Registro de auditoría de SharePoint para la seguridad empresarial
Cada empresa se enfrenta a una exposición creciente a amenazas informáticas, robos de datos e incidentes de seguridad que pueden comprometer las operaciones, la reputación y el cumplimiento normativo.
SharePoint Online es la plataforma para la gestión de contenidos y datos empresariales que puede ayudarle a prevenir estos problemas. Gracias a sus funcionalidades de auditoría, en particular, ofrece a las organizaciones las herramientas necesarias para supervisar las actividades en el entorno digital de trabajo.
Entre estas funcionalidades, los registros de control o "audit logs" desempeñan un papel central, ya que permiten rastrear con detalle todas las actividades que tienen lugar en los sistemas empresariales, proporcionando una visión clara de quién hace qué, cuándo y cómo.
En esta guía, profundizaremos en qué son los registros de auditoría en SharePoint. También veremos las mejores prácticas y algunos ejemplos para comprender bien cómo utilizarlos y proteger así su empresa.

Lo que encontrará en este artículo
- SharePoint Audit Log: ¿qué son y para qué sirven?
- Cómo configurar los registros de auditoría en SharePoint
- SharePoint Audit Log: ¿qué actividades conviene supervisar?
- Cómo analizar los informes de los registros de auditoría en SharePoint
- SharePoint Audit Log: ¿cómo mejorar la seguridad?
- Buenas prácticas para el uso de los registros de auditoría de SharePoint
- SharePoint Audit Log: un caso de uso práctico
SharePoint Audit Log: ¿qué son y para qué sirven?
Los registros de auditoría, o audit log, son una funcionalidad integrada en SharePoint y Microsoft 365 que sirve para supervisar las actividades dentro de una colección de sitios, proporcionando un registro detallado de las acciones realizadas por los usuarios y los administradores.
Con los registros de auditoría es posible rastrear:
- modificaciones en los documentos
- eliminación de archivos almacenados
- cambios en los permisos de los usuarios
- etc.
Podemos definirlos como un archivo transparente, donde es posible consultar todas las interacciones significativas que han tenido lugar en el entorno corporativo de SharePoint. Como una cámara activa las 24 horas del día, que permite registrar lo que ocurre en el digital workplace.
Es importante destacar que las funcionalidades de los registros de auditoría varían ligeramente según la versión de la plataforma que se utilice.
En SharePoint Server, los registros pueden configurarse directamente desde el sitio y ofrecen un alto nivel de personalización.
En SharePoint Online, en cambio, las funciones de auditoría se han vinculado a Microsoft Purview, una solución unificada que centraliza la supervisión y gestión de actividades no solo para SharePoint, sino también para otras herramientas de la suite Microsoft 365.
Esta integración representa una evolución importante, ya que por un lado mejora la eficiencia en la gestión de los registros y, por otro, permite aprovechar funcionalidades avanzadas como el análisis centralizado de datos y la posibilidad de exportar informes detallados.

¿Por qué supervisar las actividades en SharePoint?
Cada acción registrada en los logs representa un punto de control que puede analizarse para proteger los datos de la empresa y mejorar la gobernanza interna.
Entre las principales ventajas, destaca la posibilidad de identificar accesos no autorizados.
La capacidad de detectar actividades sospechosas, como la eliminación masiva de archivos o cambios inesperados en la configuración de seguridad, permite interpretar señales que podrían indicar amenazas informáticas.
Saber quién ha visualizado, modificado o compartido un documento puede marcar la diferencia entre un posible incidente de seguridad y un sistema bien protegido.
Un registro de auditoría también tiene la capacidad de revelar si un usuario no autorizado ha intentado acceder a una carpeta restringida, lo que permite intervenir para revocar sus permisos o reforzar las medidas de seguridad de toda la infraestructura.
Es como si un ladrón intentara abrir la puerta de nuestra casa: ¿lo primero que haríamos?
Cambiar la cerradura.
En términos de cumplimiento normativo, reglamentos como el RGPD (relativo a la protección de datos personales y el respeto de la privacidad) y estándares internacionales como la ISO 27001 (que define los requisitos para optimizar un sistema de gestión de seguridad de la información) exigen a las empresas demostrar su capacidad para proteger los datos que gestionan y supervisar las actividades relacionadas con ellos.
En este contexto, los registros de seguridad de SharePoint ofrecen una base sólida para generar informes útiles durante auditorías internas o externas.
Por último, la actividad de control respalda la gestión de los registros empresariales.
Esto garantiza que las modificaciones de los documentos queden registradas y que los datos sean siempre recuperables: una funcionalidad especialmente útil en todos aquellos contextos donde es necesario poder rastrear el historial de un archivo.
Cómo configurar los registros de auditoría en SharePoint
Para aprovechar al máximo el potencial de los registros de auditoría en SharePoint, es fundamental configurar correctamente estas herramientas de control.
Para ello, es necesario seguir algunos pasos.
En SharePoint Online, las funcionalidades de auditoría están integradas en el centro de cumplimiento de Microsoft Purview. El registro de las actividades de usuarios y administradores está generalmente habilitado de forma predeterminada.
Para verificar el estado o visualizar los registros, puede acceder al Microsoft 365 Admin Center con un rol de administrador y:
- Acceder al Centro de cumplimiento de Microsoft Purview, seleccionando "Mostrar todo" y luego "Cumplimiento" en la sección dedicada a administradores dentro del Microsoft 365 Admin Center.
- En el menú de la izquierda, seleccionar "Soluciones" y luego "Auditoría". Hacer clic en "Buscar en los registros de auditoría" para acceder a la página de búsqueda.
- Definir parámetros como actividad, intervalos de fechas, usuarios, archivos o sitios; luego iniciar la búsqueda para visualizar los resultados pertinentes.
Aunque el registro de actividades suele estar activado por defecto, pueden existir excepciones o configuraciones específicas que requieran verificar el estado de los registros de auditoría.
Además, puede ser necesario esperar entre 30 minutos y 24 horas para que los datos estén disponibles después de activar o modificar la configuración de auditoría.

Búsqueda de los registros de auditoría de SharePoint Online en Microsoft Purview
SharePoint Audit Log: ¿qué actividades conviene supervisar?
Los registros de auditoría de SharePoint pueden supervisar una amplia gama de actividades, ofreciendo una visión detallada y detectando anomalías que podrían ocultar riesgos para la seguridad del entorno digital de trabajo de su empresa.
¿Cuáles son los eventos que pueden rastrearse en los registros de auditoría?
Veamos algunos ejemplos.
Modificación y eliminación de documentos
Cuando un usuario modifica o elimina un documento en SharePoint, los registros capturan detalles específicos, como el nombre del usuario, la fecha y la hora de la acción, junto con el archivo afectado. Esto resulta útil no solo para resolver incidentes, como una eliminación accidental, sino también para prevenir abusos o errores recurrentes.
Además, en caso de eliminación, los registros proporcionan una referencia útil para recuperar archivos desde las copias de seguridad.
Modificaciones de permisos y cuentas
Los registros supervisan cuidadosamente cualquier cambio en los permisos de acceso, incluidos los ajustes realizados en las autorizaciones de un sitio, biblioteca o archivo individual.
De esta forma, se evita que usuarios no autorizados accedan a contenido confidencial. Por ejemplo, si un administrador concede derechos de edición a un usuario externo, los registros registran el nombre del administrador, el usuario destinatario y el nivel de acceso otorgado.

Filtrar las actividades en los registros de auditoría
Consultas de búsqueda
Cada vez que un usuario utiliza la función de búsqueda en SharePoint, los registros almacenan los términos buscados y los resultados visualizados. Este tipo de seguimiento sirve para identificar patrones de comportamiento sospechosos.
De hecho, si un usuario realiza muchas búsquedas utilizando palabras clave sensibles (como "salarios", "contratos confidenciales"), podría ser una señal de un intento de acceso no autorizado a información confidencial.
Más allá del aspecto de seguridad, el seguimiento de las consultas de búsqueda también ofrece ventajas a nivel organizativo, ya que los datos pueden analizarse para optimizar la arquitectura del contenido, facilitando a los usuarios encontrar lo que necesitan.
Flujos de trabajo y otras actividades del sistema
Los flujos de trabajo automatizados, también conocidos como workflows, son procesos que ejecutan acciones específicas en SharePoint, como la aprobación de nuevos documentos o el envío de notificaciones. Los registros de auditoría supervisan estas actividades, proporcionando detalles sobre quién activó el workflow, cuándo se ejecutó y qué resultados produjo.
Pensemos en un flujo de trabajo de aprobación de un contrato: los registros pueden mostrar si un documento fue aprobado por todas las partes requeridas o si el proceso se interrumpió por un error.

Analizar las actividades recogidas por los registros de auditoría
Cómo analizar los informes de los registros de auditoría en SharePoint
Los informes de auditoría pueden visualizarse directamente en el Centro de cumplimiento a través de Microsoft Purview Audit, o exportarse para realizar análisis más detallados.
Es posible filtrar los datos según criterios específicos, como el intervalo de fechas, el usuario o el tipo de actividad.
Un responsable de TI puede analizar las actividades de acceso de un colega durante un periodo determinado para detectar comportamientos sospechosos, mientras que un jefe de proyecto puede revisar las modificaciones realizadas en documentos clave durante el desarrollo de un proyecto.
La exportación de informes en formato Excel permite un análisis más avanzado mediante el uso de filtros, gráficos y tablas dinámicas. Las funcionalidades de Excel pueden resultar útiles para identificar patrones recurrentes, como accesos frecuentes a determinados archivos fuera del horario laboral.
SharePoint, por su parte, genera una serie de informes estándar sobre eventos comunes.
Entre ellos se encuentran:
- Modificaciones de contenido: proporciona detalles sobre qué archivos fueron modificados, cuándo y por quién.
- Eliminación y restauración: rastrea la eliminación de archivos o carpetas, junto con posibles restauraciones.
Es importante tener en cuenta que el acceso a estos informes y el nivel de detalle de los datos dependen de la licencia de Microsoft 365 en uso. Para funciones avanzadas o períodos prolongados de retención de datos, puede ser necesaria una licencia Microsoft 365 E5 o un complemento de Microsoft Purview.

Importar y analizar los registros de auditoría de SharePoint en Excel
Por último, a través de PowerShell, es posible crear informes personalizados.
De este modo, se pueden filtrar eventos específicos o combinar datos procedentes de varias colecciones de sitios. Por ejemplo, una empresa podría utilizar la integración con PowerShell para supervisar exclusivamente las actividades relacionadas con un proyecto y los accesos de usuarios externos a documentos sensibles.
Un script de PowerShell también puede automatizar la generación de un informe semanal que incluya únicamente los eventos relacionados con la modificación de permisos en una colección de sitios, ofreciendo así una instantánea de las actividades más relevantes realizadas.
SharePoint Audit Log: ¿cómo mejorar la seguridad?
Los registros de auditoría no son solo una herramienta pasiva destinada exclusivamente a registrar eventos, sino que pueden utilizarse de forma proactiva para mejorar la seguridad empresarial.
Veamos un ejemplo práctico para entenderlo mejor.
Si un usuario accede a una colección de sitios fuera del horario laboral habitual, esto podría indicar un posible ataque o un acceso comprometido. Al analizar los registros, es posible adoptar medidas preventivas como la desactivación temporal de una cuenta o la activación de controles adicionales.
La compartición de documentos con usuarios externos es una práctica común en muchas organizaciones, pero conlleva riesgos significativos si no se supervisa adecuadamente.
En este caso, los registros de auditoría permiten rastrear qué archivos se han compartido, con quién y cuándo. De este modo, una organización podría descubrir que un documento confidencial ha sido compartido por error con un usuario no autorizado, pudiendo intervenir de inmediato para revocar el acceso.
En escenarios más complejos, como la colaboración con usuarios externos, los registros pueden utilizarse para garantizar que se cumplan las políticas de la empresa, evitando fugas de información o usos indebidos.
En este sentido, podemos mencionar la integración con Microsoft Sentinel, una plataforma de gestión de eventos e información de seguridad basada en la nube, que permite correlacionar los registros de actividad provenientes de diferentes fuentes para identificar y mitigar las principales amenazas.
Con Sentinel, los administradores pueden centralizar los datos de los registros, analizarlos mediante inteligencia artificial y crear reglas de automatización para responder en tiempo real a los incidentes.

Visión general de Microsoft Sentinel
Buenas prácticas para el uso de los registros de auditoría de SharePoint
El uso adecuado de los registros de auditoría no se limita a la configuración técnica, sino que requiere un enfoque estratégico y proactivo que involucre a toda la organización.
Existen algunas buenas prácticas que pueden adoptarse: veámoslas a continuación.
Establecer una política de auditoría clara
Una política de auditoría es el punto de partida para una supervisión eficaz y debería incluir los siguientes elementos:
- Tipos de eventos a supervisar: definir claramente qué actividades deben ser registradas, como modificaciones de documentos, accesos no autorizados y compartición de datos.
- Conservación de los datos: establecer durante cuánto tiempo deben conservarse los registros, teniendo en cuenta la normativa aplicable (por ejemplo, la conservación durante determinados periodos de tiempo).
- Roles y responsabilidades: identificar quién dentro de la organización es responsable del análisis de los registros y de la respuesta ante los eventos.

Crear nuevas políticas para la retención de los datos en los registros de auditoría
Involucrar a los equipos de TI y de cumplimiento
El monitoreo de los registros de auditoría no debe ser exclusivo del equipo de TI, sino que también debería involucrar a los equipos de cumplimiento normativo.
Por ello, se podría crear un informe mensual compartido que destaque actividades críticas como modificaciones de permisos o accesos a datos sensibles, de modo que ambos equipos estén siempre alineados respecto a posibles problemas y los métodos de resolución adoptados.
Formar a los usuarios
Si su equipo está debidamente capacitado sobre los aspectos fundamentales de la seguridad y sobre las herramientas disponibles para gestionarla, tanto a nivel individual como organizacional, ya habrá recorrido la mitad del camino.
Todos los usuarios deberían ser conscientes de cómo utilizar los registros de auditoría dentro del entorno digital empresarial. Las sesiones de formación adecuadas suelen ser la vía más sencilla y eficaz para educar a los colegas sobre los riesgos asociados a comportamientos no conformes y mostrar cómo los registros son una herramienta para proteger tanto a la empresa como a sus trabajadores.
Integrar otras herramientas de Microsoft 365
Muchas organizaciones optan por adoptar soluciones de terceros para gestionar lógicas más complejas relacionadas con la seguridad. En efecto, no siempre se consideran suficientes las funcionalidades estándar que ofrece SharePoint para analizar y, sobre todo, reaccionar ante amenazas.
Sin embargo, nuestro consejo es aprovechar al máximo las licencias Microsoft de su empresa para ampliar las capacidades de análisis, monitoreo y gobernanza sin desperdiciar inversiones en soluciones que no están integradas adecuadamente en el ecosistema de Microsoft 365.
Compartir datos con Power BI para visualizaciones avanzadas
Power BI es una herramienta capaz de transformar datos complejos en visualizaciones intuitivas. Los datos recopilados a través de los registros de SharePoint pueden cargarse en Power BI para generar informes dinámicos y paneles personalizados, que ofrecen un análisis más profundo que las tablas de Excel.
Por ejemplo, un responsable de TI puede crear un panel que muestre en tiempo real las actividades de acceso a documentos sensibles, resaltando anomalías como intentos de acceso en horarios inusuales. Los datos de los registros también pueden utilizarse para generar tendencias de uso, identificando qué áreas de la plataforma son más visitadas por los usuarios.

Resumen de las visualizaciones disponibles en Power BI
Usar los registros para mejorar la gobernanza de Teams y OneDrive
La gobernanza de Microsoft Teams y OneDrive está estrechamente relacionada con SharePoint, ya que la mayor parte de los archivos y actividades se gestionan a través de esta plataforma.
En este caso, los registros de auditoría pueden utilizarse para:
- Supervisar las comparticiones dentro de Teams, identificando posibles acciones no autorizadas o riesgos para la seguridad.
- Analizar el uso de OneDrive para garantizar una gestión de datos conforme a las políticas de la empresa.

Servicios de Microsoft supervisados a través de los registros de auditoría
Sinergia con Microsoft Defender for Office 365
Microsoft Defender for Office 365 ofrece una protección avanzada contra amenazas como el phishing y el malware. Al integrar los datos de los registros de SharePoint con esta herramienta, es posible:
- Correlacionar eventos registrados en los logs con posibles amenazas identificadas por Defender;
- Recibir alertas automáticas cuando actividades sospechosas en SharePoint estén asociadas a comportamientos anómalos detectados por Defender.
Si Microsoft Defender detecta un intento de phishing que involucra un archivo en SharePoint, los registros de auditoría pueden ayudar a determinar quién accedió al archivo y qué acciones se llevaron a cabo, facilitando una respuesta rápida y precisa.

Visión general de Defender for Office 365
SharePoint Audit Log: un caso de uso práctico
Después de tanta teoría, hemos decidido concluir esta guía explicando cómo mejorar la seguridad empresarial mediante los registros de auditoría de SharePoint con un pequeño ejemplo práctico tomado de nuestra experiencia con un cliente.
Simulemos estar en una empresa con unos 500 empleados, donde SharePoint Online se utiliza como plataforma principal para la gestión documental.
Los responsables de TI deciden configurar los registros de auditoría para supervisar:
- Accesos a documentos confidenciales
- Actividades de compartición con usuarios externos
- Modificaciones de permisos en las colecciones de sitios
Tras habilitar los registros desde el Compliance Center en Microsoft Purview, la empresa implementa un panel de Power BI que recopila y muestra las actividades principales, destacando eventos anómalos como accesos fuera de horario o cambios no autorizados.
Después de un control de seis meses, la empresa registra los siguientes resultados:
- Gracias a los registros de auditoría, cada actividad sobre los documentos queda registrada, lo que facilita las auditorías internas y garantiza el cumplimiento normativo.
- Los registros ayudan a identificar un intento de acceso no autorizado a los datos del departamento financiero, lo que permite intervenir rápidamente y bloquear al usuario implicado.
- La visualización centralizada de las actividades reduce el tiempo necesario para analizar los datos y responder ante incidentes.
Así es como, con pocas herramientas y una inversión mínima de recursos, cualquier empresa puede reforzar fácilmente su postura de seguridad.
Sin embargo, si su empresa no cuenta con las competencias técnicas internas para aprovechar al máximo la tecnología de Microsoft disponible, siempre es posible recurrir al apoyo de consultores, entre los que destacan los expertos de nuestro equipo, certificados como Microsoft Gold Partner y con décadas de experiencia en la implementación, gestión y personalización del entorno digital basado en Microsoft 365.
¿Necesita una mano para gestionar sus sitios de Microsoft SharePoint?
Tenemos más de 100 para ayudar a su empresa a:
- Mejorar la gestión de documentos y recursos
- Distribuir los permisos adecuados a los usuarios
- Garantizar la seguridad de la información compartida
- Desarrollar partes web personalizadas y gráficos de marca
Giuseppe Marchi
MVP de Microsoft para SharePoint y Microsoft 365 desde 2010.
Giuseppe es el fundador de intranet.ai y uno de los principales expertos en Italia en todo lo relacionado con Microsoft 365. Durante años, ha estado ayudando a las empresas a construir su espacio de trabajo digital en la nube de Microsoft, curando la experiencia de las personas.
Organiza eventos mensuales en línea para poner al día a los clientes sobre las novedades de Microsoft 365 y ayudarles a sacar el máximo partido de su espacio de trabajo digital.

FAQ sobre los registros de auditoría de SharePoint
¿Qué es un registro de auditoría en SharePoint?
Un registro de auditoría, o audit log, es un registro que permite supervisar todas las actividades realizadas dentro de una colección de sitios de SharePoint. Sirve para rastrear modificaciones, accesos, comparticiones y cambios en los permisos de los usuarios, ofreciendo una visión detallada y transparente de las interacciones en el entorno digital empresarial.
¿Cómo se configuran los registros de auditoría en SharePoint Online?
En SharePoint Online, el registro de actividades está integrado en el Centro de cumplimiento de Microsoft Purview. El acceso a los registros se realiza a través del portal de administración de Microsoft 365, en la sección dedicada a Auditoría, donde Usted puede realizar búsquedas configurando parámetros como fechas, usuarios o archivos específicos.
¿Qué tipo de actividades se supervisan?
Los registros de auditoría pueden rastrear modificaciones y eliminaciones de documentos, cambios en permisos y cuentas, búsquedas realizadas por los usuarios y la ejecución de flujos de trabajo automatizados. Cada evento se registra con detalles útiles para el análisis y la prevención de riesgos.
¿Cómo se analizan los datos de los registros de auditoría?
Los datos pueden analizarse directamente en el Compliance Center o exportarse a Excel para procesamientos adicionales, como filtros y gráficos. También es posible utilizar PowerShell para generar informes personalizados o Power BI para obtener visualizaciones interactivas más avanzadas.
¿Cuál es el valor de los registros de auditoría para la seguridad empresarial?
Los registros de auditoría permiten identificar actividades anómalas, accesos sospechosos o comparticiones no autorizadas. Estos elementos son fundamentales para prevenir violaciones, responder con rapidez a los incidentes y garantizar el cumplimiento de normativas como el RGPD o la ISO 27001.
¿Con qué herramientas de Microsoft se integran los registros de auditoría?
Los registros de SharePoint pueden integrarse con Microsoft Sentinel para la correlación de eventos, con Microsoft Defender for Office 365 para la protección contra phishing y malware, y con Power BI para crear paneles avanzados. También funcionan con Teams y OneDrive, que comparten la misma infraestructura documental.
¿Durante cuánto tiempo se conservan los registros?
El tiempo de conservación varía según la licencia de Microsoft 365 utilizada. Las funcionalidades estándar están disponibles con licencias básicas, mientras que las funciones avanzadas y los períodos prolongados requieren una licencia E5 o complementos específicos de Microsoft Purview.
¿Es posible mejorar la gobernanza de Teams y OneDrive mediante los registros de auditoría?
Sí. Los registros pueden utilizarse para controlar la compartición de archivos en Teams y verificar el uso adecuado de OneDrive, contribuyendo a mantener la gestión de datos conforme a las políticas de la empresa.
¿Es necesaria una política para el uso de los registros de auditoría?
Se recomienda encarecidamente adoptar una política de auditoría. Esta debe definir las actividades a supervisar, los plazos de conservación de los datos y las responsabilidades internas. Solo así se pueden gestionar eficazmente los registros y garantizar seguridad y transparencia.
¿Quién debería gestionar y analizar los registros?
La responsabilidad no recae únicamente en el equipo de TI. Es fundamental involucrar también al equipo de cumplimiento normativo, con el fin de garantizar un análisis compartido y una respuesta coordinada ante eventos críticos. La elaboración de informes periódicos ayuda a mantener la atención en posibles anomalías.
Siga leyendo
¿Por qué elegir SharePoint como intranet empresarial?
Veamos por qué SharePoint es la mejor opción para la intranet, comparándolo con soluciones como Wordpress, Intranet Connections, Drupal y otras más.
Comunicación interna con la intranet de Microsoft 365
Exploremos el concepto de comunicación interna y descubramos cómo mejorarla a través de las aplicaciones del entorno digital de trabajo de Microsoft 365.
SharePoint Data Migration: cómo evitar los errores más comunes
Veamos los errores más comunes en el proceso de migración a SharePoint Online y cómo evitarlos con nuestros consejos.