Soluciones de auditoría en Microsoft Purview

  • Artículo

Las soluciones de auditoría de Microsoft Purview proporcionan una solución integrada para ayudar a las organizaciones a responder eficazmente a eventos de seguridad, investigaciones forenses, investigaciones internas y obligaciones de cumplimiento. Miles de operaciones de usuarios y administradores que se realizan en docenas de servicios y soluciones de Microsoft 365 se capturan, graban y retienen en el registro de auditoría unificado de su organización. Los registros de auditoría de estos eventos pueden ser objeto de búsqueda por las operaciones de seguridad, los administradores de TI, los equipos de riesgos de Insider, así como por los investigadores del cumplimiento y la legislación legal de la organización. Esta funcionalidad permite ver las actividades que se realizan en toda la organización de Microsoft 365.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Auditoría (estándar)

Auditoría de Microsoft Purview (Estándar) le proporciona la capacidad de registrar y buscar actividades auditadas y potenciar sus investigaciones forenses, de TI, de cumplimiento y legales.

  • Habilitado de forma predeterminada. Auditoría (Estándar) está activada de forma predeterminada para todas las organizaciones con la suscripción adecuada. Esto significa que los registros de las actividades auditadas se capturan y se pueden buscar. La única configuración necesaria es asignar los permisos necesarios para acceder a la herramienta de búsqueda de registros de auditoría (y el cmdlet correspondiente) y asegurarse de que a los usuarios se les asigna la licencia adecuada para las características de Auditoría de Microsoft Purview (Premium).

  • Miles de eventos de auditoría que se pueden buscar. Puede buscar una amplia gama de actividades auditadas que se producen en la mayoría de los servicios de Microsoft 365 de la organización. Para obtener una lista de las actividades que puede buscar, consulte Auditar actividades de registro. Para obtener una lista de los servicios y características compatibles con actividades auditadas, vea Tipos de registros de auditoría.

  • Herramienta de búsqueda de Auditoría en el portal de cumplimiento de Microsoft Purview. Use la herramienta de búsqueda de registros de Auditoría en el portal de cumplimiento para buscar registros de auditoría. Puede buscar actividades específicas, actividades realizadas por usuarios específicos y actividades realizadas en un intervalo de fechas.

  • cmdlet Search-UnifiedAuditLog. También puede usar el cmdlet Search-UnifiedAudtLog en PowerShell de Exchange Online (el cmdlet subyacente de la herramienta de búsqueda) para buscar eventos de auditoría o para usarlo en un script. Para más información vea:

  • Exportar registros de auditoría a un archivo CSV. Después de ejecutar la herramienta de búsqueda de registros de auditoría del Portal de cumplimiento, puede exportar los registros de auditoría encontrados a un archivo CSV. Esto le permite usar Microsoft Excel para ordenar y filtrar según diferentes propiedades de los registro de auditoría. También puede usar la funcionalidad de transformación de Power Query de Excel para dividir cada propiedad del objeto JSON de AuditData en su propia columna. Esto le permite ver y comparar eficazmente datos similares de diferentes eventos. Para más información, consulteExportar, configurar y ver registros de auditoría.

  • Acceso a registros de auditoría a través de la API de Actividad de administración de Office 365. Un tercer método para obtener acceso y encontrar registros de auditoría es usar la API de Actividad de administración de Office 365. Esto permite a las organizaciones conservar los datos de auditoría durante períodos más largos que los 180 días predeterminados y les permite importar sus datos de auditoría a una solución SIEM. Para obtener más información, consulte la referencia de la API de Actividad de administración de Office 365.

  • Retención de registros de auditoría de 180 días. Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización. En Auditoría (estándar), los registros se conservan durante 180 días, lo que significa que puede buscar actividades que se produjeron en los últimos seis meses.

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

Auditoría (Premium)

Importante

A partir del 30 de noviembre de 2023, La búsqueda clásica se retirará en lugar de Nueva búsqueda. La nueva búsqueda incluye mejoras como tiempos de búsqueda más rápidos, opciones de búsqueda adicionales, capacidad de guardar búsquedas y mucho más.

La auditoría (Premium) se basa en las funcionalidades de Auditoría (estándar) al proporcionar directivas de retención de registros de auditoría, una retención más larga de registros de auditoría, información inteligente de alto valor y un mayor acceso de ancho de banda a la API de actividad de administración de Office 365.

  • Directivas de retención de registros de auditoría. Puede crear directivas de retención de registros de auditoría personalizadas para conservar los registros de auditoría durante períodos de tiempo de hasta un año (y hasta 10 años para los usuarios con la licencia de complemento necesaria). Puede crear una directiva para conservar los registros de auditoría según el servicio donde se producen las actividades auditadas, según actividades auditadas específicas o en función el usuario que realiza una actividad auditada.
  • Retención prolongada de registros de auditoría. Microsoft Entra registros de auditoría de ID, Exchange, OneDrive y SharePoint se conservan durante un año de forma predeterminada. Los registros de auditoría de todas las demás actividades se conservan durante 180 días de forma predeterminada, o puede usar directivas de retención de registros de auditoría para configurar períodos de retención más largos.
  • Información inteligente de auditoría (Premium). Los registros de auditoría para información inteligente pueden ayudar a su organización a realizar investigaciones forenses y de cumplimiento proporcionando visibilidad a eventos como cuándo se accedió a los elementos de correo, o cuándo se respondieron y reenviaron los elementos de correo, o cuándo y qué ha buscado un usuario en Exchange Online y SharePoint Online. Estas conclusiones inteligentes pueden ayudarle a investigar posibles infracciones y determinar el ámbito de riesgo.
  • Mayor ancho de banda para la API de Actividad de administración de Office 365 Auditoría (Premium) proporciona a las organizaciones más ancho de banda para acceder a los registros de auditoría a través de la API de actividad de administración de Office 365. Aunque a todas las organizaciones, que tienen Auditoría (Estándar) o Auditoría (Premium), se les asigna inicialmente una línea base de 2 000 solicitudes por minuto, este límite aumentará dinámicamente según el número de puestos de una organización y su suscripción de licencia. Esto hace que las organizaciones con Auditoría (Premium) obtengan aproximadamente el doble de ancho de banda que las organizaciones con Auditoría (Estándar).

Para obtener información más detallada sobre las características de Auditoría (Premium), vea Auditoría (Premium) en Microsoft 365.

Comparación de funcionalidades clave

En la tabla siguiente se comparan las funcionalidades clave disponibles en Auditoría (Estándar) y Auditoría (Premium). Toda la funcionalidad de Auditoría (estándar) se incluye en Auditoría (Premium).

Funcionalidad Auditoría (estándar) Auditoría (Premium)
Habilitado de forma predeterminada Apoyado. Apoyado.
Miles de eventos de auditoría que se pueden buscar Apoyado. Se admite.
Herramienta de búsqueda de Auditoría en el portal de cumplimiento Se admite. Apoyado.
Cmdlet Search-UnifiedAuditLog Apoyado. Apoyado.
Exportar registros de auditoría a un archivo CSV Apoyado. Apoyado.
Acceso a registros de auditoría a través de la API de Actividad de administración de Office 365 1 Apoyado. Apoyado.
Retención de registros de auditoría de 180 días Apoyado. Apoyado.
Retención de 1 año de registros de auditoría Apoyado.
Retención de 10 años de registros de auditoría 2 Compatible
Directivas de retención de los registros de auditoría Compatible
Información inteligente Apoyado

Nota:

1 Auditoría (Premium) incluye un mayor acceso de ancho de banda a la API de actividad de administración de Office 365, lo que proporciona un acceso más rápido a los datos de auditoría.
2 Además de las licencias necesarias para Audit (Premium) (que se describen en la sección siguiente), se debe asignar a un usuario una licencia complementaria de retención de registros de auditoría de 10 años para conservar sus registros de auditoría durante 10 años.

Servicios de Microsoft 365 que admiten la auditoría

Puede buscar en el registro de auditoría unificado las actividades realizadas en distintos servicios de Microsoft 365. En la tabla siguiente se enumeran los servicios, aplicaciones y características de Microsoft 365 compatibles con el registro de auditoría unificado.

Servicio o característica de Microsoft 365 Tipos de registro
Microsoft Entra ID AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon
Azure Information Protection AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat
Cumplimiento de comunicaciones ComplianceSupervisionExchange
Explorador de contenido LabelContentExplorer
Conectores de datos ComplianceConnector
Prevención de pérdida de datos (DLP) ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint
Dynamics 365 CRM
eDiscovery (Estándar + Premium) Detección, AeD
Portal de mensajes cifrados OMEPortal
Coincidencia exacta de datos MipExactDataMatch
Exchange Online ExchangeAdmin, ExchangeItem, ExchangeItemAggregated
Formularios MicrosoftForms
Barreras de información InformationBarrierPolicyApplication
Microsoft 365 Defender AirActionigation, AirManualContextigation, AirAdminActionActionActionIgation, MS365DCustomDetection
Microsoft Copilot para Microsoft 365 CopilotInteraction
Expertos en Microsoft Defender DefenderExpertsforXDRAdmin
Microsoft Defender for Identity (MDI) MicrosoftDefenderForIdentityAudit
Microsoft Planner PlannerCopyPlan, PlannerPlan, PlannerPlanList, PlannerRoster, PlannerRosterSensitivityLabel, PlannerTask, PlannerTaskList, PlannerTenantSettings
Microsoft Project para la web ProjectAccessed, ProjectCreated, ProjectDeleted, ProjectTenantSettingsUpdated, ProjectUpdated, RoadmapAccessed,RoadmapCreated, RoadmapDeleted, RoadmapItemAccessed,RoadmapItemCreated,RoadmapItemDeleted, RoadmapItemUpdated, RoadmapTenantSettingsUpdated, RoadmapUpdated, TaskAccessed, TaskCreated,TaskDeleted, TaskUpdated
etiquetas de Microsoft Purview Information Protection (MIP) MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation
Microsoft Teams MicrosoftTeams
Microsoft To Do MicrosoftToDo, MicrosoftToDoAudit
MyAnalytics MyAnalyticsSettings
OneDrive para la Empresa OneDrive
Power Apps PowerAppsApp, PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
Cuarentena Cuarentena
Tipos de información confidencial DlpSensitiveInformationType
Etiquetas de confidencialidad MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch
SharePoint Online SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation
Stream MicrosoftStream
SystemSync DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData
Inteligencia sobre amenazas ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent
Viva Goals VivaGoals
Viva Insights VivaInsights
Yammer Yammer

Para obtener más información sobre las operaciones auditadas en cada uno de los servicios enumerados en la tabla anterior, consulte el artículo Audit log activities (Actividades de registro de auditoría ).

La tabla anterior también identifica el valor de tipo de registro que se usará para buscar actividades en el registro de auditoría en el servicio correspondiente mediante el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell o mediante un script de PowerShell. Algunos servicios tienen varios tipos de registro para diferentes tipos de actividades dentro del mismo servicio. Para una lista más completa de los tipos de registros de auditoría, vea elEsquema de la API de Actividad de administración de Office 365.

Para más información sobre el uso de PowerShell para buscar en el registro de auditoría, vea:

Requisitos de licencias

Antes de empezar, revise los requisitos de suscripción de Auditoría (Estándar) y Auditoría (Premium).

Configuración de soluciones de Auditoría de Microsoft Purview

Para empezar a usar las soluciones de Auditoría de Microsoft Purview, consulte las siguientes instrucciones de configuración.

Configurar Auditoría (estándar)

El primer paso es configurar Auditoría (Estándar) y, a continuación, iniciar la ejecución de búsquedas de registros de auditoría.

Flujo de trabajo para configurar Auditoría (Estándar).

  1. Compruebe que su organización tiene una suscripción que admita Auditoría (Estándar) y, si procede, una suscripción que admita Auditoría (Premium).

  2. Asigne permisos en Exchange Online a las personas de su organización que usen la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento o usen el cmdlet Search-UnifiedAuditLog. En concreto, los usuarios deben tener asignados los grupos de roles Administrador de auditoría o Lector de auditoría en el portal de cumplimiento (versión preliminar) o los roles Registros de auditoría de solo vista o Registros de auditoría en Exchange Online.

  3. Búsquedas en el registro de auditoría. Después de completar los pasos 1 y 2 los usuarios de la organización pueden usar la herramienta de búsqueda de registros de auditoría (o el cmdlet correspondiente) para buscar actividades auditadas.

Para obtener instrucciones más detalladas, vea Configurar Auditoría (Estándar).

Configurar Auditoría (Premium)

Si su organización tiene una suscripción que admite Auditoría (Premium), realice los pasos siguientes para configurar y usar las funcionalidades adicionales de Auditoría (Premium).

Flujo de trabajo para configurar Auditoría (Premium).

  1. Configurar Auditoría (Premium) para los usuarios. Este paso consta de las siguientes tareas:

    • Comprobando que a los usuarios se les asigna la licencia o la licencia de complemento adecuada para Auditoría (Premium).
    • La activación del plan de servicio o aplicación de Auditoría (Premium) debe ser para esos usuarios.
    • Habilitar la auditoría de información inteligente y, a continuación, activar el plan de servicio o aplicación de auditoría (Premium) para esos usuarios.

  2. Habilite los eventos de Auditoría (Premium) para que se registren cuando los usuarios realicen búsquedas en Exchange Online y SharePoint Online.

  3. Configurar las directivas de retención de registros de auditoría. Además de la directiva predeterminada que conserva exchange, SharePoint y Microsoft Entra registros de auditoría durante un año, puede crear directivas de retención de registros de auditoría adicionales para cumplir los requisitos de las operaciones de seguridad, TI y equipos de cumplimiento de su organización.

  4. Busque eventos de auditoría (Premium) cruciales y otras actividades al realizar investigaciones forenses. Después de completar los pasos 1 y 2, puede buscar en el registro de auditoría eventos de auditoría (Premium) y otras actividades durante las investigaciones forenses de cuentas en peligro y otros tipos de investigaciones de seguridad o cumplimiento.

Para obtener instrucciones más detalladas, vea Configurar Auditoría (Premium).

Formación

Entrenar al equipo de operaciones de seguridad, a los administradores de TI y al equipo de investigadores de cumplimiento en los aspectos básicos de Auditoría (estándar) y Auditoría (Premium) puede ayudar a su organización a empezar a usar la auditoría más rápidamente para ayudar con sus investigaciones. Microsoft Purview proporciona el siguiente recurso para ayudar a estos usuarios de su organización a iniciarse en las auditorías: describir las capacidades de eDiscovery y auditoría de Microsoft Purview.