Explorar las soluciones de Microsoft Purview Audit

  • 6 minutos

Las soluciones de Microsoft Purview Audit proporcionan una solución integrada para ayudar a las organizaciones a responder de forma eficaz a:

  • eventos de seguridad
  • investigaciones forenses
  • investigaciones internas
  • obligaciones de cumplimiento

Miles de operaciones de usuario y administración realizadas en docenas de servicios y soluciones de Microsoft 365 se capturan, registran y conservan en el registro de auditoría unificado de una organización. Las operaciones de seguridad, los administradores de TI, los equipos de riesgos internos y los investigadores legales y de cumplimiento de una organización pueden buscar registros de auditoría de estos eventos. Esta funcionalidad proporciona visibilidad sobre las actividades realizadas en una organización Microsoft 365.

Soluciones de auditoría de Microsoft Purview

Microsoft Purview proporciona dos soluciones de auditoría: Auditoría (Estándar) y Auditoría (Premium).

Diagrama que muestra las capacidades clave de Auditoría (Estándar) y Auditoría (Premium).

Auditoría (Estándar)

Microsoft Purview Audit (Estándar) proporciona a las organizaciones la capacidad de registrar y buscar actividades auditadas. También permite a una organización impulsar sus investigaciones forenses, de TI, de cumplimiento y legales.

  • Habilitado de forma predeterminada. Auditoría (Estándar) está activada de forma predeterminada para todas las organizaciones con la suscripción adecuada. Como resultado, los registros de actividades auditadas se capturarán y se podrán buscar. La única configuración necesaria es asignar los permisos necesarios para acceder a la herramienta de búsqueda de registros de auditoría (y el cmdlet correspondiente) y asegurarse de que a los usuarios se les asigna la licencia adecuada para las características de Microsoft Purview Audit (Premium).

  • Miles de eventos de auditoría que se pueden buscar. Las organizaciones pueden buscar una amplia gama de actividades auditadas que se producen en la mayoría de los servicios de Microsoft 365 de una organización. Para obtener una lista parcial de las actividades que se pueden buscar, consulta actividades auditadas. Para obtener una lista de los servicios y características compatibles con actividades auditadas, vea Tipos de registros de auditoría.

  • Herramienta de búsqueda de Auditoría en el portal de cumplimiento de Microsoft Purview. Las organizaciones pueden usar la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview para buscar registros de auditoría. Puedes buscar en:

    • actividades específicas
    • actividades realizadas por usuarios específicos
    • actividades que se produjeron dentro de un intervalo de fechas

    Captura de pantalla de la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview.

  • cmdlet Search-UnifiedAuditLog. Las organizaciones también pueden usar el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell (el cmdlet subyacente de la herramienta de búsqueda) para buscar eventos de auditoría o para usarlos en un script. Para más información vea:

  • Exportar registros de auditoría a un archivo CSV. Después de que una organización ejecute la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview, puede exportar los registros de auditoría devueltos por la búsqueda a un archivo CSV. Al hacerlo, Microsoft Excel puede ordenar y filtrar por diferentes propiedades de registro de auditoría. Excel Power Query también se puede usar para transformar la funcionalidad para dividir cada propiedad del objeto JSON AuditData en su propia columna. Este proceso te permite ver y comparar de forma eficaz datos similares para distintos eventos.

  • Acceso a registros de auditoría a través de la API de Actividad de administración de Office 365. Un tercer método para obtener acceso y encontrar registros de auditoría es usar la API de Actividad de administración de Office 365. Esta API permite a las organizaciones conservar los datos de auditoría durante períodos más largos que los 180 días predeterminados. También les permite importar sus datos de auditoría en una solución SIEM. Para obtener más información, consulte la referencia de la API de Actividad de administración de Office 365.

  • Retención de registros de auditoría de 180 días. Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría que se almacena en el registro de auditoría de la organización. En Microsoft Purview Audit (Estándar), los registros se conservan durante 180 días. Por lo tanto, las organizaciones pueden buscar actividades que se hayan producido en los últimos tres meses.

Auditoría (Premium)

Auditoría (Premium) se basa en las capacidades de Auditoría (Estándar) al proporcionar directivas de retención de registros de auditoría, una retención más prolongada de registros de auditoría, eventos cruciales de alto valor y un mayor acceso de ancho de banda a la API de actividad de administración de Office 365.

  • Directivas de retención de registros de auditoría. Auditoría (Premium) permite a las organizaciones crear directivas de retención de registros de auditoría personalizadas para conservar los registros de auditoría durante un máximo de un año (y hasta 10 años para los usuarios con la licencia de complemento necesaria). Las organizaciones pueden crear directivas de retención de registros para conservar los registros de auditoría en función de:

    • el servicio donde se produjeron las actividades auditadas.
    • actividades auditadas específicas.
    • el usuario que realizó una actividad auditada.

  • Retención prolongada de registros de auditoría. Los registros de auditoría de Exchange, SharePoint y Microsoft Entra se conservan durante un año de forma predeterminada. Los registros de auditoría de todas las demás actividades se conservan durante 180 días de forma predeterminada. Con Auditoría (Premium), las organizaciones pueden usar directivas de retención de registros de auditoría para configurar períodos de retención más largos.

  • Eventos de auditoría avanzada fundamentales y de alto valor. Los registros de Auditoría de eventos cruciales pueden ayudar a una organización a realizar investigaciones forenses y de cumplimiento. Para ello, proporciona visibilidad a eventos como:

    • Cuando se accedió a los elementos de correo.
    • Cuando se respondieron los elementos de correo y se reenviaron.
    • Cuándo y qué ha buscado un usuario en Exchange Online y SharePoint Online.

    Estos eventos cruciales pueden ayudar a las organizaciones a investigar posibles infracciones y determinar el ámbito del compromiso.

  • Mayor ancho de banda para la API de Actividad de administración de Office 365 Auditoría (Premium) proporciona a las organizaciones más ancho de banda para acceder a los registros de auditoría a través de la API de actividad de administración de Office 365. A todas las organizaciones que tienen auditoría (estándar) o Auditoría (Premium) se les asigna inicialmente una línea base de 2 000 solicitudes por minuto. Sin embargo, este límite aumenta dinámicamente según el número de puestos de una organización y su suscripción de licencia. Por lo tanto, las organizaciones con Auditoría (Premium) obtienen aproximadamente el doble de ancho de banda que las organizaciones con Auditoría (estándar).

Microsoft Purview Audit (Premium) se examina con más detalle en un módulo posterior.

Comparación de funcionalidades clave

En la tabla siguiente se comparan las funcionalidades clave disponibles en Auditoría (Estándar) y Auditoría (Premium). Toda la funcionalidad de Auditoría (estándar) se incluye en Auditoría (Premium).

Funcionalidad Auditoría (Estándar) Auditoría (Premium)
Habilitado de forma predeterminada X X
Miles de eventos de auditoría que se pueden buscar X X
Herramienta de búsqueda de Auditoría en el portal de cumplimiento de Microsoft Purview X X
Cmdlet Search-UnifiedAuditLog X X
Exportar registros de auditoría a un archivo CSV X X
Acceso a los registros de Auditoría a través de la API de actividad de administración de Office 365 (1) X X
Retención de registros de auditoría de 180 días X X
Retención de registros de auditoría de un año X
Retención de registros de auditoría de 10 años (2) X
Directivas de retención de los registros de auditoría X
Eventos cruciales de gran valor X

Notas al pie:

(1) Auditoría (Premium) incluye un mayor acceso de ancho de banda a la API de actividad de administración de Office 365, lo que proporciona un acceso más rápido a los datos de auditoría.

(2) Además de las licencias necesarias para Auditoría (Premium), a un usuario se le debe asignar una licencia complementaria de retención de registros de auditoría de 10 años para conservar sus registros de auditoría durante ese período de tiempo.

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas. Luego seleccione "Comprobar respuestas".

Compruebe sus conocimientos

1.

En Microsoft Purview Audit (Estándar), ¿durante cuánto tiempo se conservan los registros en el registro de auditoría?