Introducción a las soluciones de auditoría
Auditoría de Microsoft Purview (Estándar) y Auditoría (Premium) le permiten buscar registros de auditoría para las actividades realizadas en los distintos servicios de Microsoft 365 por parte de usuarios y administradores. Dado que Audit (Estándar) está habilitado de forma predeterminada para la mayoría de las organizaciones de Microsoft 365, solo hay algunas cosas que debe hacer antes que usted y otras de su organización pueden buscar en el registro de auditoría. Hay algunos pasos de configuración más que deberá completar para usar las características solo disponibles en Auditoría (Premium).
Para obtener más información sobre las funcionalidades auditoría (estándar) y auditoría (Premium), consulte Soluciones de auditoría de Microsoft Purview.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Paso 1: comprobar la suscripción de la organización y las licencias de usuario
Las licencias para auditoría (estándar) y auditoría (Premium) requieren la suscripción de organización adecuada que proporciona acceso a la herramienta de búsqueda de registros de auditoría y licencias por usuario necesarias para registrar y conservar registros de auditoría.
Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización. En Auditoría (estándar) y Auditoría (Premium), los registros de auditoría se conservan y se pueden buscar en el registro de auditoría durante 180 días.
Importante
El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.
Para obtener una lista de los requisitos de suscripción y licencia para estas soluciones de auditoría, consulte los requisitos de suscripción de Auditoría (Estándar) y Auditoría (Premium).
Paso 2: asignar permisos para buscar en el registro de auditoría
A los administradores y miembros de los equipos de investigación se les debe asignar el rol Ver solo registros de auditoría o Registros de auditoría en el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview para buscar o exportar el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles Lector de auditoría y Administrador de auditoría en la página Grupos de roles del portal de Microsoft Purview y la página Permisos del portal de cumplimiento.
Nota:
Actualmente, el acceso para habilitar o deshabilitar la auditoría y el acceso a los cmdlets de auditoría requieren permisos del Centro de administración de Exchange. Use los roles Registros de auditoría y Registros de auditoría de solo vista existentes en el Centro de administración de Exchange para conceder acceso a los cmdlets de auditoría. Use el rol Registros de auditoría existente en el Centro de administración de Exchange para conceder acceso para habilitar o deshabilitar la auditoría.
También puede crear grupos de roles personalizados con la capacidad de buscar en el registro de auditoría agregando los roles Registros de auditoría de solo vista o Registros de auditoría a un grupo de roles personalizado. Para obtener más información vea Permisos en el portal de cumplimiento de Microsoft Purview.
Asignación de permisos a registros de auditoría de ámbito
Para buscar o exportar el registro de auditoría, los administradores o miembros de los equipos de investigación deben estar asignados a al menos uno de los siguientes grupos de roles relacionados con la auditoría en el portal de Microsoft Purview o en el portal de cumplimiento:
- Administrador de auditoría: un usuario asignado al grupo de roles administrador de auditoría puede buscar y exportar el registro de auditoría y administrar la configuración de auditoría para el inquilino (por ejemplo, habilitar o deshabilitar el registro de auditoría). Este grupo de roles concede al usuario los roles Registros de auditoría de solo vista y Registros de auditoría .
- Lector de auditoría: un usuario asignado al grupo de roles Lector de auditoría solo puede buscar y exportar el registro de auditoría. No pueden habilitar ni deshabilitar el registro de auditoría. Este grupo de roles concede al usuario el rol Registros de auditoría de solo vista.
Paso 3: Configurar auditoría (Premium) para los usuarios
Sugerencia
Las organizaciones que usan Auditoría (estándar) pueden omitir este paso.
Las características de auditoría (Premium), como la capacidad de registrar información inteligente como MailItemsAccessed y Send , requieren una licencia E5 adecuada asignada a los usuarios. Además, se debe habilitar la aplicación o el plan de servicio de Auditoría avanzada para estos usuarios.
Para comprobar que la aplicación Auditoría avanzada está asignada a los usuarios, complete los pasos siguientes para cada usuario:
En el Centro de administración de Microsoft 365, vaya a Usuarios>usuarios activos y seleccione un usuario.
En la página flotante propiedades de usuario, seleccione Licencias y aplicaciones.
En la sección Licencias , compruebe que al usuario se le asigna una licencia E5 o que se le asigna una licencia de complemento adecuada. Para obtener una lista de licencias que admiten Audit (Premium), consulte Requisitos de licencias de auditoría.
Expanda la sección Aplicaciones y compruebe que está seleccionada la casilla de verificación de Auditoría avanzada de Microsoft 365.
Si la casilla no está seleccionada, selecciónela y, a continuación, seleccione Guardar cambios.
El registro de registros de auditoría para MailItemsAccessed y Send comienza en un plazo de 24 horas. Debe realizar el paso 2 para iniciar el registro de otros dos eventos de auditoría (Premium): SearchQueryInitiatedExchange y SearchQueryInitiatedSharePoint.
Además, si ha personalizado las acciones de buzón que han iniciado sesión en buzones de usuario o buzones compartidos, los nuevos eventos de auditoría (Premium) publicados por Microsoft no se auditarán automáticamente en esos buzones. Para información sobre cómo cambiar las acciones de buzón de correo que se auditan para cada tipo de inicio de sesión, consulte la sección "Cambiar o restaurar acciones de buzón registradas de forma predeterminada" en Administrar la auditoría de buzón.
Paso 4: Habilitar eventos de auditoría (Premium)
Sugerencia
Las organizaciones que usan Auditoría (estándar) pueden omitir este paso.
Debe habilitar dos eventos Audit (Premium) (SearchQueryInitiatedExchange y SearchQueryInitiatedSharePoint) para que se registren cuando los usuarios realicen búsquedas en Exchange Online y SharePoint Online.
Para permitir que estos dos eventos se auditan para los usuarios, ejecute el siguiente comando (para cada usuario) en Exchange Online PowerShell:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
En un entorno multigeográfico, debe ejecutar el comando anterior Set-Mailbox en el bosque de dominio en el que se encuentra el buzón del usuario. Para identificar la ubicación del buzón del usuario, ejecute el siguiente comando:
Get-Mailbox <user identity> | FL MailboxLocations
Si el comando para habilitar la auditoría de consultas de búsqueda se ejecutó anteriormente en un bosque distinto del que se encuentra en el buzón del usuario, debe quitar el valor SearchQueryInitiated del buzón del usuario ejecutándolo Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} y, a continuación, agregarlo al buzón del usuario en el bosque donde se encuentra el buzón del usuario.
Paso 5: Configurar directivas de retención de auditoría en Auditoría (Premium)
Sugerencia
Las organizaciones que usan Auditoría (estándar) pueden omitir este paso.
Además de la directiva predeterminada que conserva Microsoft Entra ID, Exchange, OneDrive y registros de auditoría de SharePoint durante un año, las organizaciones que usan Audit (Premium) pueden crear directivas de retención de registros de auditoría para cumplir los requisitos de las operaciones de seguridad, TI y equipos de cumplimiento de su organización.
Para obtener más información, vea administrar directivas de retención de los registros de auditoría.
Paso 6: Búsqueda para eventos auditados
Ahora que tiene auditada (estándar) o auditoría (Premium) configurada para su organización, está listo para buscar el registro de auditoría en el portal de cumplimiento Microsoft Purview. Para obtener instrucciones detalladas, consulte Búsqueda el registro de auditoría.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de