Toma el control de tu información en Microsoft 365

Con el advenimiento de las soluciones en la nube cada vez generamos más datos que a su vez compartimos con más personas, pudiendo llegar a ser abrumador llevar el control real de nuestra información.

Hoy queremos hablarte del módulo de auditoría del centro de seguridad de Microsoft 365, la solución que nos permitirá no solo asegurar el cumplimiento normativo de nuestra organización, sino tener pleno control y conocimiento de quién y como accede a nuestros datos

Con este módulo podremos auditar absolutamente todo lo que pasa en nuestro tenant, como por ejemplo:

  • Quién y cuando accede a una determinada información: fichero, informe de BI, aplicación, etc.
  • Si se ha añadido un nuevo usuario invitado a nuestro directorio, y si este ha accedido a algún recurso.
  • Quién ha modificado los permisos o eliminado un contenido determinado.
  • Quién, cuando y como ha creado un nuevo flujo de automatización o aplicación Power App

El centro de seguridad de Microsoft 365, y en concreto su modulo de auditoria, nos dará la tranquilidad de que obtendremos las respuesta necesarias cuando se nos requieran, seamos directores de IT o responsables de gerencia, teniendo además  la posibilidad mediante la creación de alertas de tomar acciones correctivas concretas ante acciones determinadas.

¡Empecemos!

Acceso, activación y conceptos básicos 

La herramienta de búsqueda de registros de auditoría se encuentra a caballo entre dos portales: El centro de seguridad y cumplimiento de Microsoft 365 (en adelante CSC), y el centro de cumplimiento.

El primero acabará desapareciendo, distribuyendo su funcionalidad entre el mencionado centro de cumplimientoy un segundo portal llamado centro de seguridad. Esta funcionalidad está ya disponible en el nuevo centro de cumplimiento , por lo que en este caso nos dirigiremos allí.  

Una vez en el centro de seguridad vamos a Soluciones -> Auditar 

En el primer acceso, nos pedirá activar al registro de actividad, ya que, por defecto, viene desactivado en la plataforma. 

Si realizamos el acceso a través del CSC, el mensaje es ligeramente distinto pero la función la misma:

Una vez activado, el servicio tarda aproximadamente 2 horas en empezar a registrar la actividad de los usuarios (también de los administradores), con una profundidad de retención por defecto de 90 días, a contar desde la activación siendo imposible acceder a registros anteriores. Es posible ampliar la retención por defecto en función de las necesidades pagando únicamente el coste del almacenamiento Azure de la diferencia entre los 90 días y el periodo elegido.

Visión del panel y acciones auditables

Una vez activado, podremos configurar las búsquedas a través del asistente.

Aquí podemos modificar los siguientes campos:

  • Usuarios: Si queremos identificar a uno o varios usuarios com ejecutores de la acción auditada, de lo contrario lo dejaremos en blanco y buscará para todos los usuarios del tenant. En el momento de escribir este post, no es posible buscar por grupos de usuarios.
  • Archivo, carpeta, o sitio: Si la acción es relativa a uno de estos, puede acotarse su url total o parcialmente, apoyados por caracteres comodín, como asterisco.
  • Fecha de inicio y finalización si queremos acotar la búsqueda en un periodo determinado (siempre inferior a 90 días o el periodo configurado en nuestro caso).
  • El más importante: Actividades, donde podemos especificar el tipo de acción que queremos detectar. No las vamos a enumerar, porque son cientos, quedaros con la idea que se puede auditar prácticamente todo lo que se hace en el tenant, desde la lectura de un documento, a la creación de cualquier tipo de configuración recurso o contenido.

Una vez completada la búsqueda, en la parte inferior de la pantalla aparecerán los resultados con la información básica. Si lo deseamos, podemos expórtalos a CSV para analizar la información fuera de línea.

Si pulsamos sobre alguno de los registros, obtendremos información ampliada a todo detalle:

A comentar que a veces puede ser confuso configurar las primeras búsquedas, sea por desconocimiento del tipo de acción a auditar o por cómo funcionan los caracteres comodines y las url.

En este sentido, recomiendo realizar una exportación completa de los eventos durante un periodo más reducido. De esta forma podremos observar como la plataforma los registra, y así nos será más sencillo entender como buscarlos en el futuro.

Creación de alertas

Una opción interesante es la posibilidad de crear una alerta en el registro de búsqueda, para que en caso de que se produzca una determinada actividad, se notifique a ciertas personas, por ejemplo, al equipo de IT para su supervisión (aunque los destinatarios de las alertas pueden ser cualquier usuario).

Un ejemplo de aplicación claro es el de monitorizar la creación de flujos de PowerAutomate y aplicaciones PowerApp en los entornos por defecto de PowerPlatform, en los que, por diseño, no se puede limitar dichas acciones. Con este enfoque, podemos monitorizar a tiempo casi real todo lo que se crea en dichos entornos y tomar acciones correctivas antes de que sea demasiado tarde.

Actualmente la funcionalidad de creación de alertas, solo esta disponible en el antiguo  centro de seguridad y cumplimiento concretamente en el subapartado Buscar à Búsqueda de registros de auditoria

La experiencia de búsqueda es bastante similar a lo visto en el nuevo portal, pero aquí tenemos el botón llamado Nuevo directiva de alertas, que en ser presionado nos va a lanzar el asistente de creación de alertas, con las actividades que tengamos seleccionadas previamente en el panel de actividades.

Si lo preferimos, podemos modificar las actividades auditadas, así como dar un nombre y descripción identificativos. Atención: una vez creada la alerta podemos cambiar su configuración, destinatarios y descripción, pero no su nombre.

Para finalizar, un pequeño truco para administrar las alertas. El menú desde el que se gestionan no es visible desde ningún portal, y solo es accesible desde la url https://protection.office.com/managealerts

Aquí podremos, además de crear nuevas directivas, gestionar las existentes, con unas opciones bastante auto explicativas:

Look and feel

Una vez se produce una coincidencia sobre la acción configurada, se nos envía una notificación por correo electrónico, con los datos mas importantes del evento, para que podamos tomar la acción correctiva precisa en cada caso.

Resumen y cierre

En este articulo hemos navegado por una parte de los portales de seguridad y compliance de Microsoft 365, para conocer y activar sus herramientas de telemetría y auditoría de registros incluídas en la plataforma.

Con la cantidad de datos que generamos es crítico disponer de herramientas que nos permitan incrementar la automatización de la seguridad y del cumplimiento, tanto para aumentar nuestra productividad, como para cerrar gaps que puedan producirse debido al (mal) uso de las herramientas.

La búsqueda de registros de auditoría es una herramienta ideal para dar el primer paso en esta dirección.

Encuentra lo que necesitas con Microsoft Search

Microsoft 365, antes Office 365, no ha dejado de evolucionar y mejorar tanto en nuevos productos como funcionalidades en los ya casi 10 años que lleva entre nosotros.

Sin embargo, uno de los puntos con margen de mejora respecto a otras soluciones de la competencia era disponer de una herramienta de búsqueda centralizada, unificada y efectiva. En su lugar disponíamos de una serie de buscadores centrados en cada una de las aplicaciones, con tecnologías de búsqueda diversas y por lo general no demasiado efectivas.

En el escenario actual de transformación digital, dónde gradualmente tenemos más volumen de información y de diferentes fuentes, no es extraño saber que se estima que los usuarios dedican el 20% de su tiempo simplemente buscando la información que necesitan para hacer su trabajo.

Con el objetivo de cambiar la experiencia de búsqueda empresarial y aumentar la productividad , Microsoft puso sus esfuerzos en adaptar la potencia de búsqueda de su buscador Bing para integrarlo en la plataforma Microsoft 365, lanzando el servicio Microsoft Search que ya se ha desplegado de forma automática en la mayoría de tenants.

Como acceder a Microsoft Search

La forma más sencilla de acceder al buscador es dirigirse al panel principal de office.com. Ahí veremos un nuevo panel de búsqueda en la parte superior de la pantalla:

Desde ese panel podemos localizar cualquier tipo de contenido generado en Office 365 para el que tengamos permiso; equipos o chats de Teams, correo electrónico, sites de Sharepoint, etc.

Sorprende positivamente la efectividad y eficiencia de la búsqueda, siendo posible encontrar información de manera muy sencilla, y comprobando que la búsqueda no se limita al nombre de archivo sino también a su contenido.

 

También podemos buscar información de nuestros compañeros de trabajo, ver sus datos de contacto, últimos archivos en los que han trabajado, a quien reportan, quiénes son sus compañeros de equipo, a que grupos pertenecen, etc.

 

Accediendo a través de Bing

Otra forma de acceder es desde el navegador de internet Bing, iniciando sesión con nuestra cuenta corporativa.

Con esta experiencia, el buscador nos presentará primero, los resultados corporativos que aquí remarcamos en Azul, y a continuación y de forma bien diferenciada los resultados de internet para nuestra búsqueda.

Pulsando sobre el enlace correspondiente, nos ampliará los resultados de la búsqueda corporativa, con una experiencia similar a la obtenida en el panel de Microsoft 365.

Creación de marcadores personalizados

Una de las opciones interesantes de Microsoft Search, es que desde el centro de administración de Microsoft 365, podemos crear marcadores personalizados para que nuestros colaboradores encuentren de forma directa determinado contenido cuando hagan búsquedas a través de ciertas palabras o expresiones.

Por ejemplo, podemos crear un marcador que presente en primer lugar el formulario de petición de ausencias y vacaciones cuando alguien busque “como pedir vacaciones” o “petición de vacaciones”.

 

Conexión de servicios externos

Microsoft Search no se limita a la búsqueda del contenido de Microsoft 365. Si lo deseamos podemos conectar por ejemplo una BBDD de SQL Server, a través de los conectores diseñados específicamente a ese efecto y que interactúan con la plataforma a través de Microsoft Graph API.

Actualmente existen conectores, para Azure Data Lake, SQL Server, Sitios web corporativos, Servidores de Ficheros, entre muchos otros.

La peculiaridad de estas conexiones es que nos dan toda la flexibilidad para personalizar las consultas que se realizaran a dichos servicios y como se presentarán los resultados, pero atención, eso también nos hace responsables de afinar las consultas adecuadamente para que no se produzcan fugas de información.

Resumen

Microsoft Search es una herramienta imprescindible y largamente esperada por todos los usuarios de Microsoft 365. Nos permite encontrar e indexar nuestra información de forma sencilla y sin ningún esfuerzo, ya que se ha desplegado de forma automática para todos los clientes de la plataforma. Además nos da la flexibilidad para añadir fuentes de datos personalizadas, haciendo de Microsoft 365 un producto aún mejor y más completo.