Por defecto la auditoría de actividad en cuentas de correo no está activada en el centro de Cumplimiento y Seguridad, por lo que no podremos buscar ni investigar en base a estos eventos. Como estos dato son de gran utilidad en cualquier investigación vamos a ver en el siguiente Cybertruco cómo activar esta auditoría de eventos a través de Powershell.
El centro de Cumplimiento y Seguridad (Security & Compliance) , es una parte de la administración de Office 365 que está cogiendo cuerpo a marchas forzadas. Una de las funciones más útiles es la parte de investigación de eventos de todo tipo entre ellos por ejemplo los accesos a cuentas. El problema es que no indica en ningún lado al buscar por este tipo de eventos que hay que activarlos lo que puede crear un poco de confusión.
Vamos a ver como activar la auditoría de estos eventos. Además tendremos el bonus de que toda otra serie de acciones por parte de los administradores, delegados de esa cuenta y usuario en sí quedarán registradas y disponibles para su posterior análisis.
Activar la auditoria de cuentas en Office 365
Para activar esta funcionalidad tendremos que usar Powershell y los cmdlets Get-MailBox y Set-Mailbox para modificar el valor del atributo AuditEnabled. Si queremos activar la auditoría en una sola cuenta ejecutaremos el siguiente comando
Set-Mailbox -Identity [email protected] -AuditEnabled $true
Para activarla en todos nuestros usuarios, ejecutaremos una búsqueda de todas las cuentas y enviaremos el resultado a Set-Mailbox
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true
Definir las acciones a auditar
Por defecto solo una serie de acciones pasan a ser auditadas y además hemos de tener en cuenta que esto puede variar en función del rol. Por ejemplo, supongamos que hemos activado la auditoría sobre “Usuario Ejemplo”. En este caso la acción de borrar un email quedará auditada por defecto si la acción la realiza un administrador o un delegado para la cuenta pero no para el propietario de la cuenta.
En estos casos también depende de la acción y el rol, podremos activar por defecto o no la auditoría de la acción. Tenemos una tabla con toda esta información en la siguiente URL.
Para activar una auditoría de una acción por defecto debemos ejecutar el siguiente comando
Set-Mailbox -identity [email protected] -AuditOwner @{Add="MoveToDeletedItems","HardDelete"}
En este caso hemos activado la auditoria de dos acciones opcionales, como son el borrado de elementos y el borrado de elementos de la papelera de reciclaje por parte del propietario de la cuenta. Para indicar alguno de los otros roles usaremos el parámetro -AuditDelegate o -AuditAdmin.
Comprobar estado de auditoria
Como cada vez que añadamos un usuario deberemos activar para el mismo la auditoría es útil ver cómo podemos rápidamente comprobar el estado de activación de la misma para cualquier usuario. Para comprobarla en un solo usuario ejecutaremos el comando
Get-Mailbox -identity [email protected] | select auditenabled
Mientras que para comprobarlo para todos los usuarios podríamos ejecutar el siguiente
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | select userprincipalname,auditenabled
También podremos obtener más información de los atributos AuditLogAgeLimit, AuditAdmin, AuditDelegate y AuditOwner para hacerlos los informes a nuestra medida.
Finalmente para deshabilitar la auditoría de una cuenta, tan fácil como volver a cambiar el valor del atributo -AuditEnabled
Set-Mailbox -Identity [email protected] -AuditEnabled $false
Es importante que configuremos a consciencia aquellas acciones que deberían ser auditadas ya que en base a estos registros podemos crear nuestras alertas personalizadas y de esta manera alcanzar un nivel mucho mayor de seguridad a la vez que evitar sorpresas ante el comportamiento de ciertos usuarios.