se auditarán para el buzón, porque la auditoría de buzón está habilitada de forma predeterminada para la organización.

Para mantener la auditoría de buzones deshabilitada para buzones específicos, configure la omisión de auditoría de buzones para el propietario del buzón y otros usuarios a los que se les ha delegado el acceso al buzón. Para obtener más información, consulte  Omitir registro de auditoría de buzón .

Acciones de buzón para buzones de grupo de Microsoft 365

La auditoría de buzones está activada de forma predeterminada y trae el registro de auditoría de buzones a los buzones de grupo de Microsoft 365, pero no puede personalizar lo que se registra (no puede agregar ni quitar acciones de buzón que se registran para cualquier tipo de inicio de sesión). Recuerde, un administrador con permiso de acceso completo a un buzón de grupo de Microsoft 365 se considera un delegado.

Desactivar la auditoría de buzones de forma predeterminada

Puede desactivar la auditoría de buzones de forma predeterminada para toda su organización ejecutando el siguiente comando en Exchange Online PowerShell:

Establecer-OrganizationConfig -AuditDisabled $true

Desactivar la auditoría de buzones de forma predeterminada tiene los siguientes resultados:

• La auditoría de buzones está deshabilitada para su organización.
• Desde el momento en que deshabilitó la auditoría de buzones de forma predeterminada, no se auditan acciones de buzones, incluso si la auditoría está habilitada en un buzón (la  propiedad AuditEnabled  en el buzón es  True ).
• La auditoría de buzones no está habilitada para buzones nuevos y se ignorará la configuración de la  propiedad AuditEnabled  en un buzón nuevo o existente en  True  .
• Se ignora cualquier configuración de asociación de omisión de auditoría de buzón (configurada mediante el  cmdlet Set-MailboxAuditBypassAssociation  ).
• Los registros de auditoría de buzones existentes se conservan hasta que vence el límite de antigüedad del registro de auditoría para el registro.

Registro de auditoría

Para el cumplimiento en Microsoft 365, el registro de auditoría es probablemente la herramienta más importante de todas. Realiza un seguimiento de cada usuario y acción de la cuenta en todos los servicios de Microsoft 365. Puede ejecutar informes sobre eliminaciones, recursos compartidos, descargas, ediciones, lecturas, etc., para todos los usuarios y todos los productos. También puede configurar alertas personalizadas para recibir notificaciones cada vez que ocurran actividades específicas.

A pesar de toda su utilidad, lo más sorprendente es que no está activado de forma predeterminada.

Puede ser frustrante cuando se encuentra con una consulta o problema que podría resolverse fácilmente si tuviera acceso a los registros, solo para descubrir que nunca estuvieron habilitados en primer lugar. Aquí se explica cómo configurarlo en su propia organización.

Activar auditoría

Usted (u otro administrador) debe activar el registro de auditoría antes de poder comenzar a buscar en el registro de auditoría.

• Vaya al portal de cumplimiento de Microsoft Purview .
• En el panel de navegación izquierdo del portal de cumplimiento, haga clic en  Auditoría .
• Si la auditoría no está activada para su organización, se muestra un banner que le indica que comience a registrar la actividad de los usuarios y administradores.

• Haga clic en el   banner Comenzar a registrar la actividad de los usuarios y administradores . Puede tomar hasta 60 minutos para que el cambio surta efecto.

Use PowerShell para activar la auditoría

• Conéctese a Exchange Online a través de PowerShell como administrador .
• Asegúrese de que su inquilino de Microsoft 365 esté listo para el Registro de auditoría unificado al habilitar la Personalización de la organización:

Habilitar personalización de la organización

Ejecute el siguiente comando para habilitar el registro de auditoría unificado:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Habilitar la auditoría de buzones

Para habilitar la auditoría para un solo buzón, use el comando de PowerShell:

Set-Mailbox -Identidad "Prueba 12" -AuditEnabled $true

Para habilitar la auditoría de todos los buzones de su organización, utilice el comando de PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled$true

Para confirmar si ha habilitado con éxito la auditoría o no, debe ejecutar el comando " Get-Mailbox " en Exchange Online. El valor " Verdadero " de la propiedad AuditEnabled confirma que ha habilitado correctamente el registro de auditoría de buzón.

Deshabilitar la auditoría de buzones para buzones específicos

Actualmente, no puede deshabilitar la auditoría de buzones de correo para buzones de correo específicos cuando la auditoría de buzones de correo está activada de forma predeterminada en su organización. Por ejemplo, se ignora establecer la   propiedad de buzón  AuditEnabled en False  .

Sin embargo, aún puede usar el  cmdlet Set-MailboxAuditBypassAssociation  en Exchange Online PowerShell para evitar que  se registren todas y cada una de las  acciones de buzón de los usuarios especificados, independientemente de dónde ocurran las acciones. Por ejemplo:

• Las acciones del propietario del buzón realizadas por los usuarios omitidos no se registran.
• Las acciones de delegado realizadas por los usuarios omitidos en los buzones de correo de otros usuarios (incluidos los buzones de correo compartidos) no se registran.
• Las acciones de administración realizadas por los usuarios omitidos no se registran.

Para omitir el registro de auditoría de buzón para un usuario específico:

Set-MailboxAuditBypassAssociation -Identidad "Buzón" -AuditByPassEnabled $true

Para verificar que se omita la auditoría para el usuario especificado, ejecute el siguiente comando:

Get-MailboxAuditBypassAssociation "Buzón" | auditoría flb*

El valor  True  indica que el registro de auditoría de buzón se omite para el usuario.

Informes de auditoría en línea de Exchange

Los informes de auditoría de Exchange Online incluyen detalles sobre el acceso a los buzones y los cambios realizados por los administradores en el arrendatario de Exchange Online de una organización.

• Ejecutar un informe de acceso al buzón de correo de no propietario : muestra la lista de buzones a los que ha accedido alguien que no es el propietario del buzón. El informe contiene información sobre quién accedió al buzón, las acciones que realizaron en el buzón y si las acciones se realizaron correctamente o no.
• Exportar registros de auditoría de buzones: los registros de auditoría de buzones contienen información sobre el acceso y las acciones en un buzón realizadas por un usuario que no es el propietario del buzón. Los administradores pueden especificar buzones junto con un intervalo de fechas para generar informes. Los registros se exportan en XML, se adjuntan a un mensaje y se envían a usuarios específicos según lo determine el administrador.
• Ejecutar un informe de grupo de funciones de administrador: el grupo de funciones de administrador se utiliza para asignar privilegios administrativos a los usuarios. Estos privilegios permiten a los usuarios realizar tareas administrativas, como restablecer contraseñas, crear o modificar buzones y asignar privilegios de administrador a otros usuarios. El informe del grupo de roles de administrador muestra los cambios en los grupos de roles, incluida la adición o eliminación de miembros.
• Ver el registro de auditoría del administrador : el informe del registro de auditoría del administrador enumera todas las funciones de creación, actualización y eliminación realizadas por los administradores en Exchange Online. Las entradas de registro brindan información sobre qué cmdlet se ejecutó, qué parámetros se usaron, quién ejecutó el cmdlet y qué objetos se vieron afectados.
• Exportar el registro de auditoría del administrador : el registro de auditoría del administrador registra acciones administrativas específicas, como crear, actualizar y eliminar en Exchange Online. Los resultados del registro se exportan a XML y los administradores pueden optar por enviar este registro a un conjunto de usuarios.
• Ver y exportar el registro de auditoría del administrador externo : contiene detalles de las acciones realizadas por los administradores externos. Las entradas proporcionan información sobre qué cmdlet se ejecutó, qué parámetros se usaron y cualquier acción que cree, modifique o elimine objetos en Exchange Online.

Powershell de registros de auditoría de O365

Para buscar una auditoría de buzón:

Buscar-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Para exportar resultados a un archivo csv:

Buscar-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021 | Exportar-Csv C:\usuarios\AuditLogs.csv -NoTypeInformation

Para ver y exportar registros basados ​​en operaciones :

Search-MailboxAuditLog -Identidad [email protected] -ResultSize 250000 -Operaciones HardDelete, Move, MoveToDeletedItems, SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Exportar-Csv C:\AuditLogs.csv -NoTypeInformation

Para ver y exportar registros según los tipos de inicio de sesión :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Exportar-Csv C:\AuditLogs.csv -NoTypeInformation

Para buscar en el registro de auditoría unificado:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 31/01/2021 -RecordType SharePointFileOperation

Para exportar ciertas propiedades del registro de auditoría unificado a un archivo CSV:

$registro de auditoría | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Para ver los cambios en las reglas de transporte :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

Para ver los cambios en los filtros de spam :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

Para verificar los cambios en el filtro de conexión :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

¿Cómo ver los informes de registro de auditoría en SharePoint Online?

La auditoría de su entorno de SharePoint Online lo ayuda a mantenerse seguro y cumplir con los requisitos de cumplimiento normativo. Para ver los informes de auditoría que proporciona su herramienta nativa de SharePoint Online:

• Inicie sesión en SharePoint Online.
• Haga clic en Configuración icono de configuración y, a continuación, haga clic en Configuración del sitio.
• Haga clic en Informes de registro de auditoría en la sección Administración de la colección de sitios.
• Seleccione el informe (como Eliminación) que desee en la página Ver informes de auditoría.
• Escriba una URL o busque la biblioteca donde desea guardar el informe y luego haga clic en Aceptar.
• En la página Operación completada con éxito, seleccione Haga clic aquí para ver este informe.

Los informes de registro de auditoría de SharePoint le permiten analizar todas las actividades en su entorno de SharePoint.

API de registros de auditoría de O365

Microsoft proporciona servicios de informes que permiten a los administradores obtener información transaccional agregada sobre su arrendatario de Microsoft 365. La API de actividad de administración de Microsoft 365 utiliza un diseño RESTful estándar de la industria y OAuth v2 para la autenticación, lo que facilita comenzar a experimentar con la recuperación de datos y su ingesta en herramientas y aplicaciones de visualización.

La API proporciona una fuente de datos que incluye información sobre el usuario, el administrador, las operaciones y la actividad de seguridad en Microsoft 365. Los datos pueden conservarse con fines normativos o combinarse con datos de registro obtenidos de una infraestructura local u otras fuentes para crear un solución de monitoreo para operaciones, seguridad y cumplimiento en toda la empresa.

La API de actividad de administración actualmente proporciona una vista integral de más de 150 tipos de transacciones de SharePoint Online, OneDrive para empresas, Exchange Online y Azure AD. La API proporciona un esquema de auditoría consistente con más de 10 campos que son comunes a todos los servicios.

Esto permite a las organizaciones hacer conexiones fáciles entre eventos y permite nuevas formas de razonar sobre los datos. Docenas de proveedores de software independientes (ISV) se han asociado con Microsoft y han creado soluciones basadas en la API. Algunas soluciones se centran únicamente en los datos de Microsoft 365, mientras que otras brindan la capacidad de ingerir datos de múltiples proveedores en la nube y sistemas locales para crear una vista unificada de todas las operaciones, la seguridad y la actividad relacionada con el cumplimiento. Para obtener más información, consulte la referencia de la API de actividad de administración de Microsoft 365 .

Lea también : Microsoft Cloud App Security: la guía definitiva

Resumen

El registro de auditoría de O365 incluye varias funciones en el centro de seguridad y métodos programáticos para recuperar y analizar datos de registro mediante PowerShell remoto y una API REST de servicios web. Los administradores pueden usar las funciones de auditoría en Microsoft Microsoft 365 para realizar un seguimiento de los cambios realizados en los elementos clave de configuración de inquilinos y servicios, documentos y otros elementos.