Cómo configurar el registro de auditoría de Office 365

Microsoft Office 365 es un ecosistema robusto y diverso que involucra múltiples servicios, como Microsoft Teams, Exchange Online, Azure AD, SharePoint Online y OneDrive for Business. Es mucho lo que hay que supervisar, y los administradores globales a menudo necesitan supervisar a múltiples subadministradores y a veces miles de usuarios.

Los registros de auditoría de Office 365 le ayudan a rastrear la actividad de administradores y usuarios, incluyendo quién está accediendo, viendo o moviendo documentos específicos y cómo se están utilizando los recursos. Estos registros son esenciales para investigar incidentes de seguridad y demostrar el cumplimiento. Sin embargo, los registros nativos tienen múltiples limitaciones, por lo que generalmente se necesitan servicios adicionales para monitorear la actividad de manera efectiva, mantener los sistemas seguros y asegurar el cumplimiento regulatorio.

Cómo configurar el registro de auditoría de Office 365

La auditoría de registros nativa no está habilitada de forma predeterminada. Para habilitar la auditoría de registros nativa:

1. Dirígete al Centro de Seguridad y Cumplimiento de Office 365.
2. Vaya a “Buscar” y luego a “Búsqueda de registro de auditoría.”
3. Haga clic en “Activar auditoría.”

Alternativamente, puede habilitar la auditoría de registros utilizando este comando de PowerShell:

      Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
      

El registro de auditoría para Power BI y otras aplicaciones auxiliares tampoco está habilitado de forma predeterminada; tendrás que activarlo en los portales de administración separados para obtener esos registros de auditoría.

Revise sus requisitos de licencia para ver cuánto tiempo se pueden almacenar sus datos de registro. Por ejemplo, actualmente el límite es de 90 días para una licencia Office 365 E3 y de un año para una licencia Office 365 E5.

Cómo realizar una búsqueda en el registro de auditoría

Requisitos previos

Antes de poder ejecutar una búsqueda en el registro de auditoría, un administrador debe asignar permisos a su cuenta, ya sea “View-Only Audit Logs” o “Audit Logs”.

Puede que tenga que esperar varias horas desde que activa la auditoría de registros antes de poder realizar una búsqueda en el registro de auditoría.

Tenga en cuenta que una búsqueda unificada de registros de auditoría consolida análisis de múltiples servicios de Office 365 en un único informe de registro, lo cual requiere desde 30 minutos hasta 24 horas para completarse.

Procedimiento

Para realizar una búsqueda en el registro de auditoría, siga los siguientes pasos:

1. Iniciar sesión.

Inicie sesión en https://protection.office.com.

Consejo: Para evitar que se utilicen automáticamente sus credenciales actuales, abra una sesión de navegación privada:

• En Internet Explorer o Edge, presiona CTRL+SHIFT+P.
• Para la mayoría de los otros navegadores, presiona CTRL+SHIFT+N.

2. Iniciar una nueva búsqueda.

En el Centro de Seguridad y Cumplimiento, haga clic en “Buscar” en el panel izquierdo. Luego seleccione “Búsqueda de registro de auditoría”.

3. Configure sus criterios de búsqueda.

Los principales criterios a especificar son:

• Actividades — Consulte la lista de actividades auditadas de Microsoft. Hay más de 100, por lo que Microsoft las ha agrupado en actividades relacionadas. Si no reduce esta lista, su informe de auditoría incluirá todas las actividades realizadas durante el período de tiempo especificado.
• Fechas — El marco de tiempo predeterminado son los últimos siete días, pero puedes configurar tu búsqueda para cualquier período dentro de los últimos 90 días.
• Usuarios — Especifique qué usuario o grupo de usuarios desea incluir en su informe.
• Ubicación — Si desea limitar la búsqueda a un archivo, carpeta o sitio en particular, ingrese una ubicación o palabra clave.

Otros criterios de búsqueda incluyen:

• Actividades relacionadas con un sitio web — Añada un asterisco después de la URL para devolver todas las entradas de ese sitio. Por ejemplo, “https://contoso-my.sharepoint.com/personal/*”.
• Actividades relacionadas con un archivo dado — Añada un asterisco antes del nombre del archivo para devolver todas las entradas de ese archivo. Por ejemplo, “*Customer_Profitability_Sample.csv”.

4. Filtrar los resultados de búsqueda.

Las opciones de criterios de búsqueda son útiles para obtener una visión general, pero filtrar los resultados de la búsqueda te ayudará a examinar los datos de manera más efectiva. Puedes introducir palabras clave, fechas específicas, usuarios, elementos u otros detalles.

Además, tenga en cuenta que la búsqueda está limitada a los 5,000 eventos más recientes. Si su búsqueda devuelve exactamente 5,000 elementos, probablemente haya alcanzado el límite máximo de resultados de búsqueda. Refine aún más su búsqueda para asegurarse de ver todos los datos relevantes dentro de su rango de fecha y hora sin perder información crucial.

Alternativamente, puede generar un informe de datos brutos que cumpla con sus criterios de búsqueda extrayendo los datos en formato csv. Esto le permite descargar hasta 50,000 eventos en lugar de 5,000. Para generar más de 50,000 eventos, trabaje en lotes de rangos de fechas más pequeños y combine los resultados manualmente.

5. Guarde sus resultados.

Para guardar sus resultados, haga clic en “Export results” y elija “Save loaded results” para generar un archivo CSV con sus datos. Puede utilizar Microsoft Excel para acceder al archivo o compartir los resultados como un informe.

Verá una columna llamada “AuditData”, que consiste en un objeto JSON que contiene múltiples propiedades del registro de auditoría. Para habilitar la ordenación y el filtrado en esas propiedades, utilice la herramienta de transformación JSON en el Editor de Power Query de Excel para dividir la columna “AuditData” y asignar a cada propiedad su propia columna.

Consulte Exportar, configurar y ver registros de auditoría para obtener más información.

Limitaciones de las búsquedas nativas de registros de auditoría en Office 365

Hurgar manualmente en los registros de auditoría de Office 365 suele ser difícil y lleva mucho tiempo. Las herramientas de búsqueda son útiles, pero considere los siguientes inconvenientes al decidir cómo manejar la auditoría en su organización:

• Es difícil detectar actividades anómalas — Se necesita un ojo entrenado para interpretar los datos, especialmente si no se tiene conocimiento previo de un problema con un usuario o archivo específico.
• Es difícil mantener seguros los datos de auditoría — La información detallada sobre cada evento dentro de su sistema es información altamente sensible. Aunque las opciones de exportación predeterminadas son convenientes, hacen que sus archivos sean más vulnerables.
• Elaborar informes legibles por humanos es muy difícil — Para obtener un informe, necesitas exportar datos específicos de auditoría a un archivo CSV, que luego debe ser ordenado e interpretado antes de que se pueda actuar sobre él.
• Tiene opciones de filtrado limitadas — La búsqueda nativa del registro de auditoría no ofrece opciones de filtrado exhaustivas, lo que dificulta obtener información detallada y encontrar lo que está buscando.
• Solo hay disponibles unos pocos informes de registro predefinidos — Si deseas otros informes, tienes que crearlos manualmente. Además, no hay una opción de suscripción a informes ni una función nativa para guardar búsquedas personalizadas.
• La mayoría de las propiedades se agrupan en un solo JSON — El JSON AuditData puede contener diferentes propiedades dependiendo del evento de auditoría. Esto produce mucho ruido innecesario entre usted y los detalles importantes que está tratando de obtener de sus datos de auditoría.
• Los datos de auditoría se almacenan por un tiempo limitado — Dado que la suscripción estándar de Microsoft solo permite un período de retención de datos de 90 días para los registros de auditoría, tendrás que descargar y guardar tus registros de auditoría de manera regular, y luego intentar fusionarlos para ver la imagen a largo plazo de la actividad. Si olvidas guardar los registros, tendrás lagunas en tu historial.

Otras formas de acceder a los datos del registro de auditoría

Office 365 Management Activity API

La API de Office 365 Management Activity te permite ver datos sobre eventos de sistema de administración, usuario y políticas desde los registros de actividad de Office 365 y Azure AD. La herramienta te ayuda a monitorear, analizar y visualizar datos de auditoría.

Netwrix Auditor

Netwrix Auditor simplifica drásticamente la tarea de mantenerse al tanto de la actividad en su entorno de TI, así como le permite prevenir proactivamente problemas y mantener los datos organizados. La solución ofrece una mayor visibilidad de la actividad y las configuraciones en sus entornos de OneDrive for Business, SharePoint Online y Exchange Online, así como en Azure AD.