Por defecto la auditoría de actividad en cuentas de correo no está activada en el centro de Cumplimiento y Seguridad, por lo que no podremos buscar ni investigar en base a estos eventos. Como estos dato son de gran utilidad en cualquier investigación vamos a ver en el siguiente Cybertruco cómo activar esta auditoría de eventos a través de Powershell.

office 365 security and compliance

 

El centro de Cumplimiento y Seguridad (Security & Compliance) , es una parte de la administración de Office 365 que está cogiendo cuerpo a marchas forzadas. Una de las funciones más útiles es la parte de investigación de eventos de todo tipo entre ellos por ejemplo los accesos a cuentas. El problema es que no indica en ningún lado al buscar por este tipo de eventos que hay que activarlos lo que puede crear un poco de confusión.

Vamos a ver como activar la auditoría de estos eventos. Además tendremos el bonus de que toda otra serie de acciones por parte de los administradores, delegados de esa cuenta y usuario en sí quedarán registradas y disponibles para su posterior análisis.

Activar la auditoria

Para activar esta funcionalidad tendremos que usar Powershell y los cmdlets Get-MailBox y Set-Mailbox para modificar el valor del atributo AuditEnabled. Si queremos activar la auditoría en una sola cuenta ejecutaremos el siguiente comando

Set-Mailbox -Identity [email protected] -AuditEnabled $true

Para activarla en todos nuestros usuarios, ejecutaremos una búsqueda de todas las cuentas y enviaremos el resultado a Set-Mailbox

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Definir las acciones a auditar

Por defecto solo una serie de acciones pasan a ser auditadas y además hemos de tener en cuenta que esto puede variar en función del rol. Por ejemplo, supongamos que hemos activado la auditoría sobre “Usuario Ejemplo”. En este caso la acción de borrar un email quedará auditada por defecto si la acción la realiza un administrador o un delegado para la cuenta pero no para el propietario de la cuenta.

En estos casos también depende de la acción y el rol, podremos activar por defecto o no la auditoría de la acción. Tenemos una tabla con toda esta información en la siguiente URL.

Para activar una auditoría de una acción por defecto debemos ejecutar el siguiente comando

Set-Mailbox -identity [email protected] -AuditOwner @{Add="MoveToDeletedItems","HardDelete"}

En este caso hemos activado la auditoria de dos acciones opcionales, como son el borrado de elementos y el borrado de elementos de la papelera de reciclaje por parte del propietario de la cuenta. Para indicar alguno de los otros roles usaremos el parámetro -AuditDelegate o -AuditAdmin.

Comprobar estado de auditoria

Como cada vez que añadamos un usuario deberemos activar para el mismo la auditoría es útil ver cómo podemos rápidamente comprobar el estado de activación de la misma para cualquier usuario. Para comprobarla en un solo usuario ejecutaremos el comando

Get-Mailbox -identity [email protected] | select auditenabled

Mientras que para comprobarlo para todos los usuarios podríamos ejecutar el siguiente

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | select userprincipalname,auditenabled

También podremos obtener más información de los atributos AuditLogAgeLimit, AuditAdmin, AuditDelegate y AuditOwner para hacerlos los informes a nuestra medida.

Finalmente para deshabilitar la auditoría de una cuenta, tan fácil como volver a cambiar el valor del atributo -AuditEnabled

Set-Mailbox -Identity [email protected] -AuditEnabled $false

Es importante que configuremos a consciencia aquellas acciones que deberían ser auditadas ya que en base a estos registros podemos crear nuestras alertas personalizadas y de esta manera alcanzar un nivel mucho mayor de seguridad a la vez que evitar sorpresas ante el comportamiento de ciertos usuarios.

Fuente Microsoft