Auditoría de login de usuario de Microsoft 365

Los hackers acceden a los dispositivos endpoint buscando robar datos específicos de la empresa, datos personales de los empleados o cualquier otra información valiosa que pueda serles de utilidad. Para ayudarle a prevenir este tipo de ataques, hemos recopilado una lista de parámetros que pueden ayudarle a identificar logs inusuales, que a menudo son la primera señal de un ataque.

La actividad inusual de inicio de sesión es uno de los indicadores más claros de una violación de la seguridad, por lo que es importante auditar los logins de los usuarios, tanto desde dentro como desde fuera de su organización. Con una herramienta que monitoree los parámetros adecuados, la mayoría de las amenazas a la seguridad pueden identificarse antes de que los intrusos accedan a sus valiosos datos.

¿Qué parámetros debe monitorear?

Los siguientes parámetros pueden añadir información contextual a su auditoría de logins y ayudarle a diferenciar entre la actividad regular de inicio de sesión del usuario y logins anómalos:

• Endpoint utilizado: Esté atento a los inicios de sesión desde dispositivos inapropiados. El CEO no se conectaría desde un sistema situado en la sala de correo, la recepción o la sección de contabilidad, ¿verdad?
• Hora de inicio de sesión: Controle los logins fuera del horario laboral. ¿Un usuario que trabaja de 9 a 5 se conecta un sábado a las 3 de la mañana? Sí, eso es sospechoso.
• Frecuencia: Monitoree la tendencia de inicio de sesión e identifique los inicios de sesión excesivos. Normalmente, los usuarios se conectan una vez por la mañana y se desconectan por la tarde. Un usuario que se conecte y desconecte repentinamente en breves ráfagas podría indicar un problema.
• Concurrencia: La mayoría de los usuarios se conectan desde un único endpoint. Pero ver a un usuario conectado de repente desde varios endpoints simultáneamente es una señal de alarma evidente.

Auditoría de login de usuario con el centro de administración

La auditoría de inicio de sesión de usuario con el centro de administración de Microsoft 365 tiene las siguientes limitaciones:

• El centro de administración no proporciona un informe de auditoría específico sobre la actividad de inicio de sesión de los usuarios. Usted debe filtrar los logs de auditoría necesarios mediante la herramienta de búsqueda de logs de auditoría del centro de administración de Microsoft 365.
• En el centro de administración, no se puede ver la información del login de los usuarios con más de 180 días de antigüedad.

Con M365 Security Plus, en cambio, puede superar todas las limitaciones anteriores. Además de proporcionar todo lo que ofrece el centro de administración de Microsoft 365, M365 Security Plus también ofrece muchas otras funciones para ayudarle a proteger su organización.

Funciones de M365 Security Plus

M365 Security Plus proporciona información sobre todos los parámetros que acabamos de mencionar en un informe fácil de entender, lo que significa que no tendrá que rebuscar en los logs de auditoría del centro de administración de Microsoft 365. Además, M365 Security Plus almacena los logs de auditoría indefinidamente, por lo que no tiene que preocuparse por esa ventana de 180 días de Microsoft 365.

M365 Security Plus ofrece los siguientes informes de auditoría sobre los logins de los usuarios:

• Actividad de inicio de sesión de los usuarios
• Fallas recientes en el inicio de sesión
• Inicios de sesión recientes exitosos

Estos informes pueden configurarse para que se generen automáticamente y se envíen a su bandeja de entrada a intervalos regulares; puede elegir entre los formatos PDF, HTML, XLSX o CSV.

Audite los login de los usuarios fuera del horario laboral

Los inicios de sesión de los usuarios que se produzcan fuera del horario laboral deben auditarse tanto por motivos de seguridad como de cumplimiento de la normativa. Aunque Microsoft 365 puede registrar los inicios de sesión y otras actividades de los usuarios de forma nativa, no puede filtrar los datos de logs de auditoría necesarios para controlar si los empleados inician sesión en sus cuentas durante horas no laborables.

Con M365 Security Plus, una vez configurado el horario laboral, usted puede recuperar los datos de auditoría de los inicios de sesión de los usuarios en horario no laboral con un solo clic. También puede realizar un control de la actividad de los usuarios fuera del horario laboral para asegurarse de que los empleados no realicen actividades maliciosas.