Cómo monitorear los registros de actividad de Office 365 para mejorar la seguridad

Tutoriales

Cómo monitorear los registros de actividad de Office 365 para mejorar la seguridad. ¿Buscas mejorar la seguridad de tu Office 365? Es crucial monitorear los registros de actividad de Office 365, y el portal unificado de registro de auditoría de Office 365 de Microsoft proporciona una plataforma única para hacerlo.

En este artículo, exploramos una visión general del registro de auditoría unificada de Office 365.

Luego, aprendemos los requisitos de licencia y permisos para usar el registro de auditoría unificada de Microsoft 365. Además, esta sección incluye pasos para verificar si cumples con estos requisitos y qué hacer si no los cumples. A continuación, examinamos cómo verificar si el registro de auditoría unificada está habilitado para tu organización. Luego, discutimos los pasos para habilitarlo a través del portal de cumplimiento de Microsoft o de Windows PowerShell.

A continuación, examinamos cómo verificar si el registro de auditoría unificado está habilitado para su organización. Luego, discutimos los pasos para habilitarlo a través del portal de cumplimiento de Microsoft o Windows PowerShell.

Una vez que se habilita el registro de auditoría, cubrimos cómo buscar, ver y exportar los registros de auditoría de Office 365 a CSV. Finalmente, mostramos cómo monitorear y analizar los registros de actividad de 365 para mejorar la seguridad de su organización.

También lea Cómo configurar los registros de actividad de Azure AD para un monitoreo efectivo

Panorama del registro de auditoría unificado de Office 365

Microsoft 365 (M365) es un conjunto de servicios en la nube. Algunos de los servicios incluidos en M365 son Azure Active Directory, Exchange Online, y SharePoint Online.

Los servicios que incluye tu suscripción a M365 dependen de tu tipo de suscripción.

Ahora, con tantos servicios de Office 365, los administradores se enfrentan al considerable desafío de supervisar los registros de actividad de los diversos servicios para mejorar la seguridad de la organización. La buena noticia es que el portal de cumplimiento de Microsoft Purview ofrece a los administradores de Microsoft 365 un solo lugar para habilitar la auditoría unificada.

Ahora, debes preguntarte cuáles de los servicios de Microsoft 365 admiten la auditoría unificada. Para ver todos los servicios que monitorea, consulte la lista en la página Servicios de Microsoft 365 que admiten auditoría.

También lea Cómo conectarse a Office 365 usando Powershell

Licencias y permisos del registro de auditoría de Microsoft 365

Microsoft ofrece dos versiones del Microsoft Purview Audit, que te permiten habilitar, buscar y monitorear los registros de auditoría unificados de Microsoft 365.

Entonces, obtienes el Microsoft Purview Audit (Standard) o el (Premium), dependiendo de la suscripción y licencias de Microsoft 365 de tu organización. Microsoft 365 subscription and licensing.

Además, los administradores que necesitan ejecutar auditorías log reports deben tener los permisos requeridos.

Para configurar los requisitos de licencias y permisos de usuario, completa estos pasos.

Paso 1: Confirma que tu organización cumple con los requisitos de suscripción / licencias de usuario.

Para acceder al registro de auditoría unificado de Microsoft 365, su organización debe tener un mínimo de suscripciones a Microsoft Business Basic/Standard. Es lo mismo que la licencia Premium P1 de Azure AD.

Por el contrario, para acceder a la función de Auditoría (Premium), necesita al menos la suscripción a Microsoft 365 Enterprise E5.

Siga los pasos a continuación para verificar su suscripción asignada.

1. Siga los pasos en nuestro artículo: Cómo conectarse a Office 365 usando Powershell para instalar el módulo MSOnline PowerShell. Luego, conéctese a Office 365.
2. Ejecute el comando Get-MsolAccountSku para listar la licencia de Microsoft 365 disponible en su inquilino. 

Get-MsolAccountSku

2. A continuación, ejecute el comando a continuación para devolver la licencia que su administrador le ha asignado. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Reemplace License_AccountSkuId con el AccountSkuId (el nombre de la licencia) del último comando. Además, reemplace [email protected] con su UPN de Office 365.

Verifica el valor del último comando mostrado en la propiedad AccountSkuId. Luego, compara eso con los requisitos de licencia de Microsoft 365

Finalmente, si la licencia que tu administrador te asignó está listada, revisa los requisitos de permisos de Microsoft 365 siguiendo los pasos en la siguiente subsección. 

También lea  Get-AzureADAuditSignInLogs – Encuentra Registros de Inicio de Sesión de los Últimos 30 Días en PowerShell

Paso 2: Confirma que Tu Cuenta Cumple con los Requisitos de Permisos

Para ver y ejecutar búsquedas unificadas del registro de auditoría de Office 365, los administradores o usuarios deben estar asignados al rol de Ver solo auditoría registros o registros de auditoría en Exchange Online. Los grupos de roles de Cumplimiento de la Gestión y Administración de la Organización tienen los permisos requeridos por defecto.

Además, los miembros del grupo de Office 365 Administradores Globales se agregan al grupo de roles de Administración de la Organización en Exchange Online por defecto.

Siga los pasos a continuación para verificar si una cuenta tiene el permiso requerido para habilitar y buscar los registros de auditoría. Si eres un Administrador Global para tu inquilino de Office 365, ignora los pasos a continuación y pasa a la siguiente sección.

1. Abra el centro de administración de Exchange Online a través de admin.exchange.microsoft.com. A continuación, expanda Roles y haga clic en “Roles de administrador”.
2. En el cuadro de búsqueda de la página “Roles de administrador”, escriba “administración” para devolver solo los roles que incluyen ese término. Luego, haga clic en el Cumplimiento Gestión rol.


3. En el desplegable del rol de Cumplimiento Gestión, haga clic en la pestaña “Asignado”. Todos los usuarios enumerados en esta pestaña tienen permiso para ver los registros de auditoría de búsquedas.

Para agregar un usuario a este rol, haga clic en el botón “Agregar” – vea la segunda captura de pantalla.



4. Repita el paso 3 para el rol de Administración de la organización.


También lea Top 15 Comandos de PowerShell de Office 365 (Usuarios, Grupos, Licencias)

Verifique el estado actual de la grabación de auditoría para su organización.

Antes de utilizar el portal de cumplimiento de Microsoft para supervisar Office 365 registros de actividad con el fin de mejorar la seguridad de los servicios de su organización, debe habilitar el monitoreo de auditoría. Está habilitado de forma predeterminada en organizaciones con suscripciones empresariales de Microsoft 365 y Office 365.

Sin embargo, Microsoft puede no habilitar la auditoría de forma predeterminada en algunas suscripciones de Microsoft 365. Por lo tanto, es una buena idea confirmar si la auditoría está habilitada en su inquilino de O365 antes de proceder.

Siga los pasos a continuación para verificar el estado actual de auditoría.

1. Utiliza los pasos de nuestro artículo Conectar a Exchange Online usando PowerShell para conectarte a tu inquilino de Exchange Online.
2. Una vez que te hayas conectado a Exchange Online, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

La captura de pantalla a continuación muestra todos los comandos que necesitas para instalar el módulo de PowerShell de Exchange Online. Luego, conecta y ejecuta el Get-AdminAuditLogConfig para determinar si el auditoría está habilitada para tu organización.


Si el comando Get-AdminAuditLogConfig devuelve la propiedad UnifiedAuditLogIngestionEnabled como True, indica que la auditoría unificada está activada para tu organización. Si devuelve un valor de False, significa que la auditoría no está activada.

Entonces, a partir del resultado de mi comando Get-AdminAuditLogConfig , la auditoría NO está activada, ya que el valor es False. Si este es tu caso, procede a la siguiente sección para habilitar la auditoría.

También lee Cómo comprobar si MFA está habilitado en Office 365 para usuarios

Habilitar registros de auditoría unificada de Office 365.

Microsoft ofrece 2 métodos para habilitar los registros de auditoría de Office 365 para monitorear los registros de actividad de usuarios con el fin de mejorar la seguridad de la organización. Específicamente, haga esto a través del Portal de Cumplimiento o PowerShell

Habilitar la auditoría mediante el Portal de Cumplimiento

1. Abra- compliance.microsoft.com
2. Diríjase a la sección de Soluciones y haga clic en Auditoría. Alternativamente, abra la sección de Auditoría directamente haciendo clic en compliance.microsoft.com/auditlogsearch.

3. Finalmente, habilite el registro de auditoría unificado de Microsoft 365, haga clic en “Iniciar grabación de actividad de usuario y administrador”.

Tenga en cuenta que puede tardar hasta 60 minutos para que el cambio surta efecto.

También lea Implementar Informes de Contacto de Office 365

Habilitar la auditoría mediante Windows PowerShell

Si todavía tienes la consola de PowerShell conectada, donde te conectaste al módulo de Exchange Online PowerShell, ejecuta el siguiente comando para habilitar la auditoría unificada de M365. Debes ejecutar el primer comando antes que el segundo. 

Es posible que recibas un mensaje de error si ejecutas el comando Set-AdminAuditLogConfig sin ejecutar primero el comando Enable-OrganizationCustomization. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Tenga en cuenta que el comando Enable-OrganizationCustomization tarda un tiempo en completarse. Además, después de habilitar el registro de auditoría unificado, puede tardar hasta 60 minutos en surtir efecto. 

Luego, vuelve a ejecutar el comando Get-AdminAuditLogConfig para confirmar el estado de inicio de sesión de auditoría. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Si habilitaste la auditoría correctamente a través del Portal de cumplimiento o Windows PowerShell, el último comando debería devolver UnifiedAuditLogIngestionEnabled como Verdadero. Mira la captura de pantalla a continuación. 

Finalmente, puedes desactivar el inicio de sesión de auditoría unificada para tu organización de Microsoft 365 ejecutando el comando a continuación.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

También lea Office 365 vs Exchange Online: ¿Cuál es la diferencia?

Buscar y monitorear los registros de actividad de auditoría de Office 365 para una mayor seguridad

Exploremos cómo buscarlo para actividades relevantes de usuario y administrativas.

En esta sección, le mostramos cómo ejecutar una búsqueda en el registro de auditoría y exportar el resultado a CSV. Además, explicamos cómo analizar los registros de Actividad de Office 365 exportados para una mayor seguridad.

También lea Echa un vistazo a los informes de usuarios de Office 365

Paso 1 (Opción 1 de 2):

Ejecutar una búsqueda en el registro de auditoría de Office 365 en el Portal de Cumplimiento

1. Abra la página de Auditoría de Cumplimiento de Microsoft compliance.microsoft.com/auditlogsearch. Luego, establezca los criterios de búsqueda siguiendo la numeración en la captura de pantalla a continuación:

(1) Rango de fecha y hora (UTC): La herramienta de búsqueda de auditoría selecciona por defecto los últimos 7 días.

Sin embargo, seleccione su rango de datos hasta 90 días a partir de la fecha de inicio. Tenga en cuenta que seleccionar más de 90 días devuelve un mensaje de error.

(2) Búsqueda de palabras clave: si necesita que la herramienta unificada de auditoría de Office 365 encuentre registros sobre una palabra o frase, ingrésela en este campo.

(3) Actividades: un menú desplegable con una larga lista de casillas de verificación.

(4) Tipo de registro: busque tipos de registros específicos como Azure Active Directory.

(5) Carga de trabajo: Para filtrar los criterios de búsqueda por carga de trabajo, haga clic en el menú desplegable y seleccione el servicio de Office 365 del que desea ver los registros de auditoría.

(6) Usuarios: para filtrar los registros de auditoría para usuarios específicos, utilice el criterio de búsqueda para ingresar sus nombres. Si deja el campo de usuario en blanco, la herramienta de búsqueda del Portal de Cumplimiento devuelve registros de auditoría para todos los usuarios en sus servicios de Microsoft 365.

(7) Archivos, carpetas o sitios: busque actividad relacionada con un archivo o carpeta que contenga una palabra clave específica escribiendo parte o todo su nombre. También permite especificar la URL de un archivo o carpeta.

(8) Nombre de búsqueda: dale un nombre a la búsqueda, luego haga clic en Buscar. Finalmente, para ver el estado de los informes, haga clic en Actualizar.

También lea Obtener Miembros de Grupo de Active Directory y Exportar a CSV usando PowerShell

Paso 1 (Opción 2 de 2):

Ejecutar una Búsqueda de Registro de Auditoría de Office 365 usando PowerShell.

Usa PowerShell para realizar búsquedas en el registro de auditoría de Office 365 auditoría. No necesitas usar PowerShell si ya has usado el Portal de Cumplimiento

1. Conectar a Exchange Online usando PowerShell ejecutando los siguientes comandos en orden:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Una vez conectado a Exchange Online, ejecuta el Search-UnifiedAuditLog para buscar en el registro de auditoría unificado de Microsoft 365. 

Los parámetros StartDate y EndDate son los únicos parámetros obligatorios para este cmdlet. Sin embargo, el cmdlet tiene otros parámetros. 

Los comandos a continuación buscan todos los registros de auditoría de los últimos 30 días. 

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

El comando devuelve datos de registro de auditoría para el rango de fechas que especifiques con los parámetros StartDate y EndDate. Ten en cuenta que la fecha de inicio debe ser anterior a la fecha de finalización.

También lea Verifique los registros de auditoría de Azure AD para las conexiones de usuarios (éxitos, fallas)

Paso 2: Ver y exportar los registros de actividad de auditoría de Office 365

Exporte el informe a CSV desde el Portal de cumplimiento o a través de PowerShell.

Haga clic en un informe para exportarlo desde el Portal de cumplimiento. Luego, haga clic en el botón Exportar. 

El informe de auditoría Nueva búsqueda no arrojó resultados cuando escribimos este artículo en mayo de 2023. Sospecho que había un error con él. 

Entonces, usamos la Búsqueda clásica en su lugar. Finalmente, para descargar los registros de auditoría, haga clic en “Exportar”, luego seleccione “Descargar todos los resultados”

Alternativamente, si prefiere exportar el resultado de su registro unificado de Microsoft 365 utilizando PowerShell, use el script a continuación. 

El script incluye algunas de las instrucciones en el “Paso 1 (Opción 2 de 2): Realizar una búsqueda en el registro de auditoría de Office 365 utilizando PowerShell”.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Ejecute el cmdlet SearchUnifiedAuditLog y almacene los resultados en una variable

# Convierta la propiedad AuditData de cada objeto NoteProperty en un objeto de PowerShell y seleccione las propiedades deseadas

# Muestre la tabla resultante

# Exporte la tabla resultante a un archivo CSV

El script muestra resultados en la consola de PowerShell y los exporta a un archivo CSV. 

También lea Cómo proteger Azure AD contra amenazas cibernéticas

Paso 3: Analice los registros de actividad de 365 y utilícelos para una mayor seguridad

Algunas organizaciones monitorean los registros de actividad de Office 365 para mejorar la seguridad, mientras que otras lo hacen por motivos de cumplimiento.
Después de exportar los registros de auditoría de M365, el siguiente paso es analizarlos.

Incluimos un informe de muestra que exportamos utilizando el script de PowerShell anterior.

  • Al utilizar el informe para mejorar la seguridad, busque patrones y acciones potenciales que puedan conducir a brechas de seguridad. Por el contrario, si necesita los registros de auditoría con fines de cumplimiento, busque instancias de infracciones de cumplimiento.
  • También lea Uso de directivas de acceso condicional para mejorar la seguridad de Office 365
  • Cómo supervisar los registros de actividad de Office 365 para mejorar la seguridad Conclusión
  • En conclusión, al supervisar los registros de actividad de Office 365, mejoras la seguridad de tu organización. A lo largo de esta guía, cubrimos lo siguiente:
  • Una visión general del registro de auditoría unificado de Office 365, incluida la compatibilidad con los servicios de Microsoft 365.

Licencias y permisos de Microsoft 365 Audit Log, que son necesarios para supervisar los registros de actividad de Office 365.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/