Unified Audit Log con Microsoft Purview

🕵️‍♂️ ¿Quién borró el archivo? Auditoría Forense básica en Microsoft 365 🔎

Es el ticket de soporte más temido y repetido de la historia:

“¡Mis archivos han desaparecido! Yo no he tocado nada, ha sido el sistema.”

El pánico es real. Una carpeta crítica de SharePoint está vacía o un Excel vital de OneDrive se ha esfumado. En ese momento, tú no necesitas fe; necesitas datos.

Microsoft 365 tiene una «Caja Negra» que registra casi todo lo que ocurre en tu entorno: el Unified Audit Log (Registro de Auditoría Unificado). Hoy te enseñamos a usarlo para convertirte en un forense digital y resolver el misterio en minutos.

🧠 ¿Qué es el Unified Audit Log?

Es una base de datos inmensa dentro de Microsoft Purview que registra miles de eventos: inicios de sesión, lecturas de archivos, descargas, cambios de nombre y, por supuesto, eliminaciones.

Si ocurrió en tu entorno hace menos de 180 días (en licencias estándar), está registrado.

🔍 Paso a Paso: Tu Lupa de Detective

Sigue esta ruta para encontrar al culpable (o al accidente):

  1. Entra en la Escena del Crimen: Ve al portal de cumplimiento: compliance.microsoft.com y en el menú izquierdo busca Auditoría.

  2. Define la Búsqueda (New Search):

    • Fecha y hora: Acota el rango. Si el usuario dice que desapareció «esta mañana», busca desde ayer.

    • Actividades: Aquí está la clave. En el buscador de actividades escribe «File» y selecciona:

      • Deleted file (Archivo eliminado)

      • Moved file to recycle bin (Movido a la papelera)

    • Ruta o Archivo: Si sabes el nombre exacto del archivo, escríbelo en «Palabra clave». Si no, déjalo en blanco para ver todo.

  3. ¡Buscar! 🕵️: Dale al botón y espera. Puede tardar unos segundos (o minutos si la búsqueda es muy amplia).

💡 Analizando las Pruebas: El «UserAgent» no miente

Cuando aparezcan los resultados, verás quién lo hizo y cuándo. Pero, ¿lo hizo a propósito?

Haz clic en el registro para ver los detalles y busca el campo UserAgent. Este dato te cuenta la historia real:

  • 💻 Si pone «OneDriveSync» o «Microsoft SkyDriveClient»: Veredicto: Accidente / Sincronización. El usuario probablemente borró la carpeta en su ordenador local pensando que era una copia, o movió archivos en su escritorio, y el cliente de sincronización replicó (borró) esos cambios en la nube. No fue maldad, fue desconocimiento.

  • 🌐 Si pone «Mozilla/5.0…» o un navegador web: Veredicto: Acción manual. El usuario entró vía web a SharePoint/OneDrive, seleccionó el archivo y le dio a borrar. Aquí es más difícil decir «yo no fui».

🛡️ Consejos del Forense Experto

  • Paciencia: Los eventos no son inmediatos. Desde que alguien borra un archivo hasta que aparece en el log pueden pasar de 15 a 60 minutos.

  • Actívalo YA: En la mayoría de tenants modernos viene activo por defecto, pero asegúrate. Si la auditoría está apagada, no registra nada. No puedes auditar el pasado si la «grabadora» estaba apagada.

  • Exporta: Si es un tema legal o de RRHH, exporta los resultados a un CSV para tener una copia inmutable de la evidencia.

Y recuerda, la próxima vez que alguien diga «ha sido el sistema», no discutas. Saca el log, verifica el UserAgent y ayuda al usuario a entender qué pasó para que no se repita. Datos matan relatos. 😉

CURSO RELACIONADO
ARTICULOS RELACIONADOS

Descubre más desde TeAyudoConM365

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo

En teayudo.info utilizaremos tu mensaje únicamente para responder a tu consulta. No guardaremos ni compartiremos tu información con nadie.