Auditoría y seguimiento de las actividades de los usuarios en Microsoft 365

Auditoría y seguimiento de las actividades de los usuarios en Microsoft 365

08/06/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración, uso y monitoreo de la actividad del usuario en Microsoft 365. La capacidad de auditar y monitorear las acciones del usuario es fundamental para la seguridad, el cumplimiento normativo y la detección y respuesta a incidentes, lo que permite a las organizaciones identificar actividades sospechosas, investigar infracciones y mantener un registro detallado de lo que sucede en su entorno [1].

Introducción

En el lugar de trabajo moderno, donde se accede a los datos y se comparten a través de múltiples plataformas y dispositivos, la visibilidad de las actividades de los usuarios es más crítica que nunca. Microsoft 365 ofrece un sólido conjunto de capacidades de auditoría que registran una amplia gama de acciones realizadas por usuarios y administradores en servicios como Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams y Azure AD. Estos registros de auditoría son una fuente invaluable de información para investigaciones forenses, controles de cumplimiento y comprensión de cómo se utilizan los datos dentro de la organización [2].

Esta guía práctica cubrirá la habilitación del registro de auditoría unificado, la búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview, la creación de alertas personalizadas y las mejores prácticas para el monitoreo continuo. Se proporcionarán instrucciones paso a paso, ejemplos de comandos de PowerShell y descripciones para que el lector pueda implementar una estrategia eficaz de auditoría y monitoreo, fortaleciendo la postura de seguridad y garantizando el cumplimiento en su entorno de Microsoft 365.

¿Por qué la auditoría y el monitoreo son cruciales en Microsoft 365?

  • Detección de amenazas: identifica actividades sospechosas, como intentos de acceso no autorizados, intercambio de datos inadecuado o cambios en configuraciones críticas.
  • Cumplimiento normativo: ayuda a cumplir con los requisitos de auditoría y cumplimiento de diversas regulaciones (por ejemplo, GDPR, LGPD, HIPAA, ISO 27001) al proporcionar un registro inmutable de acciones.
  • Investigación de incidentes: Proporciona los datos necesarios para investigar violaciones de seguridad, fugas de datos o actividades maliciosas, lo que permite una respuesta rápida y eficaz.
  • Visibilidad operativa: permite a los administradores comprender cómo interactúan los usuarios con los servicios de Microsoft 365, optimizando el uso e identificando las necesidades de capacitación.

Requisitos previos

  1. Licencias: la auditoría básica está disponible en la mayoría de las licencias de Microsoft 365. Para funciones como la retención a largo plazo y eventos de mayor valor (auditoría avanzada), se requiere una licencia de Microsoft 365 E5 o un complemento de cumplimiento [3].
  2. Acceso administrativo: una cuenta con la función de permisos de Administrador global, Administrador de cumplimiento o Registros de auditoría en el portal de cumplimiento de Microsoft Purview (https://compliance.microsoft.com).
  3. Registro de auditoría habilitado: el registro de auditoría unificado debe estar habilitado.

Paso a paso: configurar y monitorear las actividades del usuario

1. Comprobación y activación del registro de auditoría

De forma predeterminada, la auditoría ya está habilitada en la mayoría de las organizaciones. Para comprobar:

  1. Acceda al portal de cumplimiento de Microsoft Purview: https://compliance.microsoft.com.
  2. En el menú, seleccione Auditoría.
  3. Si la auditoría no está activa, verá un banner para comenzar a grabar. Haga clic en él.

2. Búsqueda en el registro de auditoría

La herramienta de búsqueda de registros de auditoría es su principal recurso para las investigaciones.

  1. En la página Auditoría del portal Purview, configure su búsqueda:
    • Rango de fecha y hora (UTC): Período de la investigación.
    • Actividades: Filtre por acciones específicas (por ejemplo, Archivo accedido, Usuario que inició sesión).
    • Usuarios: Especifique uno o más usuarios.
    • Archivo, carpeta o sitio web: refina la búsqueda a un recurso específico.
  2. Haga clic en Buscar. Los resultados se pueden exportar para su análisis.

Uso de PowerShell para buscar registros de auditoría

Para la automatización y búsquedas complejas, PowerShell es ideal.

  1. Conéctese a Exchange Online PowerShell. powershell Conectar-ExchangeOnline
  2. Utilice el cmdlet Buscar-Registro de auditoría unificado. Ejemplo para buscar actividades de eliminación de archivos realizadas por un usuario en los últimos 7 días: powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Fecha de creación de tabla de formato, ID de usuario, operaciones, datos de auditoría

3. Creación de alertas sobre actividades de auditoría

Reciba notificaciones proactivas cuando ocurran actividades críticas.

  1. En el portal de cumplimiento de Microsoft Purview, vaya a Políticas > Políticas de alerta.
  2. Haga clic en Nueva política de alerta.
  3. Nombre la política: asígnele un nombre descriptivo (por ejemplo, "Alerta - Eliminación masiva de archivos").
  4. Actividades: seleccione las actividades que deberían activar la alerta (por ejemplo: Archivo eliminado).
  5. Condiciones: defina desencadenantes, como el número de ocurrencias en un período de tiempo determinado para un solo usuario.
  6. Destinatarios: especifique quién debe recibir la notificación por correo electrónico.
  7. Revise y cree la política.

Auditoría avanzada (Microsoft 365 E5)

Para organizaciones con estrictos requisitos de cumplimiento y seguridad, Advanced Audit ofrece capacidades mejoradas:

  • Retención a largo plazo: conserva los registros de auditoría hasta por 1 año de forma predeterminada, con la opción de extenderlos a 10 años. Esencial para investigaciones forenses a largo plazo.
  • Eventos de alto valor: acceso a eventos más detallados como MailItemsAccessed (cuando se leyó un correo electrónico) y SearchQueryInitiated (lo que los usuarios buscan en SharePoint y Exchange). Estos eventos son cruciales para investigar violaciones de datos y actividades de reconocimiento.
  • Mayor ancho de banda de API: acceso más rápido y de mayor volumen a los registros de auditoría a través de la API de actividad de administración de Office 365, lo que facilita la integración con los sistemas SIEM.

Mejores Prácticas de Auditoría y Monitoreo

  • Revise los registros periódicamente: no espere a que se produzca un incidente. Programe revisiones de registros semanales o mensuales para identificar anomalías.
  • Céntrese en actividades de alto riesgo: priorice las actividades de monitoreo, como el acceso a buzones de correo de no propietarios, el uso compartido de archivos externos y los cambios de permisos de administrador.
  • Integre con un SIEM: envíe registros de auditoría a una solución SIEM como Microsoft Sentinel para correlación con otras fuentes de datos y detección avanzada.
  • Utilice el principio de privilegio mínimo: limite la cantidad de administradores con acceso a los registros de auditoría para evitar manipulaciones.
  • Documente su estrategia: Mantenga un documento que describa qué actividades se monitorean, por qué y cuál es el procedimiento de respuesta para cada alerta.

Conclusión

Auditar y monitorear la actividad de los usuarios en Microsoft 365 no es solo una formalidad de cumplimiento, sino un componente activo y esencial de la defensa de una organización. Al aprovechar las herramientas disponibles en el portal de cumplimiento de Microsoft Purview, automatizar las búsquedas con PowerShell y configurar alertas proactivas, los administradores pueden obtener la visibilidad que necesitan para detectar, investigar y responder eficazmente a las amenazas mientras protegen los datos valiosos de la empresa.

Referencias

[1]Microsoft. (2023). Descripción general de la auditoría de ámbito de Microsoft. [2]Microsoft. (2023). Buscar en el registro de auditoría en el portal de cumplimiento. [3]Microsoft. (2023). Auditoría avanzada de Microsoft Purview.