Microsoft Teams, conceptos y tecnología (Parte VI)
Algo importante en toda solución tecnológica, creo que es la posibilidad de auditar todos los sucesos/eventos importantes que se puedan ir sucediendo a lo largo del tiempo. Como bien sabéis, en Office 365 (incluye todas las aplicaciones: Exchange, SPO, OneDriveFB, Teams, etc..) esto es algo fundamental, puesto que tendremos información corporativa y muchos de los procesos core de nuestros clientes o los nuestros propios. Además, de que muchas industrias tienen un complemento regulador muy importante, sus auditorias están al orden del día, por lo que para muchos clientes la decisión de mover sus servicios a un proveedor externo, pasa por conocer que nivel de detalle tiene su sistema de auditoria. Claramente, Office 365 tiene un sistema muy potente de auditoria, aquí os dejo un enlace de todas las características disponibles en dicha plataforma: Search the audit log in the Office 365 Security & Compliance Center.
Dicho esto y continuando con la serie de artículos de Microsoft Teams, veamos como podemos auditar todo lo que ocurre en Teams. Lo primero que debemos hacer es habilitar la auditoría en Office 365, la cual por defecto viene deshabilitada. Podemos hacerlo de varias formas:
- PowerShell: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
- Portal Office 365: Desde la sección de Security & Compliance tenemos la posibilidad de habilitarlo, como yo ya lo tenía habilitado aquí os dejo un enlace para que veáis como podéis habilitarlo: Office 365 Security and Compliance Center: How to enable Audit Logs
Los registros se almacenarán durante 90 días, luego se irán sobrescribiendo, esto tenedlo muy en cuenta. Si queréis buscar registros de auditoria con una antigüedad superior a 90 días, no será posible, por lo que pensad en exportaciones de los registros de auditoria de forma periódica (este proceso tendrá una validez en interno, si un auditor os pide esos registros y le dais una Excel … vamos, que la podéis modificar y entregarla). Además, una vez habilitada la auditoria, debéis esperar un tiempo hasta poder revisar los registros y analizar dicha información, aquí os dejo los tiempos estimados en función del servicio a auditar cuando podemos encontrarnos registros:
Pues una vez habilitado, veamos como podemos analizar dichos registros y en este caso de Microsoft Teams. Lo primero, desde el Panel de Administración de Office 365 nos vamos a la sección de Security & Compliance, luego accedemos a Audit Log Search dentro de la sección Search & Investigation:
Ahora tendremos ya acceso a la consola para realizar distintos filtros, tanto por fechas como por tipo de actividad dentro de cada servicio
Ahora pulsamos en filtrar por actividades y en el listado que es muestra, tenemos Exchange, SharePoint, OneDrive, etc.. y claramente tenemos Microsoft Teams. Bien podemos seleccionar todas las actividades que podemos auditar o las que nos interese revisar en ese momento:
Una vez filtrado por actividades, podemos afinar más la búsqueda y especificar un intervalo de fechas:
Además, podemos filtrar por usuario o por nombre de fichero, carpeta o sitio (SharePoint), pero en mi caso sólo quiero filtrar por todas las actividades en Teams entre las fechas indicadas. Como vemos, tenemos varios eventos sobre Teams:
Aún podemos afinar más la búsqueda, puesto que podemos filtrar ahora por cualquier columna de las que tenemos disponibles, para ello, pulsamos en el botón Filter Results:
Si queremos buscar todos los registros de algún usuario en concreto, pues en la casilla User escribimos el nombre de usuario por el cual queremos afinar todavía más la búsqueda. En el usuario que yo he filtrado, como podéis apreciar, vemos como ha creado una pestaña y añadido un canal:
Si pulsamos encima de algún registro, ampliaremos más información de que ha hecho el usuario en cuestión:
Y si pulsamos sobre el nombre de usuario, veremos todas las actividades de dicho usuario:
Aquí vemos como se ha creado un equipo y se ha borrado:
Ahora es cuestión de que vosotros sigáis investigando más sobre los registros de auditoria, son muy interesante y tenemos muchísima información muy valiosa.
Algo muy relacionado con las auditorias, o por lo menos a mi me parece muy interesante, es la creación de alertas en función de ciertos eventos que se pueden monitorizar y enviarnos alertas. En la misma consola de Security & Compliance, tenemos la sección de Alertas, en donde podemos crear alertas personalizadas. Yo he creado la siguiente alerta, la cual si alguien borra un equipo de Teams me llegue un e-mail. La configuración como pode´si apreciar no tiene ninguna dificultad. Nuevamente tenemos la opción de elegir una actividad y os muestro todas las actividades que podemos monitorizar/auditar en Teams:
Yo elijo Delete Team y que envíe una alerta a un usuario
Aquí tenemos nuestra alerta creada y habilitada (Status = On)
Ahora, cuando alguien borre un equipo en Teams, me llegará una alerta al respecto como esta:
Por si queréis ver los anteriores artículos sobre Teams, aquí os dejo algunos enlaces:
- Microsoft Teams, conceptos y tecnología (Parte I)
- Microsoft Teams, conceptos y tecnología (Parte II)
- Microsoft Teams, conceptos y tecnología (Parte III)
- Microsoft Teams, conceptos y tecnología (Parte IV)
- Microsoft Teams, conceptos y tecnología (Parte V)
Espero que os sea de utilidad!!!