M365ean gertakari baten aurretik jarraitu beharreko praktika onak

Erregistroak gordetzeko iraupena beste alderdi garrantzitsu bat da. Microsoft 365 E5 lizentzietan edo baliokideetan, Audit (Premium) gaitzea posible da, eta horrek gordetze iraupena urtebetera luzatzen du eta MailItemsAccessed bezalako gertaera aurreratuak aktibatzen ditu. Honek zehaztasunez jakitea ahalbidetzen du erasotzaile batek mezu zehatz bat irakurri duen ala ez. Betetze zorrotzagoetarako kasuetan, gordetze hau 10 urtera arte luzatu daiteke politika pertsonalizatuen bidez.

E5 lizentziarik ez dagoenean, alternatiba baliagarriak daude:

• Purview Premium-en 90 eguneko doako probaldia.

• Logen esportazio automatikoa API, PowerShell edo Azure Logic Apps erabiliz fluxu automatizatuen bidez kanpoko biltegiratze batera, non Azure Blob Storage ohiko helmuga den.

Neurri mota hauek bereziki erabilgarriak dira araututako erakundeentzat edo osasun edo finantza bezalako sektore kritikoetan jarduten dutenentzat, non trazabilitatea derrigorrezko eskakizun bat den.

Postontzien auditoria: ez dira gertaera guztiak berdinak

2019tik aurrera, Microsoft-ek lehenetsita aktibatzen du postontzien auditoriaren oinarrizko funtzionalitatea. Hala ere, funtzionalitate aurreratuak —nork irakurri duen posta edo nork sartu den postontzi partekatu batean erregistratzea bezalakoak— konfigurazio eta lizentzia bereziak eskatzen dituzte. Adibidez, postontzi partekatuetara sarbidea erregistratzeko, komando hau bezalakoa behar izaten da:

Auditoria mota hau ezinbestekoa da barne ikerketetan, batez ere informazio konfidentzialera sarbide desegokiak susmatzen direnean. Sentikortasun handiko ingurunetan, gomendagarria da zerbitzu edo baliabide postontziak ere auditatu, normalean kontrol arruntetatik kanpo geratzen direnak.

Gordetze deliberatua: atxikipena eta Litigation Hold

Prebentzio estrategia indartsua da Litigation Hold erabiltzea erabiltzaile garrantzitsuentzat. Epaiketa bat ez badago ere, funtzionalitate honek bermatzen du ez dela posta elektronikorik behin betiko ezabatuko, erabiltzaile beraren eskutik ere ez.

Adibidez, erakunde askok hold iraunkorra ezartzen diete zuzendarien edo arlo kritikoetako arduradunen postontziei. Honek ez du soilik erasoetatik babesten, baita giza akats edo sabotaje barnekoetatik ere.

Gainera, politika orokorrak definitzea posta eta dokumentuetarako —adibidez, urte batekoak— ezabatutako edukiak epe horretan berreskuratzeko aukera ematen du. Garrantzitsua da lege beharrak, pribatutasuna eta forentse prestaketa orekatzea.

Analisi kontu bereiztuak

Beste oinarrizko printzipio bat kontu bereiztuen erabilera da ikerketa operazioetarako. Forentse edo betetze taldea ez luke administrazio kontu estandarrekin jardun behar. Gomendagarria da baimen minimoak dituzten kontu espezifikoak izatea (adibidez, eDiscovery, auditoriako edo Purview sarbidea), autentikazio anitzeko babesa dutenak.

Honek hainbat abantaila dakartza:

• Jarraipena indartzen du: ekintza bakoitza argi lotzen da analisi kontu bati.

• Eskalada lateralaren arriskua minimizatzen du: administrazio kontu bat komprometituta badago, ez du sarbide berehalakorik ematen forentseko tresnetara.

• Kontrol zorrotzagoak aplikatzea ahalbidetzen du, hala nola gailu espezifikoen erabilera, IP edo geokokapenaren bidezko murrizketak.

Ingurune teknikoaren mugak ezagutzea

Prestaketa egoki batek plataformaren mugak ezagutzea ere dakar:

• Entra ID auditoriako log-ak soilik gordetzen ditu 30 eguneko epean lehenetsita.

• eDiscoveryko edukien bilaketak tamaina eta denbora mugen menpe daude.

• Purviewtik esportazioa 2 TB kasu bakoitzeko mugatuta egon daiteke.

Mugak aurreikustea ikerketa erdian blokeoak saihesteko aukera ematen du. Horregatik, SIEM bat integratzea, hala nola Microsoft Sentinel edo hirugarrenen soluzioak logak epe luzerako gordetzeko, gero eta ohikoagoa da.

Ikerketak zaintzaile edo sailen arabera banatzea ere gomendatzen da datu bolumenak zatitzeko eta blokeoak saihesteko.

Frogen tratamendua eta kontserbazioa

Froga bildu ondoren —PST fitxategiak, CSV erregistroak edo pantaila-argazkiak izan daitezkeenak—, fase zaurgarriena hasten da: kontserbazioa. Praktika on batzuk honako hauek dira:

• Hash kalkulua (SHA-256) osotasuna egiaztatzeko.

• Sarbide kontrolarekin seguruak diren biltegietan gordetzea (adibidez, SharePoint pribatuan, Azure Key Vault-en, etab.).

• Ateratze eta kontserbazio prozesuaren erregistro zehatza logbook forentse batean.

Microsoftek hasierako bilketa errazten duen arren, zaintzaren kateak barne prozesuetan oinarritzen da guztiz. Ikerketetarako espazio digital esklusibo bat izatea, baimenik gabeko langileek soilik sarbidea dutenak, frogen kudeaketa eta osotasunaren kontrola asko errazten du.

Simulakro forentseak: kaosaren aurretik praktikatu

Hondamendien berreskurapen probak egiten diren bezala, ezinbestekoa da ikerketa forentse simulakroak egitea. Ariketa hauek egoera errealistak kontuan hartu behar dituzte: baimenik gabeko sarbidea postontzietara, SharePointetik fitxategi masiboen deskarga, baimenak manipulatzea, etab.

eDiscovery taldearekin praktikatu, lizentziak ondo esleituak daudela egiaztatu, baimenak aurreikusitako moduan funtzionatzen dutela berretsi eta erantzun denborak neurtzea ekintza hauek benetako istripu bat gertatzen denean aldea markatu dezakete.

Ondorioa: erantzunak daude, gordetzeko modua jakin baduzu

Zerbait huts egiten duenean, saihestezinak izango dira galderak: Zer gertatu da? Nor egin du? Non? Zein informazio eskuratu edo kanporatu da? Eta erantzun horiek guztiak Microsoft 365eko erregistroetan egon daitezke jada.

Gakoa datu horiek existitzen direla, manipulatu gabe daudela eta zuzen interpretatu daitezkeela da. Hori da prestaketa eraginkor baten benetako funtzioa: ez soilik ingurunea babestea, baizik eta, okerrena gertatzen bada, egia zehaztasunez berreraiki ahal izatea bermatzea.