Compartir vía


Buscar eventos en el registro de auditoría en Microsoft Teams

Importante

El Centro de administración de Microsoft Teams está reemplazando gradualmente el centro de administración de Skype Empresarial y vamos a migrar la configuración de Teams a ella desde el Centro de administración de Microsoft 365. Si se ha migrado una configuración, verá una notificación y, a continuación, se le dirigirá a la ubicación de la configuración en el Centro de administración de Teams. Para obtener más información, consulte Administración de Teams durante la transición al Centro de administración de Teams.

El registro de auditoría puede ayudarle a investigar actividades específicas en los servicios de Microsoft 365. Para Microsoft Teams, estas son algunas de las actividades auditadas:

  • Creación de equipos
  • Eliminación de equipos
  • Canal agregado
  • Canal eliminado
  • Configuración de canal cambiada

Para obtener una lista completa de las actividades de Teams auditadas, consulte Actividades de Teams y Turnos en las actividades de Teams.

Nota:

Los eventos de auditoría de canales privados también se registran tal y como están para los equipos y los canales estándar.

Activar la auditoría en Teams

Para poder examinar los datos de auditoría, primero debe activar la auditoría en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea Activar o desactivar la auditoría.

Importante

Los datos de auditoría solo están disponibles desde el punto en el que se ha activado la auditoría.

Recuperación de datos de Teams desde el registro de auditoría

  1. Para recuperar los registros de auditoría de las actividades de Teams, vaya a https://compliance.microsoft.com y seleccione Auditar.

  2. En la página Buscar , filtre las actividades, las fechas y los usuarios que desea auditar.

  3. Exporte los resultados a Excel para un análisis más exhaustivo.

Para obtener instrucciones paso a paso, consulte Búsqueda en el registro de auditoría en el portal de cumplimiento.

Importante

Los datos de auditoría solo están visibles en el registro de auditoría si la auditoría está activada.

El período de tiempo que se conserva un registro de auditoría y se puede buscar en el registro de auditoría depende de su suscripción de Microsoft 365 o Office 365, y específicamente del tipo de licencia asignada a los usuarios. Para obtener más información, consulte la descripción del servicio Security & Compliance Center.

Sugerencias para buscar el registro de auditoría

Estas son sugerencias para buscar actividades de Teams en el registro de auditoría.

Captura de pantalla de la página de búsqueda de registros de auditoría en el portal de cumplimiento

  • Para seleccionar actividades específicas que se van a buscar, haga clic en la casilla situada junto a una o varias actividades. Si se selecciona una actividad, puede hacer clic en ella para cancelar la selección. También puede usar el cuadro de búsqueda para mostrar las actividades que contengan la palabra clave que usted escriba.

    Captura de pantalla de la lista desplegable de actividades en la página de búsqueda del registro de auditoría

  • Para mostrar los eventos de las actividades que se ejecutan mediante cmdlets, seleccione Mostrar resultados para todas las actividades en la lista Actividades . Si conoce el nombre de la operación para estas actividades, escriba en el cuadro de búsqueda para mostrar la actividad y, a continuación, selecciónela.

  • Para borrar los criterios de búsqueda actuales, seleccione Borrar todo. El intervalo de fecha vuelve al predeterminado de los últimos siete días.

  • Si 5 000 resultados son encontrados, puede suponer que probablemente existen más de 5,000 eventos que cumplen los criterios de búsqueda. Puede refinar los criterios de búsqueda y volver a ejecutar la búsqueda para devolver menos resultados, o bien puede exportar todos los resultados de la búsqueda seleccionando Exportar>Descargar todos los resultados. Para obtener instrucciones paso a paso para exportar registros de auditoría, consulte Exportación de los resultados de búsqueda a un archivo.

Consulte este vídeo para usar la búsqueda de registros de audio. Únase a Ansuman Acharya, un administrador de programas de Teams, ya que muestra cómo realizar una búsqueda de registros de auditoría para Teams.

Actividades de Teams

Esta es una lista de todos los eventos que se registran para las actividades de usuario y administrador en Teams en el registro de auditoría de Microsoft 365. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Nombre descriptivo Operación Descripción
Bot agregado al equipo BotAddedToTeam Un usuario agrega un bot a un equipo.
Canal agregado ChannelAdded Un usuario agrega un canal a un equipo.
Conector agregado ConnectorAdded Un usuario agrega un conector a un canal.
Se han agregado detalles sobre la reunión 2, 5 de Teams. MeetingDetail Teams agregó información sobre una reunión, incluida la hora de inicio, la hora de finalización y la dirección URL para unirse a la reunión.
Se agregó información sobre los participantes de la reunión 2, 5 MeetingParticipantDetail Teams agregó información sobre los participantes de una reunión, incluido el identificador de usuario de cada participante, la hora en que un participante se unió a la reunión y el momento en que un participante salió de la reunión.
Miembros agregados 5, 6 MemberAdded El propietario de un equipo agrega miembros a un equipo, canal o chat de grupo.
Pestaña agregada TabAdded Un usuario agrega una pestaña a un canal.
Etiqueta de confidencialidad aplicada SensitivityLabelApplied Un usuario o organizador de reuniones aplicó una etiqueta de confidencialidad a una reunión de Teams.
Configuración de canal cambiada ChannelSettingChanged La operación ChannelSettingChanged se registra cuando se realizan las siguientes actividades por un miembro del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis en la columna Elemento de los resultados de búsqueda del registro de auditoría.
  • Cambia el nombre de un canal de equipo (nombre del canal)
  • Cambia la descripción de un canal de equipo (descripción del canal)
Configuración de organización cambiada TeamsTenantSettingChanged La operación TeamsTenantSettingChanged se registra cuando un administrador global realiza las siguientes actividades en el Centro de administración de Microsoft 365. Estas actividades afectan a la configuración de Teams en toda la organización. Para más información, consulte Administración de la configuración de Teams para su organización.
Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
  • Habilita o deshabilita Teams para la organización (Microsoft Teams).
  • Habilita o deshabilita la interoperabilidad entre Microsoft Teams y Skype Empresarial para la organización (Skype Empresarial interoperabilidad).
  • Habilita o deshabilita la vista del organigrama en los clientes de Microsoft Teams (vista Organigrama).
  • Habilita o deshabilita la capacidad de los miembros del equipo para programar reuniones privadas (programación de reuniones privadas).
  • Habilita o deshabilita la capacidad de los miembros del equipo para programar reuniones de canal (programación de reuniones de canal).
  • Habilita o deshabilita las videollamadas en las reuniones de Teams (vídeo para reuniones de Skype).
  • Habilita o deshabilita el uso compartido de pantalla en reuniones de Microsoft Teams para la organización (uso compartido de pantalla para reuniones de Skype).
  • Habilita o deshabilita esa capacidad para agregar imágenes animadas (denominadas Giphys) a conversaciones de Teams (imágenes animadas).
  • Cambia la configuración de clasificación de contenido de la organización (Clasificación de contenido). La clasificación de contenido restringe el tipo de imagen animada que se puede mostrar en las conversaciones.
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes personalizables (denominadas memes personalizados) desde Internet a conversaciones de equipo (imágenes personalizables de Internet).
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes editables (denominadas pegatinas) a conversaciones de equipo (imágenes editables).
  • Habilita o deshabilita esa capacidad para que los miembros del equipo usen bots en chats y canales de Microsoft Teams (bots de toda la organización).
  • Habilita bots específicos para Microsoft Teams. Esto no incluye a T-Bot, que es el robot de ayuda de Microsoft Teams que está disponible cuando se habilitan los bots para la organización (Bots individuales).
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen extensiones o pestañas (extensiones o pestañas).
  • Habilita o deshabilita la carga lateral de bots propietarios para Microsoft Teams (carga lateral de bots).
  • Habilita o deshabilita la capacidad de los usuarios para enviar mensajes de correo electrónico a un canal de Microsoft Teams (correo electrónico del canal).
Rol cambiado de miembros del equipo MemberRoleChanged El propietario del equipo cambia el rol de los miembros del equipo. Los valores siguientes indican el tipo de rol asignado al usuario.

1 : indica el rol Miembro.
2 : indica el rol Propietario.
3- Indica el rol del invitado.

La propiedad Members también incluye el nombre de la organización y la dirección de correo electrónico del miembro.
Configuración de equipo cambiada TeamSettingChanged La operación TeamSettingChanged se registra cuando se realizan las siguientes actividades por el dueño del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
  • Cambia el tipo de acceso de un equipo. Teams se puede establecer como privado o público (tipo de acceso de equipo). Si un equipo es privado (valor predeterminado), los usuarios pueden acceder al equipo solo por invitación. Cuando un equipo es público, puede verlo cualquier persona.
  • Cambia la clasificación de información de un equipo (clasificación de equipo). Por ejemplo, los datos de equipo se pueden clasificar como impacto empresarial alto, impacto empresarial medio o impacto empresarial bajo.
  • Cambia el nombre de un equipo (nombre del equipo).
  • Cambia la descripción del equipo (descripción del equipo).
  • Cambios realizados en la configuración del equipo. Para acceder a esta configuración, el propietario del equipo puede hacer clic con el botón derecho en un equipo, seleccionar Administrar equipo y, a continuación, seleccionar la pestaña Configuración . Para estas actividades, el nombre de la configuración que se cambió se muestra en la columna Elemento de los resultados de la búsqueda del registro de auditoría.
Etiqueta de confidencialidad modificada SensitivityLabelChanged Un usuario cambió una etiqueta de confidencialidad en una reunión de Teams.
Creado un chat 1, 2 ChatCreated Se creó un chat de Teams.
Equipo creado TeamCreated El usuario crea un equipo.
Se ha eliminado un mensaje 2 MessageDeleted Se eliminó un mensaje en un chat o canal.
Eliminación de todas las aplicaciones de la organización DeletedAllOrganizationApps Se eliminaron todas las aplicaciones de la organización del catálogo.
Aplicación eliminada AppDeletedFromCatalog Se ha eliminado una aplicación del catálogo.
Canal eliminado ChannelDeleted Un usuario elimina un canal de un equipo.
Equipo eliminado TeamDeleted Un propietario de equipo elimina un equipo.
Editado un mensaje con un vínculo de dirección URL en Teams 5 MessageEditedHasLink Un usuario edita un mensaje y le agrega un vínculo de dirección URL en Teams.
Mensajes exportados 1, 2 MensajesExportados Se exportaron mensajes de chat o de canal.
Grabaciones exportadas GrabaciónExportado Se exportaron grabaciones de chat.
Transcripciones exportadas TranscripcionesExportadas Se exportaron transcripciones de chat.
No se pudo validar la invitación al canal compartido 3 FailedValidation Un usuario responde a una invitación a un canal compartido, pero la invitación no pudo validarse.
Chat capturado 1, 2 ChatRetrieved Se recuperó un chat de Microsoft Teams.
Captura de todo el contenido hospedado de un mensaje1, 2 MessageHostedContentsListed Se recuperó todo el contenido hospedado en un mensaje, como imágenes o fragmentos de código.
Aplicación instalada AppInstalled Se instaló una aplicación.
Acción realizada en la tarjeta PerformedCardAction Un usuario tomó medidas en una tarjeta adaptable dentro de un chat. Los bots suelen usar tarjetas adaptables para permitir la visualización enriquecida de información e interacción en los chats.

Nota: Solo las acciones de entrada insertadas en una tarjeta adaptable dentro de un chat estarán disponibles en el registro de auditoría. Por ejemplo, cuando un usuario envía una respuesta de sondeo en una conversación de canal en una tarjeta adaptable generada por un bot de sondeo. Las acciones de usuario, como "Ver resultado", que abrirá un cuadro de diálogo, o las acciones de usuario dentro de los diálogos no estarán disponibles en el registro de auditoría.
Publicado un nuevo mensaje 1, 2, 5, 6 MessageSent Se ha publicado un nuevo mensaje en un chat o canal.
Aplicación publicada AppPublishedToCatalog Se agregó una aplicación al catálogo.
Leer un mensaje 1, 2 MessageRead Se recuperó un mensaje de un chat o canal.
Leer contenido hospedado de un mensaje 1, 2 MessageHostedContentRead Se recuperó el contenido hospedado en un mensaje, como una imagen o un fragmento de código.
Bot quitado del equipo BotRemovedFromTeam Un usuario quita un bot de un equipo.
Conector quitado ConnectorRemoved Un usuario quita un conector de un canal.
Miembros quitados MemberRemoved El propietario de un equipo quita a los miembros de un equipo, canal o chat de grupo.
Etiqueta de confidencialidad eliminada SensitivityLabelRemoved Un usuario quitó una etiqueta de confidencialidad de una reunión de Teams.
Se ha quitado el uso compartido del canal de equipo 3. TerminatedSharing Un equipo o propietario del canal ha deshabilitado el uso compartido de un canal compartido.
Uso compartido restaurado del canal de equipo 3 SharingRestored Un equipo o propietario del canal ha vuelto a habilitar el uso compartido para un canal compartido.
Pestaña removida TabRemoved Un usuario quita una pestaña de un canal.
Respuesta a la invitación para el canal compartido 3 InviteeResponded Un usuario respondió a una invitación de canal compartido.
Respuesta a la invitación al canal compartido 3 ChannelOwnerResponded Un propietario del canal respondió a una respuesta de un usuario que respondió a una invitación de canal compartido.
Mensajes recuperados 1, 2 MessagesListed Se recuperaron los mensajes de un chat o canal.
Envío de un mensaje con un vínculo de dirección URL en Teams 5 MessageCreatedHasLink Un usuario envía un mensaje que contiene un vínculo de dirección URL en Teams.
Notificación de cambio enviada para la creación de mensajes 1, 2 MessageCreatedNotification Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un nuevo mensaje.
Notificación de cambio enviada para la eliminación de mensajes 1, 2 MessageDeletedNotification Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje eliminado.
Notificación de cambio enviada para la actualización de mensajes 1, 2 MessageUpdatedNotification Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje actualizado.
Invitación enviada para el canal compartido 3 InviteSent Un propietario o miembro del canal envía una invitación a un canal compartido. Las invitaciones a canales compartidos se pueden enviar a personas ajenas a la organización si la directiva de canal está configurada para compartir el canal con usuarios externos.
Suscripción a las notificaciones de cambio de mensaje 1, 2 SubscribedToMessages Una aplicación de agente de escucha creó una suscripción para recibir notificaciones de cambios para los mensajes.
Aplicación desinstalada AppUninstalled Se ha desinstalado una aplicación.
Aplicación actualizada AppUpdatedInCatalog Se actualizó una aplicación en el catálogo.
Se ha actualizado un chat 1, 2 ChatUpdated Se actualizó un chat de Teams.
Se ha actualizado un mensaje 1, 2 MessageUpdated Se actualizó un mensaje de un chat o canal.
Conector actualizado ConnectorUpdated Un usuario ha modificado un conector en un canal.
Pestaña actualizada TabUpdated Un usuario ha modificado una pestaña en un canal.
Aplicación actualizada AppUpgraded Una aplicación se actualizó a su versión más reciente en el catálogo.
Usuario que ha iniciado sesión en Equipos TeamsSessionStarted Un usuario inicia sesión en un cliente de Microsoft Teams. Este evento no captura las actividades de actualización de tokens.
Mensaje nuevo publicado 3, 4, 5, 6 MessageSent Se ha publicado un nuevo mensaje en un chat o canal. Este evento es una característica premium con detalles de licencia que se van a definir.

Nota:

1 Un registro de auditoría para este evento solo se registra cuando la operación se realiza llamando a un Graph API de Microsoft. Si la operación se realiza en el cliente de Teams, no se registrará un registro de auditoría.
2 Este evento solo está disponible en Auditoría (Premium). Esto significa que se debe asignar a los usuarios la licencia adecuada antes de que estos eventos se registren en el registro de auditoría. Para obtener más información sobre las actividades que solo están disponibles en Auditoría (Premium), consulte Auditoría (Premium) en Microsoft Purview. Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
3 Este evento está en versión preliminar pública.
4Este evento se genera para el chat solo si hay invitados, usuarios federados o anónimos.
5 Este evento no está disponible actualmente en las organizaciones Government Community Cloud (GCC), Government Community Cloud High (GCC-High) y Department of Defense (DoD).
6 Este evento se incluye en todos los inquilinos participantes para los chats federados.
7 Este evento tiene información de dominio participante para los chats federados 1:1.

Turnos en las actividades de Teams

Si su organización usa la aplicación Turnos en Teams, puede buscar en el registro de auditoría las actividades relacionadas con la aplicación Turnos. Esta es una lista de todos los eventos que se registran para las actividades de turnos en Teams en el registro de auditoría de Microsoft 365.

Nombre descriptivo Operación Descripción
Grupo de programación agregado ScheduleGroupAdded Un usuario agrega correctamente un nuevo grupo de programación a la programación.
Grupo de programación editado ScheduleGroupEdited Un usuario edita correctamente un grupo de programación.
Grupo de programación eliminado ScheduleGroupDeleted Un usuario elimina correctamente un grupo de programación de la programación.
Se retiró la programación ScheduleWithdrawn Un usuario retira correctamente una programación publicada.
Desplazamiento agregado MayúsAgregar Un usuario agrega correctamente un turno.
Desplazamiento editado MayúsEdited Un usuario edita correctamente un turno.
Desplazamiento eliminado ShiftDeleted Un usuario elimina correctamente un turno.
Tiempo de expiración agregado TimeOffAdded Un usuario agrega correctamente tiempo de expiración en la programación.
Tiempo de expiración editado TimeOffEdited Un usuario edita correctamente el tiempo de expiración.
Tiempo de expiración eliminado TimeOffDeleted Un usuario elimina correctamente el tiempo de expiración.
Se agregó el turno abierto OpenShiftAdded Un usuario agrega correctamente un turno abierto a un grupo de programación.
Turno abierto editado OpenShiftEdited Un usuario edita correctamente un turno abierto en un grupo de programación.
Desplazamiento abierto eliminado OpenShiftDeleted Un usuario elimina correctamente un turno abierto de un grupo de programación.
Programación compartida ScheduleShared Un usuario ha compartido correctamente una programación de equipo para un intervalo de fechas.
Se ha cronometrado con el reloj de hora ClockedIn Un usuario realiza correctamente el reloj en el uso del reloj de hora.
Se ha agotado el reloj con el reloj de hora ClockedOut Un usuario cierra el reloj correctamente con Reloj de hora.
Inicio de la interrupción mediante el reloj de hora BreakStarted Un usuario inicia correctamente una interrupción durante una sesión de reloj de hora activa.
Interrupción finalizada mediante el reloj de hora BreakEnded Un usuario finaliza correctamente una interrupción durante una sesión de reloj de hora activa.
Entrada de reloj de hora agregada TimeClockEntryAdded Un usuario agrega correctamente una nueva entrada manual de reloj de hora en la hoja de horas.
Entrada de reloj de hora editada TimeClockEntryEdited Un usuario edita correctamente una entrada de reloj de hora en la hoja de horas.
Entrada de reloj de hora eliminada TimeClockEntryDeleted Un usuario elimina correctamente una entrada de reloj de hora en la hoja de horas.
Solicitud de desplazamiento agregada RequestAdded Un usuario agregó una solicitud de turno.
Respuesta a la solicitud de cambio RequestRespondedTo Un usuario respondió a una solicitud de turno.
Solicitud de desplazamiento cancelada RequestCancelled Un usuario canceló una solicitud de turno.
Configuración de programación modificada ScheduleSettingChanged Un usuario cambia una configuración en La configuración de desplazamientos.
Integración de la fuerza de trabajo agregada WorkforceIntegrationAdded La aplicación Shifts se integra con un sistema de terceros.
Mensaje de desplazamiento desactivado aceptado OffShiftDialogAccepted Un usuario confirma el mensaje fuera de turno para acceder a Teams después de las horas de turno.

Novedades aplicación en actividades de Teams

Si su organización usa la aplicación Novedades en Teams, puede buscar en el registro de auditoría las actividades relacionadas con la aplicación Novedades. Esta es una lista de todos los eventos que se registran para las actividades de Novedades aplicación en Teams en el registro de auditoría de Microsoft 365.

Nombre descriptivo Operación Descripción
Creación de una solicitud de actualización CreateUpdateRequest Un usuario crea correctamente una solicitud de actualización.
Edición de una solicitud de actualización EditUpdateRequest Un usuario abre el Asistente para la edición de solicitudes y selecciona Guardar para confirmar y guardar los cambios, o habilita o deshabilita la solicitud de actualización directamente.
Envío de una actualización SubmitUpdate Un usuario envía correctamente una actualización.
Ver los detalles de una actualización ViewUpdate Un usuario ve los detalles de la actualización.

API de Actividad de administración de Office 365

Puede usar la API de actividad de administración de Office 365 para recuperar información sobre eventos de Teams. Para obtener más información sobre el esquema de la API de actividad de administración para Teams, consulte Esquema de Teams.

Atribución en los registros de auditoría de Teams

Los cambios de pertenencia a Teams (como los usuarios agregados o eliminados) realizados a través de Azure Active Directory (Azure AD), el portal de administración de Microsoft 365 o Grupos de Microsoft 365 Graph API aparecerán en los mensajes de auditoría de Teams y en el canal General con una atribución a un propietario existente del equipo y no al iniciador real de la acción. En estos escenarios, consulte los registros de auditoría de grupos de Azure AD o Microsoft 365 para ver la información pertinente.

Uso de Defender for Cloud Apps para establecer directivas de actividad

Con Microsoft Defender for Cloud Apps integración, puede establecer directivas de actividad para aplicar una amplia gama de procesos automatizados mediante las API del proveedor de aplicaciones. Estas directivas permiten supervisar actividades específicas realizadas por varios usuarios o seguir tasas inesperadamente altas de un determinado tipo de actividad.

Después de establecer una directiva de detección de actividad, comienza a generar alertas. Las alertas solo se generan en las actividades que se producen después de crear la directiva. Estos son algunos escenarios de ejemplo de cómo puede usar directivas de actividad en Defender for Cloud Apps para supervisar las actividades de Teams.

Escenario de usuario externo

Un escenario en el que es posible que quiera mantener un ojo, desde una perspectiva empresarial, es la adición de usuarios externos al entorno de Teams. Si los usuarios externos están habilitados, la supervisión de su presencia es una buena idea. Puede usar Defender for Cloud Apps para identificar posibles amenazas.

Directiva para supervisar la adición de usuarios externos

La captura de pantalla de esta directiva para supervisar la adición de usuarios externos le permite asignar un nombre a la directiva, establecer la gravedad según sus necesidades empresariales, establecerla como (en este caso) una sola actividad y, a continuación, establecer los parámetros que supervisarán específicamente solo la adición de usuarios no internos y limitar esta actividad a Teams.

Los resultados de esta directiva se pueden ver en el registro de actividad:

Eventos desencadenados por la directiva de usuarios externos

Aquí puede revisar las coincidencias con la directiva que ha establecido y realizar ajustes según sea necesario, o exportar los resultados para usarlos en otro lugar.

Escenario de eliminación masiva

Como se mencionó anteriormente, puede supervisar escenarios de eliminación. Es posible crear una directiva que supervise la eliminación masiva de sitios de Teams. En este ejemplo, se configura una directiva basada en alertas para detectar la eliminación masiva de equipos en un intervalo de 30 minutos.

Directiva que muestra la configuración de una directiva para la detección masiva de eliminación de equipos

Como se muestra en la captura de pantalla, puede establecer muchos parámetros diferentes para esta directiva para supervisar las eliminaciones de Teams, incluida la gravedad, la acción única o repetida y los parámetros que lo limitan a Teams y a la eliminación del sitio. Esto se puede hacer independientemente de una plantilla, o puede que tenga una plantilla creada en la que basar esta directiva, en función de las necesidades de la organización.

Después de establecer una directiva que funcione para su empresa, puede revisar los resultados en el registro de actividad a medida que se desencadenan los eventos:

Captura de pantalla de eventos desencadenados por eliminaciones masivas

Puede filtrar por la directiva que ha establecido para ver los resultados de esa directiva. Si los resultados que obtiene en el registro de actividad no son satisfactorios (quizás esté viendo muchos resultados o nada en absoluto), esto puede ayudarle a ajustar la consulta para que sea más relevante para lo que necesita.

Escenario de alertas y gobernanza

Puede establecer alertas y enviar correos electrónicos a administradores y otros usuarios cuando se desencadene una directiva de actividad. Puede establecer acciones de gobernanza automatizadas, como suspender a un usuario o hacer que un usuario vuelva a iniciar sesión de forma automatizada. En este ejemplo se muestra cómo se puede suspender una cuenta de usuario cuando se desencadena una directiva de actividad y determina que un usuario eliminó dos o más equipos en 30 minutos.

Captura de pantalla de las alertas y las acciones de gobernanza de una directiva de actividad.

Uso de Defender for Cloud Apps para establecer directivas de detección de anomalías

Las directivas de detección de anomalías de Defender for Cloud Apps proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) integrados para que pueda ejecutar inmediatamente la detección avanzada de amenazas en el entorno de nube. Dado que se habilitan automáticamente, las nuevas directivas de detección de anomalías proporcionan resultados inmediatos al proporcionar detecciones inmediatas, lo que tiene como destino numerosas anomalías de comportamiento entre los usuarios y las máquinas y dispositivos conectados a la red. Además, las nuevas directivas exponen más datos del motor de detección de Defender for Cloud Apps para ayudarle a acelerar el proceso de investigación y contener amenazas en curso.

Estamos trabajando para integrar eventos de Teams en directivas de detección de anomalías. Por ahora, puede configurar directivas de detección de anomalías para otros productos de Office y realizar acciones en los usuarios que coincidan con esas directivas.