Bones pràctiques en M365 prèvies a un incident

La durada amb què es conserven els registres és un altre aspecte essencial. En llicències Microsoft 365 E5 o equivalents, es pot habilitar Audit (Premium), que estèn la retenció fins a 1 any i habilita esdeveniments avançats com MailItemsAccessed. Això permet saber, amb precisió, si un atacant va arribar a llegir un missatge específic. Per a casos de compliment més exigent, és possible estendre aquesta retenció fins a 10 anys mitjançant polítiques personalitzades.

En absència de llicències E5, existeixen alternatives viables:

• Prova gratuïta de 90 dies de Purview Premium.

• Exportació automàtica de logs a emmagatzematge extern mitjançant API, PowerShell o fluxos automatitzats amb Azure Logic Apps, sent Azure Blob Storage una destinació habitual.

Aquest tipus de mesures són especialment útils per a organitzacions regulades o que operen en sectors crítics com la sanitat o les finances, on la traçabilitat és un requisit legal.

Auditoria de bústies: no tots els esdeveniments són iguals

Des de 2019, Microsoft habilita per defecte l'auditoria bàsica de bústies. Tanmateix, funcionalitats avançades —com registrar qui ha llegit un correu o accedit a un bústia compartida— requereixen configuracions específiques i llicències adequades. Per exemple, per registrar l'accés a bústies compartides, sol ser necessari un comandament com:

Aquest tipus d'auditoria és essencial en investigacions internes, especialment quan hi ha sospites sobre accessos indeguts a informació confidencial. En entorns d'alta sensibilitat, és recomanable auditar també bústies de servei o de recursos, que sovint queden fora dels controls habituals.

Conservació deliberada: retenció i Litigation Hold

Una estratègia preventiva potent és l'ús de Litigation Hold en usuaris clau. Encara que no hi hagi un litigi en curs, aquesta funcionalitat garanteix que cap correu pugui eliminar-se permanentment, ni tan sols per part del propi usuari.

Per exemple, moltes organitzacions apliquen un hold permanent sobre els bústies de directius o responsables d'àrees crítiques. Això no només protegeix davant atacs, sinó també davant errors humans o sabotatges interns.

Complementàriament, definir polítiques de retenció generalitzades per a correu i documents —per exemple, d'un any— permet recuperar qualsevol contingut eliminat dins del període configurat. L'important és trobar l'equilibri entre necessitats legals, privadesa i preparació forense.

Comptes diferenciats per a l'anàlisi

Un altre principi fonamental és l'ús de comptes diferenciats per a operacions d'investigació. L'equip forense o de compliment no hauria d'actuar amb comptes administratius estàndard. El recomanable és disposar de comptes específics amb permisos mínims necessaris (com accés a eDiscovery, auditoria o Purview), protegides amb autenticació multifactor dedicada.

Aquest enfocament aporta diversos avantatges:

• Reforça la traçabilitat: cada acció queda clarament associada a un compte d'anàlisi.

• Minimitza el risc d'escalada lateral: si un compte administratiu és compromès, no atorga accés immediat a les eines forenses.

• Permet aplicar controls més estrictes, com l'ús de dispositius dedicats, restriccions per IP o geolocalització.

Conèixer les limitacions tècniques de l'entorn

Una preparació adequada també implica conèixer els límits de la plataforma:

• Entra ID conserva els registres d'auditoria només durant 30 dies per defecte.

• Les cerques de contingut a eDiscovery estan subjectes a límits de mida i temps.

• L'exportació des de Purview pot estar limitada a 2 TB per cas.

Anticipar-se a aquestes restriccions permet evitar bloquejos crítics en plena investigació. Per això, integrar un SIEM com Microsoft Sentinel o solucions de tercers per emmagatzemar logs a llarg termini és una pràctica cada cop més estesa.

També és recomanable dividir les investigacions per custodis o departaments per fraccionar els volums de dades i evitar colls d'ampolla.

Tractament i preservació d'evidències

Un cop les evidències han estat recopilades —ja siguin arxius PST, registres CSV o captures de pantalla—, comença la seva fase més delicada: la conservació. Algunes bones pràctiques inclouen:

• Càlcul de hash (SHA-256) per verificar la integritat.

• Emmagatzematge en repositoris segurs amb control d'accessos (per exemple, SharePoint privat, Azure Key Vault, etc.).

• Registre detallat del procés d'extracció i conservació en un logbook forense.

Tot i que Microsoft facilita la recopilació inicial, la cadena de custòdia depèn enterament dels processos interns. Tenir un espai digital exclusiu per a investigacions, accessible només a personal autoritzat, facilita enormement la gestió i control d'integritat de les proves.

Simulacres forenses: practicar abans del caos

Igual que es fan proves de recuperació davant de desastres, és imprescindible realitzar simulacres d'investigació forense. Aquests exercicis han de contemplar escenaris realistes: accés no autoritzat a bústies, descàrrega massiva d'arxius des de SharePoint, manipulació de permisos, etc.

Practicar amb l'equip eDiscovery, verificar que les llicències estan ben assignades, confirmar que els permisos funcionen segons el previst i mesurar els temps de resposta són accions que poden marcar la diferència quan passi un incident real.

Conclusió: les respostes hi són, si has sabut guardar-les

Quan alguna cosa falla, sorgiran inevitablement les preguntes: Què va passar? Qui ho va fer? Des d'on? Quina informació va ser accedida o exfiltrada? I totes aquestes respostes podrien estar ja contingudes en els registres de Microsoft 365.

La clau està en què aquestes dades existeixin, no hagin estat manipulades i puguin ser interpretades correctament. Aquesta és la veritable funció d'una preparació eficaç: no només protegir l'entorn, sinó assegurar-se que, si passa el pitjor, es podrà reconstruir la veritat amb precisió.