Más información sobre las soluciones de auditoría en Microsoft Purview

Las soluciones de auditoría de Microsoft Purview proporcionan una solución integrada para ayudar a las organizaciones a responder eficazmente a eventos de seguridad, investigaciones forenses, investigaciones internas y obligaciones de cumplimiento. Miles de operaciones de usuarios y administradores que se realizan en docenas de servicios y soluciones de Microsoft 365 se capturan, graban y retienen en el registro de auditoría unificado de su organización. Los registros de auditoría de estos eventos pueden ser objeto de búsqueda por las operaciones de seguridad, los administradores de TI, los equipos de riesgos de Insider, así como por los investigadores del cumplimiento y la legislación legal de la organización. Esta funcionalidad permite ver las actividades que se realizan en toda la organización de Microsoft 365.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Comparación de funcionalidades clave

En la tabla siguiente se comparan las funcionalidades clave disponibles en Auditoría (Estándar) y Auditoría (Premium). Toda la funcionalidad de Auditoría (estándar) se incluye en Auditoría (Premium).

Funcionalidad Auditoría (estándar) Auditoría (Premium)
Habilitado de forma predeterminada Apoyado. Apoyado.
Miles de eventos de auditoría que se pueden buscar Apoyado. Se admite.
Herramienta de búsqueda de Auditoría en el portal de cumplimiento Se admite. Apoyado.
Cmdlet Search-UnifiedAuditLog Apoyado. Apoyado.
Exportar registros de auditoría a un archivo CSV Apoyado. Apoyado.
Acceso a registros de auditoría a través de la API de Actividad de administración de Office 365 1 Apoyado. Apoyado.
Retención de registros de auditoría de 180 días Apoyado. Apoyado.
Retención de 1 año de registros de auditoría Apoyado.
Retención de 10 años de registros de auditoría 2 Compatible
Directivas de retención de los registros de auditoría Compatible
Información inteligente Apoyado

Nota:

1 Auditoría (Premium) incluye un mayor acceso de ancho de banda a la API de actividad de administración de Office 365, lo que proporciona un acceso más rápido a los datos de auditoría.
2 Además de las licencias necesarias para Audit (Premium) (que se describen en la sección siguiente), se debe asignar a un usuario una licencia complementaria de retención de registros de auditoría de 10 años para conservar sus registros de auditoría durante 10 años.

Auditoría (estándar)

Auditoría de Microsoft Purview (Estándar) le proporciona la capacidad de registrar y buscar actividades auditadas y potenciar sus investigaciones forenses, de TI, de cumplimiento y legales.

  • Habilitado de forma predeterminada. Auditoría (Estándar) está activada de forma predeterminada para todas las organizaciones con la suscripción adecuada. Esto significa que los registros de las actividades auditadas se capturan y se pueden buscar. La única configuración necesaria es asignar los permisos necesarios para acceder a la herramienta de búsqueda de registros de auditoría (y el cmdlet correspondiente) y asegurarse de que a los usuarios se les asigna la licencia adecuada para las características de Auditoría de Microsoft Purview (Premium).

  • Miles de eventos de auditoría que se pueden buscar. Puede buscar una amplia gama de actividades auditadas que se producen en la mayoría de los servicios de Microsoft 365 de la organización. Para obtener una lista de las actividades que puede buscar, consulte Auditar actividades de registro. Para obtener una lista de los servicios y características compatibles con actividades auditadas, vea Tipos de registros de auditoría.

  • Herramienta de búsqueda de Auditoría en el portal de cumplimiento de Microsoft Purview. Use la herramienta de búsqueda de registros de Auditoría en el portal de cumplimiento para buscar registros de auditoría. Puede buscar actividades específicas, actividades realizadas por usuarios específicos y actividades realizadas en un intervalo de fechas.

  • cmdlet Search-UnifiedAuditLog. También puede usar el cmdlet Search-UnifiedAudtLog en PowerShell de Exchange Online (el cmdlet subyacente de la herramienta de búsqueda) para buscar eventos de auditoría o para usarlo en un script. Para más información vea:

  • Exportar registros de auditoría a un archivo CSV. Después de ejecutar la herramienta de búsqueda de registros de auditoría del Portal de cumplimiento, puede exportar los registros de auditoría encontrados a un archivo CSV. Esto le permite usar Microsoft Excel para ordenar y filtrar según diferentes propiedades de los registro de auditoría. También puede usar la funcionalidad de transformación de Power Query de Excel para dividir cada propiedad del objeto JSON de AuditData en su propia columna. Esto le permite ver y comparar eficazmente datos similares de diferentes eventos. Para más información, consulteExportar, configurar y ver registros de auditoría.

  • Acceso a registros de auditoría a través de la API de Actividad de administración de Office 365. Un tercer método para obtener acceso y encontrar registros de auditoría es usar la API de Actividad de administración de Office 365. Esto permite a las organizaciones conservar los datos de auditoría durante períodos más largos que los 180 días predeterminados y les permite importar sus datos de auditoría a una solución SIEM. Para obtener más información, consulte la referencia de la API de Actividad de administración de Office 365.

  • Retención de registros de auditoría de 180 días. Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización. En Auditoría (estándar), los registros se conservan durante 180 días, lo que significa que puede buscar actividades que se produjeron en los últimos seis meses.

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

Auditoría (Premium)

Importante

La búsqueda clásica se ha retirado a partir del 30 de noviembre de 2023. La nueva búsqueda incluye mejoras como tiempos de búsqueda más rápidos, opciones de búsqueda adicionales, capacidad de guardar búsquedas y mucho más.

La auditoría (Premium) se basa en las funcionalidades de Auditoría (estándar) al proporcionar directivas de retención de registros de auditoría, una retención más larga de registros de auditoría, información inteligente de alto valor y un mayor acceso de ancho de banda a la API de actividad de administración de Office 365.

  • Directivas de retención de registros de auditoría. Puede crear directivas de retención de registros de auditoría personalizadas para conservar los registros de auditoría durante períodos de tiempo de hasta un año (y hasta 10 años para los usuarios con la licencia de complemento necesaria). Puede crear una directiva para conservar los registros de auditoría según el servicio donde se producen las actividades auditadas, según actividades auditadas específicas o en función el usuario que realiza una actividad auditada.
  • Retención prolongada de registros de auditoría. Microsoft Entra ID, Exchange, OneDrive y los registros de auditoría de SharePoint se conservan durante un año de forma predeterminada. Los registros de auditoría de todas las demás actividades se conservan durante 180 días de forma predeterminada, o puede usar directivas de retención de registros de auditoría para configurar períodos de retención más largos.
  • Información inteligente de auditoría (Premium). Los registros de auditoría para información inteligente pueden ayudar a su organización a realizar investigaciones forenses y de cumplimiento proporcionando visibilidad a eventos como cuándo se accedió a los elementos de correo, o cuándo se respondieron y reenviaron los elementos de correo, o cuándo y qué ha buscado un usuario en Exchange Online y SharePoint Online. Estas conclusiones inteligentes pueden ayudarle a investigar posibles infracciones y determinar el ámbito de riesgo.
  • Mayor ancho de banda para la API de Actividad de administración de Office 365 Auditoría (Premium) proporciona a las organizaciones más ancho de banda para acceder a los registros de auditoría a través de la API de actividad de administración de Office 365. Aunque a todas las organizaciones, que tienen Auditoría (Estándar) o Auditoría (Premium), se les asigna inicialmente una línea base de 2 000 solicitudes por minuto, este límite aumentará dinámicamente según el número de puestos de una organización y su suscripción de licencia. Esto hace que las organizaciones con Auditoría (Premium) obtengan aproximadamente el doble de ancho de banda que las organizaciones con Auditoría (Estándar).

Retención a largo plazo de los registros de auditoría

Audit (Premium) conserva todos los registros de auditoría de Exchange, SharePoint y Microsoft Entra durante un año. Esto se logra mediante una directiva de retención de registros de auditoría predeterminada que conserva cualquier registro de auditoría que contenga el valor de AzureActiveDirectory, Exchange, OneDrive o SharePoint para la propiedad Workload (que indica el servicio en el que se produjo la actividad) durante un año. Retener registros de auditoría durante períodos más prolongados puede ser de ayuda para investigaciones en curso de cumplimiento y forenses. Para más información, vea la sección "Directiva predeterminada de retención de registros de auditoría" en Administrar las directivas de retención de registros de auditoría.

Además de las funcionalidades de retención de un año de Auditoría (Premium), también hemos publicado la funcionalidad para conservar los registros de auditoría durante 10 años. La retención de los registros de auditoría durante 10 años ofrece soporte a investigaciones de larga duración y ayuda a responder frente a obligaciones reglamentarias, jurídicas e internas.

Nota:

Conservar los registros de auditoría durante 10 años requiere una licencia adicional de complemento por usuario. Después de asignar esta licencia a un usuario y de establecer una directiva de retención de registros de auditoría de 10 años para ese usuario, los registros de auditoría cubiertos por esa directiva comenzarán a conservarse durante un período de 10 años. Esta directiva no es retroactiva y no puede conservar los registros de auditoría que hayan sido generados antes de que se creara la directiva de retención por 10 años.

Directivas de retención de los registros de auditoría

Todos los registros de auditoría generados en otros servicios que no están cubiertos por la directiva de retención de registros de auditoría predeterminada (descrita en la sección anterior) se conservan durante 180 días. Sin embargo, puede crear directivas de retención de registro personalizados de auditoría para conservar otros registros de auditoría durante periodos de tiempo de hasta 10 años. Puede crear una directiva para conservar registros de auditoría en función de uno o varios de los siguientes criterios:

  • Las actividades auditadas se realizan en el servicio de Microsoft 365.
  • Especificar las actividades auditadas.
  • Ser el usuario que realiza la actividad auditada.

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

También puede especificar cuánto tiempo se conservarán los registros de auditoría que coincidan con la directiva y un nivel de prioridad para que las directivas específicas tomen prioridad sobre otras directivas. Tenga en cuenta también que cualquier directiva de retención de registros de auditoría personalizada tiene prioridad sobre la directiva de retención de auditoría predeterminada en caso de que necesite conservar registros de auditoría de Exchange, SharePoint o Azure Active Directory durante menos de un año (o durante 10 años) para algunos o todos los usuarios de su organización. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.

Importante

La duración del elemento de auditoría de los datos se determina cuando se agrega a la canalización de auditoría y se basa en los valores predeterminados de licencia o las directivas de retención aplicables. Los cambios en las licencias o las directivas de retención aplicables cambian la hora de expiración de los datos de auditoría después de la actualización. Estos cambios no cambian los elementos confirmados anteriormente.

Propiedades de actividad de auditoría (Premium)

La Auditoría (Premium) ayuda a las organizaciones a llevar a cabo investigaciones forenses y de cumplimiento mediante el acceso a eventos fundamentales, como cuándo se obtuvo acceso a elementos del correo o bien, cuándo se respondió a los elementos del correo y cuándo se reenviaron, y cuándo y qué buscó un usuario en Exchange Online y en SharePoint Online. Estos eventos pueden ayudarle a investigar posibles vulneraciones y determinar el alcance de la intromisión. Además de estos eventos en Exchange y SharePoint, hay eventos en otros servicios de Microsoft 365 que se consideran eventos importantes y requieren que los usuarios tengan asignada la licencia de Auditoría (Premium) adecuada. A los usuarios se les debe asignar una licencia de auditoría (Premium) para que los registros de auditoría se generen cuando los usuarios realicen estos eventos.

Estas actividades requieren que a los usuarios se les asigne la licencia de auditoría (Premium) adecuada. A los usuarios se les debe asignar una licencia de auditoría (Premium) para que los registros de auditoría se generen cuando los usuarios realicen estas actividades y propiedades.

Audit (Premium) proporciona acceso a las siguientes propiedades de actividad:

Exchange Online

Actividad Propiedad
MailItemsAccessed SensitivityLabel

Microsoft Teams

Actividad Propiedad
ChatCreated AppAccessContext
ChatRetrieved AppAccessContext
ChatUpdated AppAccessContext
MeetingParticipantDetail IsJoinedFromLobby
ArtifactShared
MessageCreatedNotification AppAccessContext
MessageDeletedNotification AppAccessContext
MessageHostedContentsListed AppAccessContext
MessageHostedContentRead AppAccessContext
MessagesListed AppAccessContext
MessageRead AppAccessContext
MessageSent AppAccessContext
ParticipatingDomainInformation
ParticipantInfo
MessageUpdated ParticipantInfo
AppAccessContext
MessageUpdatedNotification AppAccessContext
SubscribedToMessages AppAccessContext

Acceso de banda ancha a la API de Actividad de administración de Office 365

Las organizaciones que tienen acceso a registros de auditoría a través de la API de Actividad de administración de Office 365 se restringieron con límites en el nivel de publicador. Esto significa que, para un editor que extrae datos en nombre de varios clientes, todos los clientes han compartido el límite.

Con Audit (Premium), esto ha cambiado de un límite de nivel de publicador a un límite de nivel de inquilino. El resultado es que cada organización obtiene su propia cuota de ancho de banda totalmente asignada para acceder a sus datos de auditoría. El ancho de banda no es un límite estático y predefinido, sino que se modela en una combinación de factores, incluido el número de puestos de la organización y que las organizaciones de E5/A5/G5 obtienen más ancho de banda que las organizaciones que no son de E5/A5/G5.

Se asigna inicialmente una línea base de 2000 solicitudes por minuto a todas las organizaciones. Este límite aumenta dinámicamente en función del número de puestos y la suscripción de licencias de una organización. Las organizaciones E5/A5/G5 obtienen aproximadamente el doble de ancho de banda que las organizaciones que no son de E5/A5/G5. Hay un límite en el ancho de banda máximo para proteger el estado del servicio.

Para obtener más información, consulte la sección limitación de API en Office 365 Referencia de api de actividad de administración.

Requisitos de licencias

Antes de empezar, revise los requisitos de suscripción de Auditoría (Estándar) y Auditoría (Premium).

Formación

Entrenar al equipo de operaciones de seguridad, a los administradores de TI y al equipo de investigadores de cumplimiento en los aspectos básicos de Auditoría (estándar) y Auditoría (Premium) puede ayudar a su organización a empezar a usar la auditoría más rápidamente para ayudar con sus investigaciones. Microsoft Purview proporciona el siguiente recurso para ayudar a estos usuarios de su organización a iniciarse en las auditorías: describir las capacidades de eDiscovery y auditoría de Microsoft Purview.