Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Administración de inquilinos de consumo: administrador de cumplimiento/ administrador de seguridad/ lector de auditoría
Revise la actividad de auditoría de SharePoint Embedded en la auditoría de Microsoft Purview al investigar la actividad de usuario, administrador, archivo o contenedor.
Las funcionalidades de auditoría de SharePoint Embedded reflejan las funcionalidades de auditoría de SharePoint existentes y las operaciones de usuario y administración realizadas en aplicaciones de SharePoint Embedded se capturan en el registro de auditoría unificado de la organización.
Importante
Use la auditoría de Microsoft Purview como superficie de investigación autoritativa para los registros de auditoría. Use identificadores de contenedor y aplicación de SharePoint Embedded para restringir los resultados al contenido incrustado.
Antes de empezar
Confirme estos requisitos previos.
- La auditoría está disponible para su organización de Microsoft 365.
- Puede acceder a la auditoría de Microsoft Purview con los permisos de cumplimiento necesarios.
- Conoce el intervalo de fechas de la investigación.
- Conoce la aplicación, el contenedor, el usuario o el archivo de SharePoint Embedded implicados.
- Puede obtener los detalles del contenedor desde el Centro de administración de SharePoint o PowerShell cuando sea necesario.
Para ver las funcionalidades de cumplimiento de SharePoint Embedded admitidas, consulte Seguridad y cumplimiento.
Descripción de la cobertura de auditoría de SharePoint Embedded
Las funcionalidades de auditoría de SharePoint Embedded reflejan las funcionalidades de auditoría existentes de SharePoint.
Las operaciones de usuario y administración realizadas en aplicaciones hospedadas en SharePoint Embedded se capturan, registran y conservan en el registro de auditoría unificado.
La auditoría puede ayudar a responder preguntas como:
- ¿Quién ha accedido a un archivo?
- ¿Quién modificó el contenido?
- ¿Quién eliminó o restauró el contenido?
- ¿Qué administrador ha cambiado la configuración del contenedor?
- ¿Qué contenedor participó en un evento?
- ¿Qué tipo de contenedor participó en un evento?
La retención y la disponibilidad dependen de la configuración y las licencias de auditoría de Microsoft Purview.
Para obtener detalles de la plataforma de auditoría, consulte Auditoría de soluciones en Microsoft Purview.
Identificar campos incrustados de SharePoint
Además de las propiedades de archivo de SharePoint existentes, los eventos de auditoría de SharePoint Embedded incluyen datos adicionales que ayudan a aislar el contenido de SharePoint Embedded.
Los eventos de auditoría de SharePoint Embedded incluyen estos campos:
| Campo | Úselo para |
|---|---|
ContainerInstanceId |
Identifique la instancia de contenedor específica de SharePoint Embedded implicada en el evento. |
ContainerTypeId |
Identifique el tipo de contenedor de SharePoint Embedded implicado en el evento. |
Use estos campos con el contexto de aplicación y usuario para limitar una investigación.
Si un conjunto de resultados incluye actividad regular de SharePoint y SharePoint Embedded, filtre o inspeccione estos campos para aislar el contenido incrustado.
Actividades de auditoría de SharePoint Embedded
Para ver todas las actividades de registro de auditoría de SharePoint Embedded, consulte Eventos de auditoría.
Los eventos de tipo contenedor incluyen la ContainerTypeId propiedad . A diferencia de los eventos de archivo de nivel de contenedor, no incluyen ContainerInstanceId porque se aplican en el nivel de tipo, no a una instancia de contenedor individual.
Puede buscar estos eventos con el Search-UnifiedAuditLog cmdlet . Por ejemplo:
Search-UnifiedAuditLog -Operations ContainerTypeCreated,ContainerTypeDeleted,ContainerTypeUpdated,ContainerTypeOwnersUpdated -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)
Obtención del contexto del contenedor
Antes de buscar en la auditoría, recopile el contexto que tiene.
- Identifique el nombre de la aplicación de SharePoint Embedded.
- Identifique el identificador de la aplicación propietaria cuando esté disponible.
- Identifique el nombre del contenedor o el identificador de contenedor.
- Identifique la dirección URL del sitio de contenedor cuando esté disponible.
- Identifique los usuarios, grupos o identidades de aplicación implicados.
- Identifique el período de tiempo.
- Identifique la operación sospechosa, como leer, actualizar, eliminar, restaurar, compartir o cambiar la etiqueta.
Use Administrar contenedores en el Centro de administración de SharePoint para inspeccionar los detalles del contenedor.
Use Administrar contenedores con PowerShell para recuperar identificadores de contenedor y direcciones URL para investigaciones repetibles.
Búsqueda en la auditoría de Microsoft Purview
Use la auditoría de Microsoft Purview para buscar actividad.
- Abra el portal de Microsoft Purview.
- Vaya a la solución de auditoría.
- Elija el intervalo de fecha y hora.
- Agregue usuarios o identidades de aplicación cuando se conozcan.
- Agregue actividades que coincidan con la investigación.
- Busque actividades relacionadas con SharePoint al investigar el contenido de archivos y contenedores.
- Use actividades de tipo de contenedor incrustado de SharePoint o actividades de registro de tipo de contenedor incrustado de SharePoint cuando sepa que la investigación trata sobre la configuración de la aplicación o la administración de tipos de contenedor.
- Ejecute la búsqueda.
- Abra los resultados pertinentes.
- Inspeccione los detalles del evento para ver los campos incrustados de SharePoint, como
ContainerInstanceIdyContainerTypeId.
Use los filtros más restrictivos que todavía capturan el incidente.
A continuación, amplíe la búsqueda si los resultados están incompletos.
Sugerencia
Comience con un intervalo de tiempo reducido y usuarios conocidos. Expanda a identificadores de contenedor o a una actividad de SharePoint más amplia si la primera búsqueda no devuelve suficiente contexto.
Interpretación de los detalles del evento
Al revisar un evento, capture los campos necesarios para el registro de investigación.
| Detalles del evento | ¿Por qué es importante? |
|---|---|
| Operación o actividad | Describe lo que sucedió. |
| Usuario o actor | Identifica quién realizó la acción. |
| Timestamp | Places el evento en la escala de tiempo de la investigación. |
| Ruta de acceso de objeto o archivo | Identifica el elemento afectado. |
| Dirección URL del sitio o contenedor | Ayuda a asignar el elemento a un contenedor. |
ContainerInstanceId |
Vincula el evento a un contenedor específico de SharePoint Embedded. |
ContainerTypeId |
Vincula el evento a un tipo de contenedor de SharePoint Embedded. |
| Contexto de cliente o aplicación | Ayuda a distinguir la acción del usuario de la acción de la aplicación cuando está disponible. |
Exporte o conserve los resultados según el proceso de investigación de cumplimiento.
Escenarios comunes de auditoría
Use registros de auditoría para las investigaciones comunes de SharePoint Embedded.
Revisión del acceso al contenido
Busque el acceso a archivos o la actividad de lectura por usuario, intervalo de fechas y contexto de contenedor.
Use ContainerInstanceId para confirmar que la actividad se produjo en el contenedor de SharePoint Embedded esperado.
Revisión de cambios de contenido
Busque la actividad de creación, modificación, cambio de nombre, movimiento o eliminación.
Revise la secuencia de operaciones para identificar si un usuario, aplicación o proceso de administrador cambió el contenido.
Revisión del ciclo de vida del contenedor
Busque operaciones de administración relacionadas con la eliminación, restauración o eliminación permanente.
Correlacionar registros de auditoría con el Centro de administración de SharePoint o los registros de cambios de PowerShell.
Revisión de etiquetas de confidencialidad
Busque la actividad relacionada con la etiqueta al investigar los cambios de clasificación de datos.
Correlación de los registros de auditoría con la etiqueta de confidencialidad actual del contenedor y los cambios de directiva en Microsoft Purview.
Revisión del uso compartido externo
Busque actividades de SharePoint relacionadas con el uso compartido al investigar el acceso fuera de la organización.
Revise también la configuración de uso compartido de nivel de aplicación cuando la aplicación admita el uso compartido externo.
Correlación con eDiscovery y DLP
La auditoría muestra la actividad.
Otras herramientas de Microsoft Purview ayudan con la investigación de contenido y la aplicación de directivas.
- Use eDiscovery para buscar, mantener y exportar contenido en contenedores de SharePoint Embedded.
- Use DLP para identificar y proteger la información confidencial.
- Use directivas de retención para conservar o eliminar contenido según la directiva.
- Use etiquetas de confidencialidad para clasificar y proteger contenedores.
Para obtener controles más amplios, consulte Aplicar controles de seguridad y cumplimiento.
Solución de problemas de resultados de auditoría que faltan
Use estas comprobaciones cuando falten los resultados esperados.
- Confirme que el intervalo de fechas incluye la hora de la actividad.
- Confirme que se ha buscado la identidad de usuario o aplicación correcta.
- Confirme que la auditoría está disponible para el inquilino y la carga de trabajo.
- Confirme que la operación se asigna a SharePoint o a la actividad de archivo en la auditoría de Purview.
- Confirme que el contenido está en un contenedor de SharePoint Embedded y no en otra ubicación de almacenamiento.
- Busque con menos filtros y, a continuación, inspeccione
ContainerInstanceIdyContainerTypeId. - Confirme que su cuenta tiene permisos para buscar registros de auditoría.
- Revise la documentación de auditoría de Purview para ver la latencia de retención y búsqueda.
Nota:
Los registros de auditoría pueden tardar tiempo en aparecer.
Si un evento es reciente, vuelva a intentarlo después del retraso de ingesta de auditoría normal para el entorno.
Conservar el contexto de investigación
Para cada investigación, registre:
- Fecha de búsqueda.
- Filtros de búsqueda.
- Ubicación del resultado exportada.
- Identificadores de contenedor.
- Identificadores de aplicación.
- Usuarios o identidades de aplicación revisados.
- Acciones realizadas después de la revisión.
Mantenga los registros de acuerdo con su cumplimiento y proceso legal.
Contenido relacionado
- Aplicación de controles de seguridad y cumplimiento
- Administración de contenedores en el Centro de administración de SharePoint
- Administración de contenedores con PowerShell
- Seguridad y cumplimiento
- Soluciones de auditoría en Microsoft Purview
Pasos siguientes
Aplique controles más amplios en Aplicar controles de seguridad y cumplimiento.