Cerrar
InicioMicrosoft TEAMSMicrosoft Teams, conceptos y tecnología (Parte VI)

Microsoft Teams, conceptos y tecnología (Parte VI)

Algo importante en toda solución tecnológica, creo que es la posibilidad de auditar todos los sucesos/eventos importantes que se puedan ir sucediendo a lo largo del tiempo. Como bien sabéis, en Office 365 (incluye todas las aplicaciones: Exchange, SPO, OneDriveFB, Teams, etc..) esto es algo fundamental, puesto que tendremos información corporativa y muchos de los procesos core de nuestros clientes o los nuestros propios. Además, de que muchas industrias tienen un complemento regulador muy importante, sus auditorias están al orden del día, por lo que para muchos clientes la decisión de mover sus servicios a un proveedor externo, pasa por conocer que nivel de detalle tiene  su sistema de auditoria. Claramente, Office 365 tiene un sistema muy potente de auditoria, aquí os dejo un enlace de todas las características disponibles en dicha plataforma: Search the audit log in the Office 365 Security & Compliance Center.

Dicho esto y continuando con la serie de artículos de Microsoft Teams, veamos como podemos auditar todo lo que ocurre en Teams. Lo primero que debemos hacer es habilitar la auditoría en Office 365, la cual por defecto viene deshabilitada. Podemos hacerlo de varias formas:

  • PowerShell: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  • Portal Office 365: Desde la sección de Security & Compliance tenemos la posibilidad de habilitarlo, como yo ya lo tenía habilitado aquí os dejo un enlace para que veáis como podéis habilitarlo: Office 365 Security and Compliance Center: How to enable Audit Logs

Los registros se almacenarán durante 90 días, luego se irán sobrescribiendo, esto tenedlo muy en cuenta. Si queréis buscar registros de auditoria con una antigüedad superior a 90 días, no será posible, por lo que pensad en exportaciones de los registros de auditoria de forma periódica (este proceso tendrá una validez en interno, si un auditor os pide esos registros y le dais una Excel … vamos, que la podéis modificar y entregarla). Además, una vez habilitada la auditoria, debéis esperar un tiempo hasta poder revisar los registros y analizar dicha información, aquí os dejo los tiempos estimados en función del servicio a auditar cuando podemos encontrarnos registros:

Pues una vez habilitado, veamos como podemos analizar dichos registros y en este caso de Microsoft Teams. Lo primero, desde el Panel de Administración de Office 365 nos vamos a la sección de Security & Compliance, luego accedemos a Audit Log Search dentro de la sección Search & Investigation:Audit Trail Teams

Ahora tendremos ya acceso a la consola para realizar distintos filtros, tanto por fechas como por tipo de actividad dentro de cada servicioAudit Trail Teams

Ahora pulsamos en filtrar por actividades y en el listado que es muestra, tenemos Exchange, SharePoint, OneDrive, etc.. y claramente tenemos Microsoft Teams. Bien podemos seleccionar todas las actividades que podemos auditar o las que nos interese revisar en ese momento:Audit Trail Teams

Una vez filtrado por actividades, podemos afinar más la búsqueda y especificar un intervalo de fechas: Audit Trail Teams

Además, podemos filtrar por usuario o por nombre de fichero, carpeta o sitio (SharePoint), pero en mi caso sólo quiero filtrar por todas las actividades en Teams entre las fechas indicadas. Como vemos, tenemos varios eventos sobre Teams: Audit Trail Teams

Aún podemos afinar más la búsqueda, puesto que podemos filtrar ahora por cualquier columna de las que tenemos disponibles, para ello, pulsamos en el botón Filter Results: Audit Trail Teams

Si queremos buscar todos los registros de algún usuario en concreto, pues en la casilla User escribimos el nombre de usuario por el cual queremos afinar todavía más la búsqueda. En el usuario que yo he filtrado, como podéis apreciar, vemos como ha creado  una pestaña y añadido un canal: Audit Trail Teams

Si pulsamos encima de algún registro, ampliaremos más información de que ha hecho el usuario en cuestión:Audit Trail Teams

Y si pulsamos sobre el nombre de usuario, veremos todas las actividades de dicho usuario: Audit Trail Teams

Aquí vemos como se ha creado un equipo y se ha borrado:Audit Trail Teams

Ahora es cuestión de que vosotros sigáis investigando más sobre los registros de auditoria, son muy interesante y tenemos muchísima información muy valiosa.

Algo muy relacionado con las auditorias, o por lo menos a mi me parece muy interesante, es la creación de alertas en función de ciertos eventos que se pueden monitorizar y enviarnos alertas. En la misma consola de Security & Compliance, tenemos la sección de Alertas, en donde podemos crear alertas personalizadas. Yo he creado la siguiente alerta, la cual si alguien borra un equipo de Teams me llegue un e-mail. La configuración como  pode´si apreciar no tiene ninguna dificultad. Nuevamente tenemos la opción de elegir una actividad y os muestro todas las actividades que podemos monitorizar/auditar en Teams:

Audit Trail Teams

Yo elijo Delete Team y que envíe una alerta a un usuario Audit Trail Teams

Aquí tenemos nuestra alerta creada y habilitada (Status = On)

Audit Trail Teams

Ahora, cuando alguien borre un equipo en Teams, me llegará una alerta al respecto como esta:

Por si queréis ver los anteriores artículos sobre Teams, aquí os dejo algunos enlaces:

Espero que os sea de utilidad!!!

Microsoft Teams, con
Cloud App Security e
NO HAY COMENTARIOS

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This