Buenas prácticas en M365 previas a un incidente

el


En ciberseguridad, la preparación lo es todo. Especialmente cuando hablamos de entornos como Microsoft 365, donde una correcta configuración previa puede marcar la diferencia entre una investigación eficaz y una situación completamente opaca. No basta con reaccionar cuando ya se ha producido un incidente; el verdadero trabajo forense comienza mucho antes, en la forma en que dejamos listo el entorno para registrar, conservar y facilitar el análisis de evidencias.

Unified Audit Log (UAL) es el elemento central de cualquier investigación en M365. Aunque los tenants actuales lo tienen activado por defecto, en entornos heredados esto no siempre es así. Confirmar su estado desde el portal de cumplimiento de Microsoft Purview es una acción a tener en cuenta. Disponéis de mas información en el siguiente enlace:

https://learn.microsoft.com/es-es/windows-server/administration/user-access-logging/get-started-with-user-access-logging

A modo de aclaración, lo que anteriormente se conocía como “Microsoft 365 Compliance Center” o “Purview Compliance Portal” ha sido renombrado por Microsoft como Microsoft Purview, consolidando tanto las funcionalidades de cumplimiento como de gobernanza de datos. 

Un entorno sin UAL es un entorno ciego. Todo acceso, modificación o comportamiento sospechoso puede pasar desapercibido. Para activar UAL basta con ejecutar un simple comando de PowerShell:


Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true


Conservación de logs: tiempo y licencias

La duración con la que se conservan los registros es otro aspecto esencial. En licencias Microsoft 365 E5 o equivalentes, puede habilitarse Audit (Premium), que extiende la retención hasta 1 año y habilita eventos avanzados como MailItemsAccessed. Esto permite saber, con precisión, si un atacante llegó a leer un mensaje específico. Para casos de cumplimiento más exigente, es posible extender esta retención hasta 10 años mediante políticas personalizadas.

En ausencia de licencias E5, existen alternativas viables:

  • Prueba gratuita de 90 días de Purview Premium.

  • Exportación automática de logs a almacenamiento externo mediante API, PowerShell o flujos automatizados con Azure Logic Apps, siendo Azure Blob Storage un destino habitual.

Este tipo de medidas son especialmente útiles para organizaciones reguladas o que operan en sectores críticos como sanidad o finanzas, donde la trazabilidad es un requisito legal.


Auditoría de buzones: no todos los eventos son iguales

Desde 2019, Microsoft habilita por defecto la auditoría básica de buzones. Sin embargo, funcionalidades avanzadas —como registrar quién ha leído un correo o accedido a un buzón compartido— requieren configuraciones específicas y licencias adecuadas. Por ejemplo, para registrar el acceso a buzones compartidos, suele ser necesario un comando como:


Set-Mailbox -Identity "buzoncompartido@zerolynx.com" -AuditEnabled $true

Este tipo de auditoría es esencial en investigaciones internas, especialmente cuando hay sospechas sobre accesos indebidos a información confidencial. En entornos de alta sensibilidad, es recomendable auditar también buzones de servicio o de recursos, que a menudo quedan fuera de los controles habituales.


Conservación deliberada: retención y Litigation Hold

Una estrategia preventiva potente es el uso de Litigation Hold en usuarios clave. Aunque no haya un litigio en curso, esta funcionalidad garantiza que ningún correo pueda eliminarse permanentemente, ni siquiera por parte del propio usuario.

Por ejemplo, muchas organizaciones aplican un hold permanente sobre los buzones de directivos o responsables de áreas críticas. Esto no solo protege frente a ataques, sino también ante errores humanos o sabotajes internos.

Complementariamente, definir políticas de retención generalizadas para correo y documentos —por ejemplo, de un año— permite recuperar cualquier contenido eliminado dentro del periodo configurado. Lo importante es encontrar el equilibrio entre necesidades legales, privacidad y preparación forense.


Cuentas diferenciadas para el análisis

Otro principio fundamental es el uso de cuentas diferenciadas para operaciones de investigación. El equipo forense o de cumplimiento no debería actuar con cuentas administrativas estándar. Lo recomendable es disponer de cuentas específicas con permisos mínimos necesarios (como acceso a eDiscovery, auditoría o Purview), protegidas con autenticación multifactor dedicada.

Este enfoque aporta varias ventajas:

  • Refuerza la trazabilidad: cada acción queda claramente asociada a una cuenta de análisis.

  • Minimiza el riesgo de escalada lateral: si una cuenta administrativa es comprometida, no otorga acceso inmediato a las herramientas forenses.

  • Permite aplicar controles más estrictos, como el uso de dispositivos dedicados, restricciones por IP o geolocalización.


Conocer las limitaciones técnicas del entorno

Una preparación adecuada también implica conocer los límites de la plataforma:

  • Entra ID conserva los logs de auditoría solo durante 30 días por defecto.

  • Las búsquedas de contenido en eDiscovery están sujetas a límites de tamaño y tiempo.

  • La exportación desde Purview puede estar limitada a 2 TB por caso.

Anticiparse a estas restricciones permite evitar bloqueos críticos en plena investigación. Por ello, integrar un SIEM como Microsoft Sentinel o soluciones de terceros para almacenar logs a largo plazo es una práctica cada vez más extendida.

También es recomendable dividir las investigaciones por custodios o departamentos para fraccionar los volúmenes de datos y evitar cuellos de botella.


Tratamiento y preservación de evidencias

Una vez que las evidencias han sido recopiladas —ya sean archivos PST, registros CSV o capturas de pantalla—, comienza su fase más delicada: la conservación. Algunas buenas prácticas incluyen:

  • Cálculo de hash (SHA-256) para verificar integridad.

  • Almacenamiento en repositorios seguros con control de accesos (por ejemplo, SharePoint privado,  Azure Key Vault, etc.).

  • Registro detallado del proceso de extracción y conservación en un logbook forense.

Aunque Microsoft facilita la recopilación inicial, la cadena de custodia depende enteramente de los procesos internos. Tener un espacio digital exclusivo para investigaciones, accesible solo a personal autorizado, facilita enormemente la gestión y control de integridad de las pruebas.


Simulacros forenses: practicar antes del caos

Al igual que se hacen pruebas de recuperación ante desastres, es imprescindible realizar simulacros de investigación forense. Estos ejercicios deben contemplar escenarios realistas: acceso no autorizado a buzones, descarga masiva de archivos desde SharePoint, manipulación de permisos, etc.

Practicar con el equipo eDiscovery, verificar que las licencias están bien asignadas, confirmar que los permisos funcionan según lo previsto y medir tiempos de respuesta son acciones que pueden marcar la diferencia cuando ocurra un incidente real.


Conclusión: las respuestas están, si has sabido guardarlas

Cuando algo falla, surgirán inevitablemente las preguntas: ¿Qué ocurrió? ¿Quién lo hizo? ¿Desde dónde? ¿Qué información fue accedida o exfiltrada? Y todas esas respuestas podrían estar ya contenidas en los registros de Microsoft 365.

La clave está en que esos datos existan, no hayan sido manipulados y puedan ser interpretados correctamente. Esa es la verdadera función de una preparación eficaz: no solo proteger el entorno, sino asegurarse de que, si ocurre lo peor, se podrá reconstruir la verdad con precisión.