Cómo activar los logs de auditoría para Microsoft Office 365
En este artículo veremos cómo activar los logs de auditoría para Microsoft 365, que es este tipo de registros, por qué es importante que se supervise regularmente y cómo se hace. También revisaremos cómo Lepide para Microsoft 365 es una alternativa eficiente y facilitadora de este proceso.
¿Porque auditar periódicamente los Logs de Microsoft 365?
Office 365 comprende varios servicios, aunque fundamentalmente nos centramos en: Microsoft Teams, Exchange Online, Azure AD, SharePoint Online y OneDrive empresarial. La auditoría sobre estos servicios, se complican para los administradores de Sistemas, ya que a menudo significa auditar varios subdominios y cientos de usuarios.
Los registros de auditoría de Office 365 permiten a realizar un seguimiento de actividad tanto del administrador y como del usuario, incluido quién accede, ve o mueve documentos específicos y cómo se emplean los recursos. Para poder investigar incidentes de seguridad y demostrar el cumplimiento de las normas que afectan a la organización, estos registros son cruciales. Sin embargo, los registros nativos tienen varias limitaciones.
Cómo activar los servicios de logs auditoría
La auditoría de registros nativos no está habilitada de forma predeterminada. Para habilitar la auditoría de registros nativos:
- Ves a: Microsoft 365 Security & Compliance Center
- A continuación a: Searchy Audit log search.
- Activa Turn on auditingclicando el banner de:Start recording user and admin activity.
Cómo poner en marcha Audit Log Search en Office 365
Prerrequisitos
Antes de poder ejecutar una búsqueda en el registro de auditoría, el administrador debe asignar los permisos necesarios a su cuenta. Los permisos pueden como: “Solo visualizar Audit Logs” o “Audit Logs”
Despliegue de Audit Log Search.
- Inicie sesión en https://protection.office.com.
- Inicie una nueva búsqueda. En el Security & Compliance Center, haz click enSearch, Audit log search.
- Configura los criterios de búsqueda
Los principales criterios a especificar son:- Activity: La que se va a analizar. Existen alrededor de 100 acciones en el entorno M365, por lo que para enfocarse en su objetivo de análisis deberá seleccionar las precisas que afectan al proceso, de lo contrario el informe reflejarás TODAS las actividades ocurridas durante el intervalo definido en los últimos 90 días.
- Date: El período de tiempo predeterminado son los últimos siete días, pero puede configurar su búsqueda para cualquier período dentro de los últimos 90 días.
- Users: indique qué usuario o grupo de usuarios desea incluir en el informe.
- Utilice esta opción si desea limitar la búsqueda a un archivo, carpeta o sitio determinado. Introduce una ubicación o una palabra clave.
- Filtrar los resultados de la búsqueda.
Filtrar los resultados de la búsqueda te ayudará a analizar los datos de manera más efectiva. También puedes generar un informe de datos sin procesar que cumpla con los criterios de búsqueda exportando los datos a CSV. Esto te permite descargar hasta 50,000 eventos en lugar del máximo habitual de 5,000. Para generar incluso más de 50.000 eventos, trabaja en lotes de rangos de fechas más pequeños y combina los resultados manualmente.
- Guarda los resultados
Para guardar los resultados, haga clic en Exportar resultados y elija Guardar resultados cargados para generar un archivo CSV con los datos. A continuación, puede utilizar Microsoft Excel para acceder al archivo.
Limitaciones de las búsquedas nativas en el registro de auditoría de Microsoft 365
Trabajar manualmente a través de los registros de auditoría de Microsoft 365 es una tarea compleja y precisa de mucho tiempo. Para ello hay herramientas de búsqueda pero que tienen limitaciones como:
- La dificultad para detectar actividad anómala
- La exportación de los datos de auditoría facilita el análisis, pero el reto será mantener seguros los datos exportados
- Consolidar informes significativos es tarea difícil y requiere de mucho tiempo
- Los logs de auditoría solo se almacenan durante 90 días, lo que significa que es necesaria una revisión manual constante de los registros, y no es posible realizar ninguna investigación sobre incidentes históricos.
- Etc…
Cómo te puede ayudar Lepide para M365
Todas estas limitaciones desaparecen cuando se usa Lepide Auditor para Office 365.
Lepide Auditor almacena pistas de auditoría durante años, sin limitaciones en el tiempo en la conservación de registros. Son fáciles de buscar, ordenar y filtrar para que pueda tenga a mano toda la información que necesita cuando la necesite.
El Lepide incluye una gran cantidad de informes predefinidos que se pueden generar con solo hacer clic en un botón. Estos informes incluyen, pero no se limitan a:
- Uso compartido de datos externos
- Modificación de permisos.
- Modificaciones en el usuario.
- Modificación de ficheros.
- Modificación en las políticas de Grupos.
- Modificación de grupos.
Además de los informes, Lepide para Office 365 le permite configurar alertas en tiempo real que se activarán cuando se produzcan los eventos especificados, y serán remitidas automáticamente por email o/y la aplicación móvil disponible. Además, se pueden activar respuestas automatizadas a amenazas, si se requiere una acción inmediata. Por ejemplo, una respuesta automatizada puede implicar la ejecución de un script para llevar a cabo acciones correctivas como apagar un servidor.
Lepide para M365 le permite una visión de 360 grados, con un objetivo claro: contarte todo lo que está pasando cuando está pasando.
Si quieres ampliar información, contacta con nosotros telefónicamente o a través de este formulario.