Configurar directivas de alerta para OneDrive y SharePoint

Office 365 permite a los administradores de la organización configurar directivas de alerta con fines específicos, como la prevención de pérdida de datos (DLP), prevención de amenazas, gobierno de datos, entre otros.

Esto resulta de gran utilidad cuando, por ejemplo, queremos prevenir que los usuarios sean víctimas de malware, o inluso cometan el error de habilitar el acceso público a información sensible.

El pasado mes de agosto la compañía de ciberseguridad UpGuard reveló el descubrimiento de un error de configuración de un bucket del servicio S3 de Amazon Web Services (AWS), que expuso al público información sensible sobre la nueva infraestructura de GoDaddy -principal registrador de dominios de internet- en AWS. UpGuard reportó esta situación de manera inmediata a Amazon, quien eliminó el acceso público y confirmó que un representante de ventas había configurado el bucket de esa manera por error.

Con ayuda del centro de seguridad y cumplimiento de Office 365 podemos configurar una serie de directivas de alerta que nos permitirán identificar rápidamente comportamientos o acciones que estén fuera de las buenas prácticas o representen un riesgo para la información de nuestra organización.

Antes de comenzar debemos habilitar el registro de auditoría de Office 365. Para ello vamos a ingresar a https://protection.office.com y allí a Prevención de pérdida de datos > Directiva.

A continuación hacemos clic en el botón Activar la auditoría en el banner que aparece en el margen superior de la pantalla y confirmamos la operación. El proceso puede tardar algunos minutos en completarse.

Si el registro de auditoría ya se encuentra habilitado, el banner no aparecerá en pantalla.

Una vez que el registro de auditoría esté habilitado vamos a navegar hacia la sección Alertas > Directivas de alerta > Nueva directiva de alertas.

En la primer pantalla del asistente colocamos el nombre de la directiva y una descripción que nos permita identificarla rápidamente más adelante. Luego la gravedad y por último la categoría. En nuestro caso hemos elegido Prevención de pérdida de datos. Luego presionamos Siguiente.

A continuación elegimos la actividad que se monitoreará. Para nuestra prueba seleccionamos Se ha creado un vínculo anónimo y configuramos la directiva para que nos alerte cada vez que la actividad sea registrada.

También podríamos agregar una condición, como que la directiva solo aplique a determinados usuarios o extensiones de archivo, pero para este ejemplo no lo utilizaremos.

Ahora seleccionamos los destinatarios y la frecuencia con que se enviarán las notificaciones.

Por último revisamos toda la información de la directiva, confirmamos la activación inmediata, y presionamos el botón Finalizar.

Manos a la obra

Llegó el momento de verificar si nuestra directiva de alerta funciona correctamente. Para ello vamos a crear una carpeta o archivo en OneDrive y luego la compartimos de manera pública.

A los pocos minutos de haber compartido la carpeta (recordemos que esta directiva de alerta aplica ta también a los archivos), recibimos una notificación via e-mail.

Al expandir los detalles de la notificación podemos observar en detalle la directiva involucrada y las carpetas/archivos afectados haciendo clic en Ver lista de actividades.

Desde la sección Alertas > Ver alertas podemos hacer un seguimiento del estado de las mismas. El equipo encargado de revisar las alertas y contactar a los usuarios tiene la posibilidad de organizar su trabajo en base a la gravedad.

Si bien para este ejemplo hemos utilizado OneDrive, la misma directiva de alerta funciona para SharePoint -siempre que la colección de sitios permita al usuario compartir elementos con usuarios anónimos- de manera automática.

Otro ejemplo de directiva de alerta muy utilizada es la de detección de malware. La misma permite alertar inmediatamente al administrador de la organización cuando un archivo infectado por código malicioso es subido a SharePoint o OneDrive.


Los usuarios, por su parte, tendrán una alerta visual en pantalla indicando la presencia de malware en el elemento afectado.

El administrador también puede crear un listado de nombres de archivos que contengan información sensible, y recibir una alerta si alguno de ellos es descargado al equipo del usuario.

¡Hasta la próxima!

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.