Con las soluciones en la nube cada vez generamos más datos que a su vez compartimos con más personas, pudiendo llegar a ser abrumador llevar el control real de nuestra información. Hoy queremos hablarte del módulo de auditoría del centro de seguridad en Microsoft 365, la solución que nos permitirá no solo asegurar el cumplimiento normativo de nuestra organización, sino tener pleno control y conocimiento de quién y como accede a nuestros datos
Con este módulo de seguridad en Microsoft 365 podremos auditar absolutamente todo lo que pasa en nuestro tenant, como por ejemplo:
El centro de seguridad de Microsoft 365, y en concreto su modulo de auditoria, nos dará la tranquilidad de que obtendremos las respuesta necesarias cuando se nos requieran, seamos directores de IT o responsables de gerencia, teniendo además la posibilidad mediante la creación de alertas de tomar acciones correctivas concretas ante acciones determinadas.
¡Empecemos!
La herramienta de búsqueda de registros de auditoría se encuentra a caballo entre dos portales: El centro de seguridad y cumplimiento de Microsoft 365 (en adelante CSC), y el centro de cumplimiento.
El primero acabará desapareciendo, distribuyendo su funcionalidad entre el mencionado centro de cumplimiento, y un segundo portal llamado centro de seguridad. Esta funcionalidad está ya disponible en el nuevo centro de cumplimiento , por lo que en este caso nos dirigiremos allí.
Una vez en el centro de seguridad vamos a Soluciones -> Auditar
En el primer acceso, nos pedirá activar al registro de actividad, ya que, por defecto, viene desactivado en la plataforma.
Si realizamos el acceso a través del CSC, el mensaje es ligeramente distinto pero la función la misma:
Una vez activado, el servicio tarda aproximadamente 2 horas en empezar a registrar la actividad de los usuarios (también de los administradores), con una profundidad de retención por defecto de 90 días, a contar desde la activación siendo imposible acceder a registros anteriores. Es posible ampliar la retención por defecto en función de las necesidades pagando únicamente el coste del almacenamiento Azure de la diferencia entre los 90 días y el periodo elegido.
Una vez activado, podremos configurar las búsquedas a través del asistente.
Aquí podemos modificar los siguientes campos:
Una vez completada la búsqueda, en la parte inferior de la pantalla aparecerán los resultados con la información básica. Si lo deseamos, podemos expórtalos a CSV para analizar la información fuera de línea.
Si pulsamos sobre alguno de los registros, obtendremos información ampliada a todo detalle:
A comentar que a veces puede ser confuso configurar las primeras búsquedas, sea por desconocimiento del tipo de acción a auditar o por cómo funcionan los caracteres comodines y las url.
En este sentido, recomiendo realizar una exportación completa de los eventos durante un periodo más reducido. De esta forma podremos observar como la plataforma los registra, y así nos será más sencillo entender como buscarlos en el futuro.
Una opción interesante es la posibilidad de crear una alerta en el registro de búsqueda, para que en caso de que se produzca una determinada actividad, se notifique a ciertas personas, por ejemplo, al equipo de IT para su supervisión (aunque los destinatarios de las alertas pueden ser cualquier usuario).
Un ejemplo de aplicación claro es el de monitorizar la creación de flujos de Power Automate y aplicaciones Power App en los entornos por defecto de Power Platform, en los que, por diseño, no se puede limitar dichas acciones. Con este enfoque, podemos monitorizar a tiempo casi real todo lo que se crea en dichos entornos y tomar acciones correctivas antes de que sea demasiado tarde.
Actualmente la funcionalidad de creación de alertas, solo esta disponible en el antiguo centro de seguridad y cumplimiento concretamente en el subapartado Buscar > Búsqueda de registros de auditoria
La experiencia de búsqueda es bastante similar a lo visto en el nuevo portal, pero aquí tenemos el botón llamado Nuevo directiva de alertas, que en ser presionado nos va a lanzar el asistente de creación de alertas, con las actividades que tengamos seleccionadas previamente en el panel de actividades.
Si lo preferimos, podemos modificar las actividades auditadas, así como dar un nombre y descripción identificativos. Atención: una vez creada la alerta podemos cambiar su configuración, destinatarios y descripción, pero no su nombre.
Para finalizar, un pequeño truco para administrar las alertas. El menú desde el que se gestionan no es visible desde ningún portal, y solo es accesible desde la url https://protection.office.com/managealerts
Aquí podremos, además de crear nuevas directivas, gestionar las existentes, con unas opciones bastante auto explicativas:
Una vez se produce una coincidencia sobre la acción configurada, se nos envía una notificación por correo electrónico, con los datos mas importantes del evento, para que podamos tomar la acción correctiva precisa en cada caso.
En este articulo hemos navegado por una parte de los portales de seguridad y compliance de Microsoft 365, para conocer y activar sus herramientas de telemetría y auditoría de registros incluidas en la plataforma.
Con la cantidad de datos que generamos es crítico disponer de herramientas que nos permitan incrementar la automatización de la seguridad y del cumplimiento, tanto para aumentar nuestra productividad, como para cerrar gaps que puedan producirse debido al (mal) uso de las herramientas.
La búsqueda de registros de auditoría es una herramienta ideal para dar el primer paso en esta dirección.