Auditoria en buzones de O365

Este es el primer post  que escribo y espero que os guste (y que mis compañeros no quieran quemarme en la hoguera por no escribir más).

Con el tiempo he visto que muchas personas tienen dudas sobre el funcionamiento de las auditorias de seguridad en los buzones de correo electrónico de Exchange de modo que me he venido arriba y trataré de explicar un poco algunas cosas que nos vendrán bien en el futuro.  Me centro sobre todo en este caso en Exchange Online, es decir, la solución de Office 365 con lo que en el caso de tener la estructura en local os recomiendo lo mismo pero que calculéis bien el espacio consumido de los logs en los servidores. Realmente creo que  es necesario activar los mismos

La auditoria de buzones en Exchange Online no está habilitada por defecto de modo que es necesario realizar ciertas modificaciones en los buzones de los usuarios.

Sería interesante plantear realizar una modificación del plan de los buzones para que automáticamente cuando se creen estos se les aplique dicha configuración, pero me temo que no está disponible dicha opción por nuestra parte. Es decir, se trata de una acción únicamente reservada para el entorno de producción de Microsoft. Esta parte la podemos comprobar en el siguiente artículo de Microsoft:

https://technet.microsoft.com/es-es/library/mt586788(v=exchg.160).aspx

Lo cual implica en el caso de que deseemos tener esta opción:

  • Creación del buzón de correo y asignación de auditoria de buzones activa posteriormente.
  • Tarea programada forzando que los buzones tengan dicha auditoria activa.

El primero de los puntos sería lo ideal, pero tenemos que tener en cuenta un detalle y es que la creación de un buzón de correo por primera vez puede tener un delay en el mismo. De modo que si lo tenemos automatizado mediante powershell podemos encontrarnos que el buzón todavía no existe y pueda generarnos un error. En este caso lo mejor sería definir una serie de acciones en caso de error en la asignación del permiso mediante Try and Catch. De modo que podemos definir que se nos envíe un correo electrónico en el caso de que no haya sido correctamente habilitada la auditoría de buzón.

Podemos encontrar información sobre posibles retrasos en la creación de los buzones de correo nuevos en el entorno de O365 el siguiente enlace:

https://support.microsoft.com/en-us/help/2635238/setting-up-messages-in-the-office-365-admin-center

El segundo de los casos sería una muy buena opción ya que mediante la definición de una tarea programada tenemos la posibilidad de corregir que todos los buzones tengan la auditoría habilitada y registrando los elementos que necesitamos.

Esquema de funcionamiento de la auditoría unificada de O365:

https://www.petri.com/wp-content/uploads/2017/10/UnifiedAuditing.jpg

Imagen de Microsoft.

Activación de la auditoria en los buzones

Para poder realizar este proceso únicamente deberíamos de activar el flag AuditEnabled o propiedad de los buzones de correo de nuestro entorno de O365. Para ello bastaría con utilizar powershell con el fin de recorrer todos los buzones que no tengan este parámetro activo e ir activando este último.

https://support.office.com/en-us/article/enable-mailbox-auditing-in-office-365-aaca8987-5b62-458b-9882-c28476a66918

Get-Mailbox -ResultSize Unlimited -Filter {AuditEnabled -eq $False} -RecipientTypeDetails UserMailbox, SharedMailbox | Set-Mailbox -AuditEnabled $True

Podemos encontrar información en relación con la activación de la auditoría en el siguiente artículo:

En este punto únicamente hemos habilitado la auditoría de tipo básica de los buzones. Por defecto tenemos 90 días de logs en O365 al igual que en Exchange 2013/2016 de modo que en el caso de que queramos ampliar el tiempo por ejemplo a 365 días debemos de modificar el parámetro AuditLogAgeLimit del buzón.

Get-Mailbox -ResultSize Unlimited -Filter {AuditEnabled -eq $False} -RecipientTypeDetails UserMailbox, SharedMailbox | Set-Mailbox -AuditLogAgeLimit 365

Una vez lanzamos la sentencia habremos procedido a la ampliación de los logs de auditoría de los buzones de correo. Podemos encontrar información sobre los logs del buzón por defecto en el siguiente artículo:

https://technet.microsoft.com/es-es/library/jj150552(v=exchg.150).aspx

Elementos que activar en la auditoria

Podríamos pensar que con el proceso de activación de la auditoría de los buzones ya habríamos terminado, pero en este caso únicamente hemos activado la auditoría que viene por defecto en los buzones de correo. Dependiendo de las necesidades que tengamos para auditar los buzones podemos proceder a habilitar auditoría en tres perfiles:

  • AuditDelegate : Auditoria asociada a los usuarios que tienen permisos delegados, es decir, no son los dueños pero tienen acceso o ciertos permisos sobre los buzones.
  • AuditAdmin: Auditoria asociada a los administradores de Exchange. De modo que las acciones realizadas por los administradores sobre los buzones quedarían registradas.
  • AuditOwner: Esta auditoria está asociada a todas las acciones que puede realizar el dueño del buzón sobre el mismo. De modo que podemos definir el nivel de registro que queremos tener sobre este.

La recomendación en el caso de Exchange online sería la activación completa de las auditorías en los tres campos que hemos visto. De esta forma podemos tener información completa de los buzones en el caso de necesitar realizar une revisión forense del mismo. Ya sea por motivos judiciales o simplemente por resolución de incidencias relativas a correo electrónico.

Podemos obtener información relevante sobre los permisos que podemos habilitar en el siguiente artículo:

https://technet.microsoft.com/en-us/library/bb123981.aspx

Registros relativos a administradores:

Delegado:

Permisos relativos al dueño del buzón de correo:

De modo que podemos ver la siguiente tabla donde podemos observar los valores que podemos asociar a cada uno de los perfiles.

Administrador Delegados Propietario
Copy X
Create X X X
FolderBind X X
HardDelete X X X
MailboxLogin X
MessageBind X
Move X X X
MoveToDeletedItems X X X
SendAs X X
SendOnBehalf X X
SoftDelete X X X
Update X X X
UpdateFolderPermissions (cloud only) X X X

Podemos obtener información sobre cada uno de los distintos elementos en el siguiente artículo de Microsoft:

https://support.office.com/en-us/article/enable-mailbox-auditing-in-office-365-aaca8987-5b62-458b-9882-c28476a66918#ID0EABAAA=Mailbox_auditing_actions

Importante: un usuario administrador con permisos de control completo sobre un determinado buzón es considerado como un usuario delegado.

De modo que el comando general para activar la auditoría completa en todos los entornos para cada uno de los buzones sería la siguiente:

Get-Mailbox -ResultSize Unlimited -Filter {AuditEnabled -eq $False} -RecipientTypeDetails UserMailbox, SharedMailbox | Set-Mailbox -AuditEnabled $true -AuditLogAgeLimit 365 -AuditLogAgeLimit 365 -AuditAdmin Create, FolderBind, MessageBind, SendAs, SendOnBehalf, SoftDelete, HardDelete, Update, Move, Copy, MoveToDeletedItems,UpdateFolderPermission -AuditDelegate Create,FolderBind,HardDelete,Move,MoveToDeletedItems,SendAs,SendOnBehalf,SoftDelete,Update,UpdateFolderPermissions -AuditOwner Create,HardDelete,MailboxLogin,MoveToDeletedItems,SoftDelete,Update,UpdateFolderPermissions

A tener en cuenta que esto modifica la información para los usuarios que no tienen actualmente la auditoria activada de modo que en el caso de querer lanzar una tarea sobre todos los buzones de la plataforma deberíamos de lanzar la siguiente sentencia:

Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox' -or RecipientTypeDetails -eq 'SharedMailbox')} | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true -AuditLogAgeLimit 365 -AuditAdmin Copy,Create,FolderBind,HardDelete,MessageBind,Move,MoveToDeletedItems,SendAs,SendOnBehalf,SoftDelete,Update,UpdateFolderPermission -AuditDelegate Create,FolderBind,HardDelete,Move,MoveToDeletedItems,SendAs,SendOnBehalf,SoftDelete,Update,UpdateFolderPermission -AuditOwner Create,HardDelete,MailboxLogin,Move,MoveToDeletedItems,SoftDelete,Update,UpdateFolderPermission }

En caso de querer más información tenemos un artículo muy bueno de cogmotive que explica el proceso también:

https://www.cogmotive.com/blog/office-365-tips/enable-mailbox-auditing-for-office-365-users

O esta referencia de O365info que explican también muy bien este proceso además de añadir ejemplos de conexión:

https://o365info.com/manage-mailbox-audit-using-powershell/

Preguntas habituales

¿Por qué debemos de activar la auditoría de buzones?

La pregunta podría devolverse de la siguiente manera: ¿Qué harás cuando te hagas falta?

Como bien sabemos este tipo de acciones no son retroactivas de modo que los registros se realizan desde el momento en que lo activas. Es por esto mismo que es muy recomendable tener las auditorias de buzón activas.

¿Afecta al rendimiento del correo electrónico?

En un entorno on-premise o lo que es lo mismo en el entorno de producción de nuestras instalaciones tendría muy claro el tipo de auditoria que queremos habilitar. Hay que tener en cuenta muchos elementos para la correcta gestión de la información que activamos y que esta no afecte al correcto funcionamiento de los servidores.

Pero en el caso del entorno Office 365 no estamos hablando de nuestra infraestructura sino de un entorno de pago por servicio de modo que podemos dar por hecho que Microsoft ha tenido muy en cuenta este proceso. De hecho, aunque venga por defecto podemos encontrar muchos artículos que indican que es una buena práctica el uso de los mismos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *