Toma el control de tu información en Microsoft 365

Con el advenimiento de las soluciones en la nube cada vez generamos más datos que a su vez compartimos con más personas, pudiendo llegar a ser abrumador llevar el control real de nuestra información.

Hoy queremos hablarte del módulo de auditoría del centro de seguridad de Microsoft 365, la solución que nos permitirá no solo asegurar el cumplimiento normativo de nuestra organización, sino tener pleno control y conocimiento de quién y como accede a nuestros datos

Con este módulo podremos auditar absolutamente todo lo que pasa en nuestro tenant, como por ejemplo:

  • Quién y cuando accede a una determinada información: fichero, informe de BI, aplicación, etc.
  • Si se ha añadido un nuevo usuario invitado a nuestro directorio, y si este ha accedido a algún recurso.
  • Quién ha modificado los permisos o eliminado un contenido determinado.
  • Quién, cuando y como ha creado un nuevo flujo de automatización o aplicación Power App

El centro de seguridad de Microsoft 365, y en concreto su modulo de auditoria, nos dará la tranquilidad de que obtendremos las respuesta necesarias cuando se nos requieran, seamos directores de IT o responsables de gerencia, teniendo además  la posibilidad mediante la creación de alertas de tomar acciones correctivas concretas ante acciones determinadas.

¡Empecemos!

Acceso, activación y conceptos básicos 

La herramienta de búsqueda de registros de auditoría se encuentra a caballo entre dos portales: El centro de seguridad y cumplimiento de Microsoft 365 (en adelante CSC), y el centro de cumplimiento.

El primero acabará desapareciendo, distribuyendo su funcionalidad entre el mencionado centro de cumplimientoy un segundo portal llamado centro de seguridad. Esta funcionalidad está ya disponible en el nuevo centro de cumplimiento , por lo que en este caso nos dirigiremos allí.  

Una vez en el centro de seguridad vamos a Soluciones -> Auditar 

En el primer acceso, nos pedirá activar al registro de actividad, ya que, por defecto, viene desactivado en la plataforma. 

Si realizamos el acceso a través del CSC, el mensaje es ligeramente distinto pero la función la misma:

Una vez activado, el servicio tarda aproximadamente 2 horas en empezar a registrar la actividad de los usuarios (también de los administradores), con una profundidad de retención por defecto de 90 días, a contar desde la activación siendo imposible acceder a registros anteriores. Es posible ampliar la retención por defecto en función de las necesidades pagando únicamente el coste del almacenamiento Azure de la diferencia entre los 90 días y el periodo elegido.

Visión del panel y acciones auditables

Una vez activado, podremos configurar las búsquedas a través del asistente.

Aquí podemos modificar los siguientes campos:

  • Usuarios: Si queremos identificar a uno o varios usuarios com ejecutores de la acción auditada, de lo contrario lo dejaremos en blanco y buscará para todos los usuarios del tenant. En el momento de escribir este post, no es posible buscar por grupos de usuarios.
  • Archivo, carpeta, o sitio: Si la acción es relativa a uno de estos, puede acotarse su url total o parcialmente, apoyados por caracteres comodín, como asterisco.
  • Fecha de inicio y finalización si queremos acotar la búsqueda en un periodo determinado (siempre inferior a 90 días o el periodo configurado en nuestro caso).
  • El más importante: Actividades, donde podemos especificar el tipo de acción que queremos detectar. No las vamos a enumerar, porque son cientos, quedaros con la idea que se puede auditar prácticamente todo lo que se hace en el tenant, desde la lectura de un documento, a la creación de cualquier tipo de configuración recurso o contenido.

Una vez completada la búsqueda, en la parte inferior de la pantalla aparecerán los resultados con la información básica. Si lo deseamos, podemos expórtalos a CSV para analizar la información fuera de línea.

Si pulsamos sobre alguno de los registros, obtendremos información ampliada a todo detalle:

A comentar que a veces puede ser confuso configurar las primeras búsquedas, sea por desconocimiento del tipo de acción a auditar o por cómo funcionan los caracteres comodines y las url.

En este sentido, recomiendo realizar una exportación completa de los eventos durante un periodo más reducido. De esta forma podremos observar como la plataforma los registra, y así nos será más sencillo entender como buscarlos en el futuro.

Creación de alertas

Una opción interesante es la posibilidad de crear una alerta en el registro de búsqueda, para que en caso de que se produzca una determinada actividad, se notifique a ciertas personas, por ejemplo, al equipo de IT para su supervisión (aunque los destinatarios de las alertas pueden ser cualquier usuario).

Un ejemplo de aplicación claro es el de monitorizar la creación de flujos de PowerAutomate y aplicaciones PowerApp en los entornos por defecto de PowerPlatform, en los que, por diseño, no se puede limitar dichas acciones. Con este enfoque, podemos monitorizar a tiempo casi real todo lo que se crea en dichos entornos y tomar acciones correctivas antes de que sea demasiado tarde.

Actualmente la funcionalidad de creación de alertas, solo esta disponible en el antiguo  centro de seguridad y cumplimiento concretamente en el subapartado Buscar à Búsqueda de registros de auditoria

La experiencia de búsqueda es bastante similar a lo visto en el nuevo portal, pero aquí tenemos el botón llamado Nuevo directiva de alertas, que en ser presionado nos va a lanzar el asistente de creación de alertas, con las actividades que tengamos seleccionadas previamente en el panel de actividades.

Si lo preferimos, podemos modificar las actividades auditadas, así como dar un nombre y descripción identificativos. Atención: una vez creada la alerta podemos cambiar su configuración, destinatarios y descripción, pero no su nombre.

Para finalizar, un pequeño truco para administrar las alertas. El menú desde el que se gestionan no es visible desde ningún portal, y solo es accesible desde la url https://protection.office.com/managealerts

Aquí podremos, además de crear nuevas directivas, gestionar las existentes, con unas opciones bastante auto explicativas:

Look and feel

Una vez se produce una coincidencia sobre la acción configurada, se nos envía una notificación por correo electrónico, con los datos mas importantes del evento, para que podamos tomar la acción correctiva precisa en cada caso.

Resumen y cierre

En este articulo hemos navegado por una parte de los portales de seguridad y compliance de Microsoft 365, para conocer y activar sus herramientas de telemetría y auditoría de registros incluídas en la plataforma.

Con la cantidad de datos que generamos es crítico disponer de herramientas que nos permitan incrementar la automatización de la seguridad y del cumplimiento, tanto para aumentar nuestra productividad, como para cerrar gaps que puedan producirse debido al (mal) uso de las herramientas.

La búsqueda de registros de auditoría es una herramienta ideal para dar el primer paso en esta dirección.