Uso del registro de auditoría para identificar las actividades de reglas de bandeja de entrada de Exchange

En este artículo se explica cómo determinar si un usuario creó, modificó o quitó una regla de transporte en Exchange Online. Las reglas de transporte, también conocidas como reglas de flujo de correo, pueden afectar significativamente a la entrega y el procesamiento de correo electrónico, por lo que comprender su origen es importante para las investigaciones de seguridad y cumplimiento.

Antes de empezar

Antes de empezar, asegúrese de que tiene la siguiente información:

• Dirección de correo electrónico del remitente o destinatario al que se dirige la regla de transporte.
• Tipo de licencia asignado al usuario afectado.
• Fecha y hora exactas en que se produjo el cambio de regla de transporte.
• Fecha y hora en que se ejecutó la búsqueda de auditoría. Si realiza la búsqueda poco después de la actualización de la regla de transporte, es posible que los registros aún no reflejen el cambio.
• Un seguimiento extendido de mensajes (EMT) del centro de administración de Exchange Online para los correos electrónicos de ejemplo enviados antes y después de que cambie la regla de transporte.

Debe iniciar sesión en Exchange Online portal de PowerShell y Microsoft Purview para completar estos pasos.

Comprobación del estado de auditoría del buzón

Nota:

Antes de buscar la actividad de auditoría, compruebe que la auditoría de buzones está habilitada para el usuario afectado.

Complete los pasos siguientes para confirmar que la auditoría de buzones está habilitada:

1. En Exchange Online PowerShell, ejecute el siguiente comando para comprobar la configuración de auditoría de nivel de organización:

   Get-AdminAuditLogConfig | FL UnifiedAudit*
   

   Nota:

   Ejecute este comando en Exchange Online PowerShell. En Security & Compliance PowerShell, la UnifiedAuditLogIngestionEnabled propiedad siempre devuelve False, incluso cuando la auditoría está habilitada.

2. Compruebe si los registros de auditoría de buzones están deshabilitados en el nivel de inquilino:

   Get-OrganizationConfig | FL AuditDisabled
   

3. En el nivel de buzón, AuditEnabled siempre devuelve True, incluso si la auditoría está deshabilitada para un buzón específico. Para comprobarlo, use:

   Get-Mailbox -Filter {AuditEnabled -eq "True"}
   

Si recibe un error que indica que no se encuentra el buzón de correo, la auditoría se deshabilita para ese buzón. Para obtener más información, consulte Comprobación del estado de auditoría de su organización.

Comprobación de permisos de administrador

Asegúrese de que tiene los permisos necesarios para buscar o exportar registros de auditoría:

1. En el portal de Microsoft Purview, vaya a Configuración>Roles y ámbitos>Grupos de roles.
2. Compruebe que la cuenta está asignada al rol Registros de auditoría de solo vista o Registros de auditoría .
3. En el Centro de administración de Exchange, use el rol Registros de auditoría para habilitar o deshabilitar los cmdlets de auditoría y acceso. Use el rol Registros de auditoría de solo vista para conceder acceso de solo lectura a los registros de auditoría.

Para obtener más información, consulte Asignación de permisos para buscar en el registro de auditoría.

Comprobación de las directivas de retención de registros de auditoría

Las directivas de retención de registros de auditoría determinan si las actividades anteriores siguen estando disponibles:

1. Determine cuándo se produjo la actividad.
2. De forma predeterminada, los registros de auditoría se conservan durante 180 días.
3. Si el usuario afectado no tiene una licencia de auditoría (Premium) y no se configura ninguna directiva de retención de auditoría, los registros de auditoría anteriores a 180 días no estarán disponibles.

Para obtener más información, consulte Get-UnifiedAuditLogRetentionPolicy.

Búsqueda de cambios en la regla de transporte

Al buscar en Auditoría de Microsoft Purview, use filtros para restringir los resultados.

Filtros de auditoría recomendados:

• Intervalo de fecha y hora (UTC): especifique el intervalo exacto cuando se produjo la actividad. Las marcas de tiempo de auditoría siempre están en UTC.

• Actividades: nombres de operación:

  • New-TransportRule: se ha registrado al crear una nueva regla de transporte.
  • Set-TransportRule: se registra al modificar una regla de transporte existente.
  • Disable-TransportRule: se registra cuando se deshabilita una regla de transporte.
  • Enable-TransportRule: registrado al habilitar una regla de transporte.
  • Remove-TransportRule: se registra cuando se quita una regla de transporte.

• Usuario: escriba la dirección de correo electrónico de la persona que realizó la operación. Este campo es opcional si la identidad del usuario es desconocida.

Al aplicar estos filtros, puede identificar si se ha creado, modificado, habilitado, deshabilitado o quitado una regla de transporte y quién la ha quitado.

Pasos siguientes

• Identificar quién modificó las reglas de buzón: investigue los cambios de regla específicos y determine quién creó, modificó o eliminó las reglas de buzón.
• Use MailItemsAccessed para investigar cuentas en peligro: investigue si los cambios de regla sospechosos están vinculados a una cuenta en peligro.
• Exportar, configurar y ver registros de auditoría: exporte los resultados de la actividad de la regla para la recopilación de pruebas o la revisión de cumplimiento.