Auditoría Admin Office 365: Rastreo de Cambios Críticos
OFFICE 365
El Desafío
Las acciones administrativas indebidas — intencionales o accidentales — son una de las principales causas de incidentes de seguridad. Saber quién hizo qué y cuándo es crucial. Sin embargo, el Registro de Auditoría Unificado de Office 365 mezcla miles de eventos irrelevantes (lectura de archivos, inicio de sesión de usuario) con eventos críticos (cambio de contraseña, alteración de permisos), haciendo que la detección manual de incidentes sea lenta y compleja.
El objetivo era:
- Auditar las últimas acciones ejecutadas por administradores
- Filtrar solo eventos de alto impacto (permisos, grupos, seguridad)
- Obtener una línea de tiempo clara para investigación forense o cumplimiento
- Identificar patrones de comportamiento anómalo
El Prompt Enviado a Myrmex
Usando la integración con el inquilino de Office 365, enviamos:
Audite las últimas 10 acciones administrativas en el Registro de Auditoría Unificado de Office 365.
Concéntrese en cambios de alto impacto como modificaciones a reglas de transporte,
permisos de buzón o actualizaciones de políticas de seguridad.
Presente una lista cronológica incluyendo la identidad del usuario,
el cambio específico realizado y la marca de tiempo.
Nota: Myrmex actúa como un investigador digital, filtrando el "ruído" de los registros para presentar solo la evidencia relevante.
Lo Que Myrmex Hizo
Myrmex consultó el Office 365 Unified Audit Log, aplicando filtros específicos para categorías de eventos administrativos (como UserManagement, GroupManagement y RoleAdministration), ignorando eventos de usuario final.
Línea de Tiempo de Acciones de Alto Impacto
| Marca de Tiempo (UTC) | Identidad / Actor | Acción Realizada | Categoría |
|---|---|---|---|
| 04:06:18 | System/Admin | Group Lifecycle Policies Get | Política |
| 18:37:43 | Larissa Faustino | Change password (self-service) | Gestión de Usuarios |
| 18:33:57 | Vinicius Silva (Admin) | Reset password (Objetivo: Larissa) | ⚠️ Gestión de Usuarios |
| 05:18:31 | MS Teams Services | Add member (Joao → Myrmex) | Gestión de Grupos |
| 05:13:17 | MS Approval Mgmt | Add member (Joao → Todos) | Gestión de Grupos |
| 05:07:32 | Myrmex Service | Create Group (Legal Ainext) | Gestión de Grupos |
| 05:07:32 | Myrmex Service | Add Owner (SP → Legal Ainext) | Gestión de Grupos |
Análisis y Observaciones
1. Operaciones de Privilegio Elevado
El registro destacó una acción crítica a las 18:33:57: el administrador vinicius.silva restableció manualmente la contraseña de larissa.faustino.
Implicación: Aunque parece una acción de soporte legítima, en un contexto de invasión, esto podría indicar un atacante asumiendo el control de una cuenta de usuario. El registro claro permite validación rápida ("Vinicius, ¿atendiste a Larissa en ese horario?").
2. Gobernanza Automática de Grupos
Varios eventos automatizados (por Myrmex Service y MS Teams Services) muestran la creación y población de grupos.
Implicación: Valida que las automatizaciones de onboarding están funcionando correctamente, agregando usuarios a los grupos correctos sin intervención humana.
3. Ausencia de Cambios Estructurales
El análisis confirmó que ninguna regla de transporte (Exchange) o política de seguridad global fue alterada en el período, garantizando la integridad del entorno.
Beneficios del Enfoque
🕵️ Rastrealibidad Total
Cada acción queda registrada y asociada a una identidad real, eliminando el "yo no hice eso".
⚡ Filtro de Relevancia
Myrmex ignoró miles de eventos de "lectura de correo electrónico" o "acceso a archivo" para entregar solo las 10 acciones que realmente impactan la configuración del inquilino.
Resultado
Con la auditoría de Myrmex:
- ✅ Transparencia: Historial claro de quién alteró qué.
- ✅ Seguridad: Detección de restablecimientos de contraseña manuales (riesgo potencial).
- ✅ Control: Confirmación de que las configuraciones globales de seguridad permanecieron intactas.
Variaciones del Prompt
El mismo patrón puede usarse para investigaciones específicas:
Para investigar un usuario sospechoso:
Audite todas las acciones administrativas realizadas por el usuario 'admin@empresa.com'
en los últimos 7 dias. Concéntrese en eliminación de datos o cambio de permisos.
Para auditoría de correo electrónico:
Liste todos los cambios en 'Mailbox Permissions' (FullAccess o SendAs)
realizados en las últimas 48 horas en cualquier buzón ejecutivo.