Una función muy importante y que por defecto se encuentra deshabilitada en nuestro tenant de Office 365 es la auditoría.
En este post vamos a ver como habilitarla tanto a nivel de interfaz gráfica como powershell. Una vez habilitada veremos como se registran en el "Audit Log" todos los eventos relacionados con las diversas aplicaciones que componen la suite, Teams, OneDrive, Correo, SharePoint etc....
Habilitar la auditoría es un paso obligatorio para posteriormente trabajar con Cloud App Discovery y sus advanced alerts, esto lo veremos en próximos post.
Habilitar auditoría a través de administración Web:
Con privilegios de administrador Global accedemos a nuestro portal office, accedemos al área de administrador y seleccionamos el centro de administración "Security & Compliance" buscamos la sección de Audit log o auditoría y nos aparecerá la opción de "Habilitar" bien resaltada:
Tomar nota que los eventos, dependiendo del servicio origen, tardarán entre 30 minutos y 24 horas en aparecer. Los registros de auditoría estarán disponibles durante 90 días en planes estándar y hasta 365 días en planes Enterprise E5.
Habilitar auditoría a través de Powershell
Una vez habilitada la función y tras un tiempo prudencial, podremos comenzar a usar la búsqueda de eventos relacionados con cualquier aplicación de office 365, crear, borrar buzones, compartir, descargar, eliminar, documento en OneDrive o SharePoint etc...
Otro tema interesante es que para un resultado de búsqueda, por ejemplo "Se ha creado nuevo usuario" se puede configurar una alerta que se desencadenará ante este evento en cuestión.
En próximos post veremos como configurar "Advanced Alerts" usando "Cloud App Discovery", función algo desconocida que es muy interesante pero sobre todo importante cuando cada vez estamos subiendo mas información a la nube y queremos tener cierto control y supervisión.
Un saludo.
No hay comentarios:
Publicar un comentario