Office 365: Auditoria en Exchange Online

Nota: La información contenida en este post es en relación en el momento en que escribo. Como los productos evolucionan, voy a intentar actualizar este post para que la información quede tan correcta como sea posible.

Utilice la página de auditorías del centro de administración de Exchange para solucionar los problemas de configuración mediante el seguimiento de cambios específicos que los administradores han efectuado para ayudarle a cumplir los requisitos normativos, de cumplimiento normativo y de litigio.

Mediante el uso de directivas de auditoría de Office 365, los clientes pueden ingresar eventos, incluyendo ver, editar y borrar contenido como mensajes de correo electrónico, documentos, listas de tareas, listas de temas, grupos de discusión y calendarios. Cuando la auditoría está habilitada como parte de una política de gestión de información, los administradores pueden ver los datos de auditoría y resumir el uso actual. Los administradores pueden utilizar estos informes para determinar qué información se utiliza dentro de la organización, administrar cumplimiento e investigar las áreas de preocupación.

Para administradores de Office 365, una de las funciones de su rol puede crear informes de auditoría para Exchange Online. Los diferentes informes de auditoría que están disponibles en Office 365 y describe por qué son útiles y cómo crearlos.

Exchange Online mantendrá elementos de auditoría durante 90 días (de propiedad AuditLogAgeLimit). Los elementos de auditoría no son grandes típicamente ocupa entre 1,5 KB y 3KB cada uno.

image

La propiedad AuditAdmin define las acciones de auditoría administrativa. Estas no son acciones como el registro de un administrador en un buzón, sino más bien acciones como la importación de mensajes en un buzón de correo desde un archivo PST.

AuditDelegate es la más interesante de las cinco propiedades, ya que controla la auditoría para los delegados. Un delegado es un usuario que no es el propietario principal de un buzón de correo, sino que tiene cierto nivel de acceso para abrir el buzón de correo y acceder a su contenido.

AuditOwner. Como era de esperar, el conjunto predeterminado de acciones de auditoría especificados para la propiedad AuditOwner está vacía. Esta propiedad controla las acciones que se auditan cuando el usuario accede a los elementos del buzón. La auditoría de cada acción del usuario generará rápidamente una gran cantidad de artículos, por lo que este nivel de auditoría es el más reservado para sólo cuando es absolutamente necesario.

Pero la auditoría de cuentas no está habilitado de forma predeterminada.

 

Acción

Descripción

Administradores

Delegados

Actualización

Un mensaje se cambió.

Copia

Un mensaje se copia en otra carpeta.

No

No

Movimiento

Un mensaje fue movido a otra carpeta.

No

Mover a Elementos eliminados

Un mensaje se mueve a la carpeta Elementos eliminados.

No

SoftDelete

Un mensaje se ha eliminado de la carpeta Elementos eliminados.

HardDelete

Eliminar mensaje de Elementos recuperables
carpeta

FolderBind

Se accedió a una carpeta del buzón.

No

Enviar como

Se envió un mensaje usando el permiso Enviar como. Esto significa que otro usuario ha enviado el mensaje como si viniera desde el propietario del buzón.

Enviar en nombre de

Se envía un mensaje utilizando el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje en nombre del propietario del buzón. El mensaje indicará al destinatario que el mensaje fue enviado en nombre y quién envió realmente el mensaje.

No

MessageBind

Un mensaje se visualiza en el panel de vista previa o abierto.

No

No

1. Buzón no propietario acceso informes en Office 365

El informe de acceso al buzón no es propietario identifica buzones que han sido accedidos por alguien que no sea el propietario del buzón y las acciones que fueron tomadas por el no propietario.

Cuando la auditoría está habilitado en un buzón de correo, los registros de auditoría se crearon cualquier momento ese buzón se accede por un no propietario. El informe no propietario acceso rápido muestra que el acceso. Esto es ideal para casos legales en los que tienes que ser capaz de identificar cualquier acceso que no sea el propietario del buzón, o para asegurar que las normas de privacidad de las empresas están siendo.

· Asegúrese de que seleccionar «Portal de Administración » de la lista Exchange.

image

· Seleccionar Administración de cumplimiento, seleccionar la pestaña auditoría.

image

· Haga clic en «Ejecuta un informe de acceso al buzón de correo que no es propietario»

image

· Seleccione cualquier buzón o realizaría la búsqueda en todos los buzones, como mostrara los datos:

* Fecha / hora de acceso de los usuarios

* ¿Qué se ha accedido a los buzones de correo?

* ¿Quién accede a los buzones de correo – administradores, delegados?

SNAGHTML97de5b

· Podemos a imprimir el informe, en la imagen de la impresora.

SNAGHTML98a7d5

2. Exportar registros de auditoria

En el mismo panel del administrador de Exchange, seleccionamos exportar registros de auditoria de buzones de correo.

image

Indicamos la fecha de búsqueda, indicando el acceso e indicando el correo a enviar dicho informe, clic en exportar.

image

3. Creación de cuenta del auditor

· Asegúrese de que seleccionar «Portal de Administración de Exchange Online» de la lista desplegable de opciones.

image

· Seleccionamos Permisos, procederemos a crear el grupo de rol en el símbolo +.

image

· Procedemos a escribir el nombre que tendrá, opcional agregamos una breve descripción, seleccionamos el signo + agregaremos el rol que tendrá el grupo.

image

Agregaremos los roles que tendrá al seleccionar veremos una descripción y aceptamos.

image

Agregamos a los usuarios que tendrán permisos del rol asignado y procedemos a guardar. Los cambios tomarían unos 15 minutos.

image

Ingresamos a la ruta https://outlook.office365.com/ecp/ y veremos los permisos otorgados para proceder a realizar las auditorias.

image