Registro de auditoría de SharePoint para la seguridad empresarial

SharePoint Audit Log: ¿qué son y para qué sirven?

Los registros de auditoría, o audit log, son una funcionalidad integrada en SharePoint y Microsoft 365 que sirve para supervisar las actividades dentro de una colección de sitios, proporcionando un registro detallado de las acciones realizadas por los usuarios y los administradores.

Con los registros de auditoría es posible rastrear:

• modificaciones en los documentos
• eliminación de archivos almacenados
• cambios en los permisos de los usuarios
• etc.

Podemos definirlos como un archivo transparente, donde es posible consultar todas las interacciones significativas que han tenido lugar en el entorno corporativo de SharePoint. Como una cámara activa las 24 horas del día, que permite registrar lo que ocurre en el digital workplace.

Es importante destacar que las funcionalidades de los registros de auditoría varían ligeramente según la versión de la plataforma que se utilice.

En SharePoint Server, los registros pueden configurarse directamente desde el sitio y ofrecen un alto nivel de personalización.

En SharePoint Online, en cambio, las funciones de auditoría se han vinculado a Microsoft Purview, una solución unificada que centraliza la supervisión y gestión de actividades no solo para SharePoint, sino también para otras herramientas de la suite Microsoft 365.

Esta integración representa una evolución importante, ya que por un lado mejora la eficiencia en la gestión de los registros y, por otro, permite aprovechar funcionalidades avanzadas como el análisis centralizado de datos y la posibilidad de exportar informes detallados.

¿Por qué supervisar las actividades en SharePoint?

Cada acción registrada en los logs representa un punto de control que puede analizarse para proteger los datos de la empresa y mejorar la gobernanza interna.

Entre las principales ventajas, destaca la posibilidad de identificar accesos no autorizados.

La capacidad de detectar actividades sospechosas, como la eliminación masiva de archivos o cambios inesperados en la configuración de seguridad, permite interpretar señales que podrían indicar amenazas informáticas.

Saber quién ha visualizado, modificado o compartido un documento puede marcar la diferencia entre un posible incidente de seguridad y un sistema bien protegido.

Un registro de auditoría también tiene la capacidad de revelar si un usuario no autorizado ha intentado acceder a una carpeta restringida, lo que permite intervenir para revocar sus permisos o reforzar las medidas de seguridad de toda la infraestructura.

Es como si un ladrón intentara abrir la puerta de nuestra casa: ¿lo primero que haríamos?

Cambiar la cerradura.

En términos de cumplimiento normativo, reglamentos como el RGPD (relativo a la protección de datos personales y el respeto de la privacidad) y estándares internacionales como la ISO 27001 (que define los requisitos para optimizar un sistema de gestión de seguridad de la información) exigen a las empresas demostrar su capacidad para proteger los datos que gestionan y supervisar las actividades relacionadas con ellos.

En este contexto, los registros de seguridad de SharePoint ofrecen una base sólida para generar informes útiles durante auditorías internas o externas.

Por último, la actividad de control respalda la gestión de los registros empresariales.

Esto garantiza que las modificaciones de los documentos queden registradas y que los datos sean siempre recuperables: una funcionalidad especialmente útil en todos aquellos contextos donde es necesario poder rastrear el historial de un archivo.

Cómo configurar los registros de auditoría en SharePoint

Para aprovechar al máximo el potencial de los registros de auditoría en SharePoint, es fundamental configurar correctamente estas herramientas de control.

Para ello, es necesario seguir algunos pasos.

En SharePoint Online, las funcionalidades de auditoría están integradas en el centro de cumplimiento de Microsoft Purview. El registro de las actividades de usuarios y administradores está generalmente habilitado de forma predeterminada.

Para verificar el estado o visualizar los registros, puede acceder al Microsoft 365 Admin Center con un rol de administrador y:

1. Acceder al Centro de cumplimiento de Microsoft Purview, seleccionando "Mostrar todo" y luego "Cumplimiento" en la sección dedicada a administradores dentro del Microsoft 365 Admin Center.
2. En el menú de la izquierda, seleccionar "Soluciones" y luego "Auditoría". Hacer clic en "Buscar en los registros de auditoría" para acceder a la página de búsqueda.
3. Definir parámetros como actividad, intervalos de fechas, usuarios, archivos o sitios; luego iniciar la búsqueda para visualizar los resultados pertinentes.

Aunque el registro de actividades suele estar activado por defecto, pueden existir excepciones o configuraciones específicas que requieran verificar el estado de los registros de auditoría.

Además, puede ser necesario esperar entre 30 minutos y 24 horas para que los datos estén disponibles después de activar o modificar la configuración de auditoría.

Búsqueda de los registros de auditoría de SharePoint Online en Microsoft Purview

SharePoint Audit Log: ¿qué actividades conviene supervisar?

Los registros de auditoría de SharePoint pueden supervisar una amplia gama de actividades, ofreciendo una visión detallada y detectando anomalías que podrían ocultar riesgos para la seguridad del entorno digital de trabajo de su empresa.

¿Cuáles son los eventos que pueden rastrearse en los registros de auditoría?

Veamos algunos ejemplos.

Modificación y eliminación de documentos

Cuando un usuario modifica o elimina un documento en SharePoint, los registros capturan detalles específicos, como el nombre del usuario, la fecha y la hora de la acción, junto con el archivo afectado. Esto resulta útil no solo para resolver incidentes, como una eliminación accidental, sino también para prevenir abusos o errores recurrentes.

Además, en caso de eliminación, los registros proporcionan una referencia útil para recuperar archivos desde las copias de seguridad.

Modificaciones de permisos y cuentas

Los registros supervisan cuidadosamente cualquier cambio en los permisos de acceso, incluidos los ajustes realizados en las autorizaciones de un sitio, biblioteca o archivo individual.

De esta forma, se evita que usuarios no autorizados accedan a contenido confidencial. Por ejemplo, si un administrador concede derechos de edición a un usuario externo, los registros registran el nombre del administrador, el usuario destinatario y el nivel de acceso otorgado.

Filtrar las actividades en los registros de auditoría

Consultas de búsqueda

Cada vez que un usuario utiliza la función de búsqueda en SharePoint, los registros almacenan los términos buscados y los resultados visualizados. Este tipo de seguimiento sirve para identificar patrones de comportamiento sospechosos.

De hecho, si un usuario realiza muchas búsquedas utilizando palabras clave sensibles (como "salarios", "contratos confidenciales"), podría ser una señal de un intento de acceso no autorizado a información confidencial.

Más allá del aspecto de seguridad, el seguimiento de las consultas de búsqueda también ofrece ventajas a nivel organizativo, ya que los datos pueden analizarse para optimizar la arquitectura del contenido, facilitando a los usuarios encontrar lo que necesitan.

Flujos de trabajo y otras actividades del sistema

Los flujos de trabajo automatizados, también conocidos como workflows, son procesos que ejecutan acciones específicas en SharePoint, como la aprobación de nuevos documentos o el envío de notificaciones. Los registros de auditoría supervisan estas actividades, proporcionando detalles sobre quién activó el workflow, cuándo se ejecutó y qué resultados produjo.

Pensemos en un flujo de trabajo de aprobación de un contrato: los registros pueden mostrar si un documento fue aprobado por todas las partes requeridas o si el proceso se interrumpió por un error.

Analizar las actividades recogidas por los registros de auditoría

Cómo analizar los informes de los registros de auditoría en SharePoint

Los informes de auditoría pueden visualizarse directamente en el Centro de cumplimiento a través de Microsoft Purview Audit, o exportarse para realizar análisis más detallados.

Es posible filtrar los datos según criterios específicos, como el intervalo de fechas, el usuario o el tipo de actividad.

Un responsable de TI puede analizar las actividades de acceso de un colega durante un periodo determinado para detectar comportamientos sospechosos, mientras que un jefe de proyecto puede revisar las modificaciones realizadas en documentos clave durante el desarrollo de un proyecto.

La exportación de informes en formato Excel permite un análisis más avanzado mediante el uso de filtros, gráficos y tablas dinámicas. Las funcionalidades de Excel pueden resultar útiles para identificar patrones recurrentes, como accesos frecuentes a determinados archivos fuera del horario laboral.

SharePoint, por su parte, genera una serie de informes estándar sobre eventos comunes.

Entre ellos se encuentran:

• Modificaciones de contenido: proporciona detalles sobre qué archivos fueron modificados, cuándo y por quién.
• Eliminación y restauración: rastrea la eliminación de archivos o carpetas, junto con posibles restauraciones.

Es importante tener en cuenta que el acceso a estos informes y el nivel de detalle de los datos dependen de la licencia de Microsoft 365 en uso. Para funciones avanzadas o períodos prolongados de retención de datos, puede ser necesaria una licencia Microsoft 365 E5 o un complemento de Microsoft Purview.

Importar y analizar los registros de auditoría de SharePoint en Excel

Por último, a través de PowerShell, es posible crear informes personalizados.

De este modo, se pueden filtrar eventos específicos o combinar datos procedentes de varias colecciones de sitios. Por ejemplo, una empresa podría utilizar la integración con PowerShell para supervisar exclusivamente las actividades relacionadas con un proyecto y los accesos de usuarios externos a documentos sensibles.

Un script de PowerShell también puede automatizar la generación de un informe semanal que incluya únicamente los eventos relacionados con la modificación de permisos en una colección de sitios, ofreciendo así una instantánea de las actividades más relevantes realizadas.

SharePoint Audit Log: ¿cómo mejorar la seguridad?

Los registros de auditoría no son solo una herramienta pasiva destinada exclusivamente a registrar eventos, sino que pueden utilizarse de forma proactiva para mejorar la seguridad empresarial.

Veamos un ejemplo práctico para entenderlo mejor.

Si un usuario accede a una colección de sitios fuera del horario laboral habitual, esto podría indicar un posible ataque o un acceso comprometido. Al analizar los registros, es posible adoptar medidas preventivas como la desactivación temporal de una cuenta o la activación de controles adicionales.

La compartición de documentos con usuarios externos es una práctica común en muchas organizaciones, pero conlleva riesgos significativos si no se supervisa adecuadamente.

En este caso, los registros de auditoría permiten rastrear qué archivos se han compartido, con quién y cuándo. De este modo, una organización podría descubrir que un documento confidencial ha sido compartido por error con un usuario no autorizado, pudiendo intervenir de inmediato para revocar el acceso.

En escenarios más complejos, como la colaboración con usuarios externos, los registros pueden utilizarse para garantizar que se cumplan las políticas de la empresa, evitando fugas de información o usos indebidos.

En este sentido, podemos mencionar la integración con Microsoft Sentinel, una plataforma de gestión de eventos e información de seguridad basada en la nube, que permite correlacionar los registros de actividad provenientes de diferentes fuentes para identificar y mitigar las principales amenazas.

Con Sentinel, los administradores pueden centralizar los datos de los registros, analizarlos mediante inteligencia artificial y crear reglas de automatización para responder en tiempo real a los incidentes.

Visión general de Microsoft Sentinel

Buenas prácticas para el uso de los registros de auditoría de SharePoint

El uso adecuado de los registros de auditoría no se limita a la configuración técnica, sino que requiere un enfoque estratégico y proactivo que involucre a toda la organización.

Existen algunas buenas prácticas que pueden adoptarse: veámoslas a continuación.

Establecer una política de auditoría clara

Una política de auditoría es el punto de partida para una supervisión eficaz y debería incluir los siguientes elementos:

• Tipos de eventos a supervisar: definir claramente qué actividades deben ser registradas, como modificaciones de documentos, accesos no autorizados y compartición de datos.
  
  
• Conservación de los datos: establecer durante cuánto tiempo deben conservarse los registros, teniendo en cuenta la normativa aplicable (por ejemplo, la conservación durante determinados periodos de tiempo).
  
  
• Roles y responsabilidades: identificar quién dentro de la organización es responsable del análisis de los registros y de la respuesta ante los eventos.

Crear nuevas políticas para la retención de los datos en los registros de auditoría

Involucrar a los equipos de TI y de cumplimiento

El monitoreo de los registros de auditoría no debe ser exclusivo del equipo de TI, sino que también debería involucrar a los equipos de cumplimiento normativo.

Por ello, se podría crear un informe mensual compartido que destaque actividades críticas como modificaciones de permisos o accesos a datos sensibles, de modo que ambos equipos estén siempre alineados respecto a posibles problemas y los métodos de resolución adoptados.

Formar a los usuarios

Si su equipo está debidamente capacitado sobre los aspectos fundamentales de la seguridad y sobre las herramientas disponibles para gestionarla, tanto a nivel individual como organizacional, ya habrá recorrido la mitad del camino.

Todos los usuarios deberían ser conscientes de cómo utilizar los registros de auditoría dentro del entorno digital empresarial. Las sesiones de formación adecuadas suelen ser la vía más sencilla y eficaz para educar a los colegas sobre los riesgos asociados a comportamientos no conformes y mostrar cómo los registros son una herramienta para proteger tanto a la empresa como a sus trabajadores.

Integrar otras herramientas de Microsoft 365

Muchas organizaciones optan por adoptar soluciones de terceros para gestionar lógicas más complejas relacionadas con la seguridad. En efecto, no siempre se consideran suficientes las funcionalidades estándar que ofrece SharePoint para analizar y, sobre todo, reaccionar ante amenazas.

Sin embargo, nuestro consejo es aprovechar al máximo las licencias Microsoft de su empresa para ampliar las capacidades de análisis, monitoreo y gobernanza sin desperdiciar inversiones en soluciones que no están integradas adecuadamente en el ecosistema de Microsoft 365.

Compartir datos con Power BI para visualizaciones avanzadas

Power BI es una herramienta capaz de transformar datos complejos en visualizaciones intuitivas. Los datos recopilados a través de los registros de SharePoint pueden cargarse en Power BI para generar informes dinámicos y paneles personalizados, que ofrecen un análisis más profundo que las tablas de Excel.

Por ejemplo, un responsable de TI puede crear un panel que muestre en tiempo real las actividades de acceso a documentos sensibles, resaltando anomalías como intentos de acceso en horarios inusuales. Los datos de los registros también pueden utilizarse para generar tendencias de uso, identificando qué áreas de la plataforma son más visitadas por los usuarios.

Resumen de las visualizaciones disponibles en Power BI

Usar los registros para mejorar la gobernanza de Teams y OneDrive

La gobernanza de Microsoft Teams y OneDrive está estrechamente relacionada con SharePoint, ya que la mayor parte de los archivos y actividades se gestionan a través de esta plataforma.

En este caso, los registros de auditoría pueden utilizarse para:

• Supervisar las comparticiones dentro de Teams, identificando posibles acciones no autorizadas o riesgos para la seguridad.
• Analizar el uso de OneDrive para garantizar una gestión de datos conforme a las políticas de la empresa.

Servicios de Microsoft supervisados a través de los registros de auditoría

Sinergia con Microsoft Defender for Office 365

Microsoft Defender for Office 365 ofrece una protección avanzada contra amenazas como el phishing y el malware. Al integrar los datos de los registros de SharePoint con esta herramienta, es posible:

• Correlacionar eventos registrados en los logs con posibles amenazas identificadas por Defender;
• Recibir alertas automáticas cuando actividades sospechosas en SharePoint estén asociadas a comportamientos anómalos detectados por Defender.

Si Microsoft Defender detecta un intento de phishing que involucra un archivo en SharePoint, los registros de auditoría pueden ayudar a determinar quién accedió al archivo y qué acciones se llevaron a cabo, facilitando una respuesta rápida y precisa.

Visión general de Defender for Office 365

SharePoint Audit Log: un caso de uso práctico

Después de tanta teoría, hemos decidido concluir esta guía explicando cómo mejorar la seguridad empresarial mediante los registros de auditoría de SharePoint con un pequeño ejemplo práctico tomado de nuestra experiencia con un cliente.

Simulemos estar en una empresa con unos 500 empleados, donde SharePoint Online se utiliza como plataforma principal para la gestión documental.

Los responsables de TI deciden configurar los registros de auditoría para supervisar:

• Accesos a documentos confidenciales
• Actividades de compartición con usuarios externos
• Modificaciones de permisos en las colecciones de sitios

Tras habilitar los registros desde el Compliance Center en Microsoft Purview, la empresa implementa un panel de Power BI que recopila y muestra las actividades principales, destacando eventos anómalos como accesos fuera de horario o cambios no autorizados.

Después de un control de seis meses, la empresa registra los siguientes resultados:

1. Gracias a los registros de auditoría, cada actividad sobre los documentos queda registrada, lo que facilita las auditorías internas y garantiza el cumplimiento normativo.
   
   
2. Los registros ayudan a identificar un intento de acceso no autorizado a los datos del departamento financiero, lo que permite intervenir rápidamente y bloquear al usuario implicado.
   
   
3. La visualización centralizada de las actividades reduce el tiempo necesario para analizar los datos y responder ante incidentes.
   
   

Así es como, con pocas herramientas y una inversión mínima de recursos, cualquier empresa puede reforzar fácilmente su postura de seguridad.

Sin embargo, si su empresa no cuenta con las competencias técnicas internas para aprovechar al máximo la tecnología de Microsoft disponible, siempre es posible recurrir al apoyo de consultores, entre los que destacan los expertos de nuestro equipo, certificados como Microsoft Gold Partner y con décadas de experiencia en la implementación, gestión y personalización del entorno digital basado en Microsoft 365.

¿Qué es un registro de auditoría en SharePoint?

Un registro de auditoría, o audit log, es un registro que permite supervisar todas las actividades realizadas dentro de una colección de sitios de SharePoint. Sirve para rastrear modificaciones, accesos, comparticiones y cambios en los permisos de los usuarios, ofreciendo una visión detallada y transparente de las interacciones en el entorno digital empresarial.

¿Cómo se configuran los registros de auditoría en SharePoint Online?

En SharePoint Online, el registro de actividades está integrado en el Centro de cumplimiento de Microsoft Purview. El acceso a los registros se realiza a través del portal de administración de Microsoft 365, en la sección dedicada a Auditoría, donde Usted puede realizar búsquedas configurando parámetros como fechas, usuarios o archivos específicos.

¿Qué tipo de actividades se supervisan?

Los registros de auditoría pueden rastrear modificaciones y eliminaciones de documentos, cambios en permisos y cuentas, búsquedas realizadas por los usuarios y la ejecución de flujos de trabajo automatizados. Cada evento se registra con detalles útiles para el análisis y la prevención de riesgos.

¿Cómo se analizan los datos de los registros de auditoría?

Los datos pueden analizarse directamente en el Compliance Center o exportarse a Excel para procesamientos adicionales, como filtros y gráficos. También es posible utilizar PowerShell para generar informes personalizados o Power BI para obtener visualizaciones interactivas más avanzadas.

¿Cuál es el valor de los registros de auditoría para la seguridad empresarial?

Los registros de auditoría permiten identificar actividades anómalas, accesos sospechosos o comparticiones no autorizadas. Estos elementos son fundamentales para prevenir violaciones, responder con rapidez a los incidentes y garantizar el cumplimiento de normativas como el RGPD o la ISO 27001.

¿Con qué herramientas de Microsoft se integran los registros de auditoría?

Los registros de SharePoint pueden integrarse con Microsoft Sentinel para la correlación de eventos, con Microsoft Defender for Office 365 para la protección contra phishing y malware, y con Power BI para crear paneles avanzados. También funcionan con Teams y OneDrive, que comparten la misma infraestructura documental.

¿Durante cuánto tiempo se conservan los registros?

El tiempo de conservación varía según la licencia de Microsoft 365 utilizada. Las funcionalidades estándar están disponibles con licencias básicas, mientras que las funciones avanzadas y los períodos prolongados requieren una licencia E5 o complementos específicos de Microsoft Purview.

¿Es posible mejorar la gobernanza de Teams y OneDrive mediante los registros de auditoría?

Sí. Los registros pueden utilizarse para controlar la compartición de archivos en Teams y verificar el uso adecuado de OneDrive, contribuyendo a mantener la gestión de datos conforme a las políticas de la empresa.

¿Es necesaria una política para el uso de los registros de auditoría?

Se recomienda encarecidamente adoptar una política de auditoría. Esta debe definir las actividades a supervisar, los plazos de conservación de los datos y las responsabilidades internas. Solo así se pueden gestionar eficazmente los registros y garantizar seguridad y transparencia.

¿Quién debería gestionar y analizar los registros?

La responsabilidad no recae únicamente en el equipo de TI. Es fundamental involucrar también al equipo de cumplimiento normativo, con el fin de garantizar un análisis compartido y una respuesta coordinada ante eventos críticos. La elaboración de informes periódicos ayuda a mantener la atención en posibles anomalías.