Auditoría y registro

Proteja sus datos manteniendo visibilidad de las alertas de seguridad y responda rápidamente a dichas alertas de forma oportuna

La auditoría y el registro de los eventos de seguridad, así como las alertas relacionadas, son componentes esenciales para implantar una estrategia eficaz de protección de datos. Los registros y los informes de seguridad conforman un historial electrónico de las actividades sospechosas y ayudan a detectar patrones que podrían indicar que se ha intentado o se ha conseguido acceder a la red, ya sea interna o externamente. Puede utilizar la función de auditoría para supervisar la actividad de los usuarios, documentar el cumplimiento normativo o realizar análisis forenses, entre otras funciones. Las alertas le avisan de inmediato cuando se produce un incidente de seguridad.

Los productos y servicios empresariales de Microsoft le proporcionan opciones configurables de registro y de auditoría de seguridad para ayudarle a identificar vacíos en los mecanismos y directivas de seguridad, así como métodos para abordarlos y evitar incidentes de seguridad. Los servicios de Microsoft le ofrecen varias de las siguientes opciones (y, en algunos casos, todas ellas): sistemas centralizados de supervisión, registro y análisis que proporcionan una visibilidad continua, alertas e informes para ayudarle a administrar la gran cantidad de información que se genera en los dispositivos y servicios.

Los datos de registro de Microsoft Azure pueden exportarse a Sistemas de Administración de Eventos e Información de Seguridad (SIEM, por sus siglas en inglés) para su análisis. Además, Windows Server 2016 cuenta con funciones básicas y avanzadas de auditoría de seguridad y se integra con soluciones de auditoría externas.

Identidad segura

Los administradores son los únicos que pueden configurar las funcionalidades de auditoría de la seguridad de los productos y servicios empresariales de Microsoft, así como el acceso a sus registros. Las identidades de los usuarios administradores se autentican con Active Directory a través de Windows Server 2016 o Azure Active Directory a través de la nube.

Windows Server 2016 permite que la pertenencia a grupos caduque, lo que significa que puede otorgar privilegios de administrador a un usuario por un tiempo limitado (administración "Just in Time") y privilegios de administrador restringidos (administración "Just Enough"). Azure y Microsoft Office 365 permiten la autenticación multifactor en la nube.

Infraestructura segura

Microsoft ofrece tecnologías de registro y de supervisión para que pueda tener la máxima visibilidad de la actividad de su red basada en la nube, de las aplicaciones y de los dispositivos, lo que le permitirá identificar posibles brechas en la seguridad. La capacidad de recopilar y analizar dicha información y filtrarla para que se ajuste a sus criterios resulta esencial para identificar los patrones y tendencias que sigue su red. De este modo, si se producen eventos de seguridad, tendrá acceso a unos datos que le permitirán realizar las investigaciones necesarias como parte del proceso de respuesta ante incidentes. Puede emplear estos datos para planificar e implementar una protección más avanzada de su infraestructura con el objetivo de evitar incidentes futuros de manera proactiva, así como mejorar la seguridad de sus datos y recursos.

También se necesitan registros de auditoría detallados para cumplir las normativas gubernamentales y de la industria.

Microsoft dispone de numerosas opciones para auditar y registrar eventos de seguridad.

  • Los registros de eventos de seguridad se pueden personalizar para adaptarlos a sus necesidades específicas en materia de seguridad y generación de informes. Además, pueden ayudarle a hacer un seguimiento de las actividades que podrían suponer una amenaza para sus máquinas virtuales en la nube o sus sistemas locales.
  • Las directivas de auditoría establecen los tipos de eventos y usuarios que se van a auditar.
  • Las alertas de seguridad son mensajes que se envían a través de paneles, correo electrónico u otros medios, que le avisan cuando se está produciendo o se ha producido un evento relacionado con la seguridad.
  • Las herramientas de exportación pueden enviar los datos a SIEM de terceros.
  • Las herramientas de alerta y supervisión externas, que están disponibles en Azure Marketplace, pueden mejorar la efectividad de la auditoría y de los informes.
  • Azure Security Center es un portal centralizado desde el que puede proteger las implementaciones de Azure, así como impedir amenazas, detectarlas y responder a ellas con una mayor visibilidad de la seguridad de sus recursos de Azure. Azure Security Center proporciona recomendaciones de seguridad pertinentes y permite implementar rápidamente las tecnologías integradas de socios de negocio. Azure Security Center utiliza el análisis del comportamiento y el machine learning para detectar las amenazas de forma eficaz y ayuda a crear una cronología de los ataques para solucionarlos con mayor rapidez.

Obtenga más información sobre Azure Security Center

Aplicaciones y datos seguros

Los productos y servicios de Microsoft cuentan con características de seguridad integradas, como la auditoría y el registro, que le proporcionan información sobre el estado y los eventos de seguridad.

Expandir todo

Azure cuenta con funciones de auditoría y registro que le permiten:

  • Crear un registro de auditoría para las aplicaciones que se implementan en Azure y en máquinas virtuales creadas desde Azure Virtual Machines Gallery. Azure habilita un conjunto de incidentes de seguridad del sistema operativo de forma predeterminada. Puede agregar, quitar o modificar los eventos que se van a auditar personalizando la directiva de auditoría. Además de generar registros de eventos de Windows, puede configurar los componentes del sistema operativo para crear registros a fin de analizar y supervisar la seguridad.

    Obtenga más información sobre la recopilación de registros de auditoría y seguridad
  • Realice análisis centralizados de grandes conjuntos de datos recopilando los eventos de seguridad de la infraestructura como servicio (IaaS) y de la plataforma como servicio (PaaS) de Azure. Después de ello, puede utilizar HDInsight para agregar estos eventos, analizarlos y exportarlos a sistemas SIEM locales para realizar una supervisión continua.

    Obtenga más información sobre HDInsight
  • Supervise la creación de informes de uso y de acceso aprovechando el registro que hace Azure de las operaciones administrativas, como el acceso al sistema, para crear un registro de auditoría en caso de que se produzcan cambios accidentales o no autorizados. Puede recuperar registros de auditoría de su inquilino de Azure Active Directory y consultar los informes de acceso y uso. Esto mejora la visibilidad de la integridad y seguridad de su implementación, y le ayuda a determinar mejor dónde pueden residir los posibles riesgos de seguridad. En Azure Management Portal, puede consultar informes de activos y de uso que contienen eventos anómalos de inicio de sesión, informes específicos del usuario y registros de actividad.

    Obtenga más información sobre cómo usar los informes de acceso y de uso
  • Exportar las alertas de seguridad a un sistema SIEM local a través de Azure Diagnostics, que se puede configurar para recopilar los registros de eventos de seguridad de Windows u otros registros específicos de seguridad. También puede exportar estos datos a un SIEM local o externo para realizar análisis y crear alertas.

    Obtenga más información sobre cómo habilitar Azure Diagnostics
  • Obtenga herramientas de terceros de alertas, informes y supervisión de la seguridad en Azure Marketplace, entre las que se incluyen:

Los servicios profesionales de Microsoft usan un enfoque basado en riesgos para registrar y auditar sus sistemas. Durante la etapa de desarrollo, se evalúan e implementan los requisitos de registro de referencia. En los sistemas que presentan un riesgo moderado o alto (según su nivel de confidencialidad, volumen de datos y otros criterios), los servicios profesionales de Microsoft registran el acceso a los datos, así como cualquier alteración. Los registros permiten detectar incidentes de seguridad que ya han ocurrido o que están en curso y proporcionan a los investigadores información suficiente para conocer los eventos y las circunstancias que los rodean, como el nombre del empleado que accede a los datos, a qué datos accedió y cuándo lo hizo.

Puede usar los registros de bases de datos para realizar un seguimiento de ciertos tipos de cambios en Dynamics 365. Por ejemplo, puede crear un registro auditable de los cambios que se han producido en determinadas tablas con información confidencial.

Ver información general de auditoría de Dynamics 365

Uno de los aspectos clave para que una organización pueda implementar equipos y dispositivos con seguridad es la capacidad para supervisar su estado. Intune proporciona el estado de licencia de todos los dispositivos, además de una lista de acciones que pueden afectarles, como la capacidad para borrar un dispositivo remotamente. Además, Intune cuenta con dos mecanismos para supervisar los dispositivos administrados por esta herramienta:

  • Los informes le ayudan a supervisar el estado de los dispositivos, como el estado de actualización del software, el software instalado y el cumplimiento normativo. También le permiten consultar los datos sobre el inventario de hardware y software que recopila Intune.
  • Las alertas le ayudan a supervisar el estado de los dispositivos, como el estado de protección de extremos y las advertencias sobre malware, falta de espacio de almacenamiento y conectividad de la red.

Obtenga más información sobre el inventario de dispositivos de Intune

Las directivas de auditoría de Office 365 le permiten registrar eventos, como consultar, editar y eliminar contenido, ya sean mensajes de correo electrónico, documentos, listas de tareas, listas de incidencias, grupos de discusión o calendarios. Cuando la auditoría está habilitada como parte de una directiva de administración de la información, usted puede ver informes sobre los datos de auditoría y resúmenes sobre el uso actual. También puede usar estos informes para determinar cómo se usa la información dentro de la organización, administrar el cumplimiento e investigar áreas problemáticas.

Por motivos empresariales, legales o regulatorios, es posible que deba conservar los mensajes de correo electrónico enviados a los usuarios de su organización. O bien, puede eliminar el correo electrónico que no tiene la obligación de conservar. Office 365 incluye una tecnología de administración de registros de mensajería que le permite controlar el tiempo que los mensajes deben permanecer en los buzones de los usuarios y determinar qué ocurre con ellos una vez que se supera el límite de tiempo especificado.

Obtenga más información sobre la seguridad en Office 365 (en inglés)

El paquete de contenido de registros de auditoría de Azure para Power BI le permite analizar y ver los registros de auditoría de los servicios de Azure. Puede usar Power BI para recuperar los datos de Azure, crear un panel listo para usar y generar informes en función de esos datos. De este modo, puede ver todos los datos en un solo lugar y analizarlos para obtener mayor información. También puede filtrar los informes y agregar los campos que quiera supervisar. Además, puede controlar con qué frecuencia se actualizan los datos del panel con el fin de actualizar también los informes subyacentes y ofrecerle la información más actualizada.

Obtenga más información sobre cómo analizar y visualizar registros de auditoría de Azure con Power BI

Visual Studio Team Services (Team Services) utiliza la infraestructura PaaS de Azure y diversos servicios básicos de Azure, como el registro de eventos, la supervisión de accesos, los informes de uso, Azure Blob Storage y el almacenamiento de datos SQL de Azure. En Azure, las actividades se registran y se emiten alertas en tiempo real si se detectan intrusiones.

Team Services también utiliza Microsoft Team Foundation Server, que proporciona colecciones de datos, almacenamiento de objetos de configuración y funciones de administración y de creación de informes para el entorno de desarrollo integrado (IDE) de Visual Studio. Team Foundation Server registra los inicios de sesión correctos y erróneos, así como el acceso a los recursos del servidor. También realiza un seguimiento del historial de los elementos de trabajo: quién los ha abierto y qué cambios se han hecho. Esta información se puede consultar en el portal web o en Team Explorer.

Obtenga más información sobre el registro de Team Services (en inglés)

Windows Server 2016 aprovecha las funciones de auditoría y registro de las versiones anteriores para proporcionar un registro de auditoría de los incidentes que se producen en el servidor. De hecho, Microsoft proporciona ahora a sus clientes las mismas capacidades de registro y auditoría en sus entornos que los que usa el equipo interno de Operaciones de Seguridad de Microsoft.

Puede aplicar la configuración de la directiva de auditoría a los archivos o carpetas locales para hacer un seguimiento de los datos y auditar las unidades extraíbles. También puede configurar la auditoría con una directiva de grupo, por ejemplo, con una directiva de auditoría avanzada que le permita configurar las auditorías basadas en expresiones. De este modo, podrá especificar el tipo de actividad que desea auditar con más detalle. La información de auditoría se guarda en el registro de Windows Security y los administradores pueden verla a través del Visor de Eventos. También se han agregado subcategorías más específicas de eventos de auditoría y de inicio de sesión, así como información más detallada para facilitar su análisis.

Obtenga más información sobre la auditoría mejorada de Windows Server 2016 (en inglés)