Partekatu honen bidez:


Introducción a las soluciones de auditoría

Auditoría de Microsoft Purview (Estándar) y Auditoría (Premium) permiten buscar registros de auditoría para las actividades realizadas en los distintos servicios de Microsoft por parte de usuarios y administradores. Dado que Audit (Estándar) está habilitado de forma predeterminada para la mayoría de las organizaciones de Microsoft 365, solo hay algunas cosas que debe hacer antes que usted y otras de su organización pueden buscar en el registro de auditoría. Hay algunos pasos de configuración más que deberá completar para usar las características solo disponibles en Auditoría (Premium).

Para obtener más información sobre las funcionalidades auditoría (estándar) y auditoría (Premium), consulte Soluciones de auditoría de Microsoft Purview.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Paso 1: comprobar la suscripción de la organización y las licencias de usuario

Las licencias para auditoría (estándar) y auditoría (Premium) requieren la suscripción de organización adecuada que proporciona acceso a la herramienta de búsqueda de registros de auditoría y licencias por usuario necesarias para registrar y conservar registros de auditoría.

Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización. En Auditoría (estándar) y Auditoría (Premium), los registros de auditoría se conservan y se pueden buscar en el registro de auditoría durante 180 días.

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

Para obtener una lista de los requisitos de suscripción y licencia para estas soluciones de auditoría, consulte los requisitos de suscripción de Auditoría (Estándar) y Auditoría (Premium).

Paso 2: asignar permisos para buscar en el registro de auditoría

A los administradores y miembros de los equipos de investigación se les debe asignar el rol Ver solo registros de auditoría o Registros de auditoría en el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview para buscar o exportar el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles Lector de auditoría y Administrador de auditoría en la página Grupos de roles del portal de Microsoft Purview y la página Permisos del portal de cumplimiento.

Nota:

Actualmente, el acceso para habilitar o deshabilitar la auditoría y el acceso a los cmdlets de auditoría requieren permisos del Centro de administración de Exchange. Use los roles Registros de auditoría y Registros de auditoría de solo vista existentes en el Centro de administración de Exchange para conceder acceso a los cmdlets de auditoría. Use el rol Registros de auditoría existente en el Centro de administración de Exchange para conceder acceso para habilitar o deshabilitar la auditoría.

También puede crear grupos de roles personalizados con la capacidad de buscar en el registro de auditoría agregando los roles Registros de auditoría de solo vista o Registros de auditoría a un grupo de roles personalizado. Para obtener más información vea Permisos en el portal de cumplimiento de Microsoft Purview.

Nota:

El acceso a la Graph API de búsqueda de auditoría requiere que se configuren permisos adicionales en Microsoft Graph. Para obtener más información, vea Permisos en la Graph API de búsqueda de auditoría.

Asignación de permisos a registros de auditoría de ámbito

Para buscar o exportar el registro de auditoría, los administradores o miembros de los equipos de investigación deben estar asignados a al menos uno de los siguientes grupos de roles relacionados con la auditoría en el portal de Microsoft Purview o en el portal de cumplimiento:

  • Administrador de auditoría: un usuario asignado al grupo de roles administrador de auditoría puede buscar y exportar el registro de auditoría y administrar la configuración de auditoría para el inquilino (por ejemplo, habilitar o deshabilitar el registro de auditoría). Este grupo de roles concede al usuario los roles Registros de auditoría de solo vista y Registros de auditoría .
  • Lector de auditoría: un usuario asignado al grupo de roles Lector de auditoría solo puede buscar y exportar el registro de auditoría. No pueden habilitar ni deshabilitar el registro de auditoría. Este grupo de roles concede al usuario el rol Registros de auditoría de solo vista.

Paso 3: Habilitar eventos SearchQueryInitiated

Debe habilitar explícitamente dos eventos (SearchQueryInitiatedExchange y SearchQueryInitiatedSharePoint) para el registro cuando los usuarios realizan búsquedas en Exchange Online y SharePoint.

Para permitir que estos dos eventos se auditan para los usuarios, ejecute el siguiente cmdlet (para cada usuario) en Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

En un entorno multigeográfico, debe ejecutar el comando Set-Mailbox en el bosque de dominio en el que se encuentra el buzón del usuario. Para identificar la ubicación del buzón del usuario, ejecute el siguiente cmdlet:

Get-Mailbox <user identity> | FL MailboxLocations

Si el cmdlet para habilitar la auditoría de consultas de búsqueda se ejecutó anteriormente en un bosque distinto del bosque en el que se encuentra el buzón del usuario, debe quitar el valor SearchQueryInitiated del buzón del usuario. Quite el valor ejecutando Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} y agréguelo al buzón del usuario en el bosque donde se encuentra el buzón del usuario.

Paso 4: Configurar auditoría (Premium) para los usuarios

Sugerencia

Las organizaciones que usan Auditoría (estándar) pueden omitir este paso.

Las características de auditoría (Premium), como la capacidad de registrar información inteligente, requieren una licencia E5 adecuada asignada a los usuarios. Además, se debe habilitar la aplicación o el plan de servicio de Auditoría avanzada para estos usuarios.

Para comprobar que la aplicación Auditoría avanzada está asignada a los usuarios, complete los pasos siguientes para cada usuario:

  1. En el Centro de administración de Microsoft 365, vaya a Usuarios>usuarios activos y seleccione un usuario.

  2. En la página flotante propiedades de usuario, seleccione Licencias y aplicaciones.

  3. En la sección Licencias , compruebe que al usuario se le asigna una licencia E5 o que se le asigna una licencia de complemento adecuada. Para obtener una lista de licencias que admiten Audit (Premium), consulte Requisitos de licencias de auditoría.

  4. Expanda la sección Aplicaciones y compruebe que está seleccionada la casilla de verificación de Auditoría avanzada de Microsoft 365.

  5. Si la casilla no está seleccionada, selecciónela y, a continuación, seleccione Guardar cambios.

    El registro de conclusiones de auditoría (Premium) comienza en un plazo de 24 horas.

Además, si ha personalizado las acciones de buzón que han iniciado sesión en buzones de usuario o buzones compartidos, los nuevos eventos de auditoría (Premium) publicados por Microsoft no se auditarán automáticamente en esos buzones. Para información sobre cómo cambiar las acciones de buzón de correo que se auditan para cada tipo de inicio de sesión, consulte la sección "Cambiar o restaurar acciones de buzón registradas de forma predeterminada" en Administrar la auditoría de buzón.

Paso 5: Configurar directivas de retención de auditoría en Auditoría (Premium)

Sugerencia

Las organizaciones que usan Auditoría (estándar) pueden omitir este paso.

Además de la directiva predeterminada que conserva Microsoft Entra ID, Exchange, OneDrive y registros de auditoría de SharePoint durante un año, las organizaciones que usan Audit (Premium) pueden crear directivas de retención de registros de auditoría para cumplir los requisitos de las operaciones de seguridad, TI y equipos de cumplimiento de su organización.

Para obtener más información, vea administrar directivas de retención de los registros de auditoría.

Paso 6: Búsqueda de eventos auditados

Ahora que tiene auditada (estándar) o auditoría (Premium) configurada para su organización, está listo para buscar el registro de auditoría en el portal de cumplimiento Microsoft Purview. Para obtener instrucciones detalladas, consulte Búsqueda en el registro de auditoría.