MS_Purview_M365E5-SecOps_e02v01_Art07-MS_CSU_Security_MCSA
MS_Purview_M365E5-SecOps_e02v01_Art07-MS_CSU_Security_MCSA
Este documento describe las capacidades avanzadas de eDiscovery Premium y Audit Premium dentro de Microsoft 365 y la suite Purview. Explica cómo estas herramientas soportan investigaciones formales, litigios y requerimientos regulatorios a través de la preservación de evidencia, el análisis asistido y la auditoría detallada. Se abordan conceptos como Legal Hold, gestión de custodios, conjuntos de revisión con aprendizaje automático, exportación con cadena de custodia verificable y retención extendida de logs. También se analiza la integración con plataformas de seguridad y orígenes de riesgo, para construir un plano forense sólido alineado con modelos de confianza cero y cumplimiento normativo.
En cuanto a eDiscovery, el texto compara la versión Standard incluida en licencias básicas con eDiscovery Premium de Purview Suite. Standard permite búsquedas simples y exportaciones básicas de contenido. Premium añade gestión formal de custodios, Legal Hold con notificaciones, conjuntos de revisión y análisis de relevancia mediante modelos de aprendizaje automático. Esta diferencia es clave en litigios complejos y frente a reguladores exigentes. No contar con Premium obliga a contratar plataformas externas costosas.
El Legal Hold en eDiscovery Premium preserva de forma automática el contenido de los usuarios designados como custodios. Cubre buzones, sitios de SharePoint, OneDrive y conversaciones de Microsoft Teams, incluso mensajes eliminados por el usuario. El sistema genera y gestiona notificaciones legales a los custodios, registra acuses de recibo, envía recordatorios y guarda todo en el expediente. Este flujo formal respalda obligaciones de litigation hold en jurisdicciones anglosajonas y aporta valor probatorio regional.
Los conjuntos de revisión de eDiscovery Premium permiten organizar y reducir grandes volúmenes de evidencia. Reconstruyen hilos completos de correo y conversaciones de Teams, evitando revisar mensajes aislados y repetidos. Detectan documentos casi duplicados y agrupan versiones similares de un mismo archivo, como contratos con cambios menores. Además, el modelo de relevancia aprende de las decisiones de los revisores. Prioriza el contenido con mayor probabilidad de ser útil y hace la revisión más rápida y defendible.
La exportación de evidencia desde eDiscovery Premium genera un manifiesto detallado que lista cada elemento incluido. Registra metadatos claves, como fechas, custodio asociado y momento exacto de la exportación. Incluye comprobaciones de integridad que permiten demostrar que los archivos no fueron alterados. Estos datos se complementan con el registro inmutable de Audit Premium, que indica quién exportó qué y cuándo. Así se sostiene una cadena de custodia robusta ante tribunales, árbitros o reguladores.
Audit Premium amplía la auditoría estándar con mayor retención y eventos más detallados. Pasa de noventa días a un año de conservación por defecto, con opción de diez años para sectores regulados. Incorpora eventos forenses como MailItemsAccessed, que registra qué mensajes se leyeron y cuándo, diseñado tras brechas de alto perfil. Una API con gran capacidad lleva estos logs a SIEM y a Sentinel, Insider Risk y Communication Compliance, reforzando el modelo de confianza cero.
eDiscovery Premium y Audit Premium
Nivel 2 Conceptos Clave
| Concepto | Explicación / Data |
|---|---|
| Legal Hold y gestión de custodios | El proceso de eDiscovery en cualquier investigación formal o litigación comienza con la preservación de la evidencia antes de que pueda ser alterada o eliminada por los sujetos de la investigación. eDiscovery Premium implementa este requerimiento mediante el Legal Hold sobre custodios: se designan formalmente los usuarios (custodios) cuyo contenido debe ser preservado, y el sistema coloca automáticamente un hold sobre todo su contenido en Exchange Online (buzón primario y de archivo), SharePoint Online, OneDrive for Business y Microsoft Teams, incluido el contenido que el usuario haya eliminado durante el período del hold, que se mantiene en las carpetas de recoverable items, inaccesibles para el usuario pero preservadas para la investigación. La notificación al custodio es un proceso formal integrado en eDiscovery Premium: el sistema puede enviar automáticamente notificaciones legales (litigation hold notices) a los custodios, gestionar el seguimiento de quiénes han acusado recibo, enviar recordatorios automáticos y registrar toda la comunicación relacionada con el hold en el expediente del caso. Este flujo de notificación es relevante para organizaciones sujetas a obligaciones de litigation hold bajo sistemas judiciales anglosajones (USA, UK), pero también tiene valor probatorio en procesos regulatorios en jurisdicciones latinoamericanas. |
| Review Sets y análisis asistido por ML | Una vez recolectado el contenido bajo hold, eDiscovery Premium lo procesa en Review Sets, conjuntos de trabajo donde el equipo legal y técnico aplica múltiples técnicas de reducción y organización del volumen de evidencia. El conversation threading reconstruye automáticamente los hilos completos de conversaciones de correo electrónico y Teams, presentando los mensajes en contexto conversacional en lugar de como elementos individuales. El near-duplicate detection agrupa documentos con contenido altamente similar, por ejemplo múltiples versiones de un contrato con cambios menores, permitiendo que el revisor marque todos los de un grupo con una sola acción. El email threading identifica la cadena de correos más completa de cada hilo y la presenta como representativa, reduciendo la revisión de mensajes redundantes. El relevance scoring (Predictive Coding) es un modelo de aprendizaje automático que aprende del comportamiento de revisión del usuario, es decir, qué documentos marca como relevantes frente a irrelevantes, y predice la relevancia de los documentos no revisados. Esto permite priorizar la revisión hacia el contenido con mayor probabilidad de ser relevante y aplicar reducciones de volumen estadísticamente defendibles en contextos de litigación con altos estándares probatorios. |
| Exportación y cadena de custodia | La exportación de evidencia desde eDiscovery Premium genera automáticamente un manifest de exportación que incluye la lista completa de los ítems exportados, el hash SHA-256 de cada ítem, metadatos de fecha de creación, modificación o recepción, información del custodio asociado y el timestamp de la exportación. Este manifest permite verificar en cualquier momento posterior que el contenido exportado no ha sido alterado desde el momento de la exportación, cumpliendo el requerimiento de integridad de la cadena de custodia. El registro de quién exportó qué y cuándo es inmutable en el log de Audit Premium. La exportación soporta formatos nativos, como PST para correo y archivos de Office originales, y formatos procesados, como PDF o texto plano, con la opción de incluir o excluir metadatos según los requerimientos del destinatario, ya sea un tribunal, un árbitro o un regulador. |
| Audit Premium: retención, profundidad y eventos críticos | Audit Premium, incluido en Purview Suite, extiende las capacidades de Audit Standard (E3) en dos dimensiones críticas: retención y profundidad de eventos. En retención, Audit Standard mantiene los logs de actividad durante 90 días, mientras que Audit Premium los mantiene durante 1 año por defecto, con un complemento disponible de 10 años para sectores regulados que requieren retención extendida, como financiero, salud o gobierno. La diferencia de retención es operacionalmente crítica porque la mayoría de las investigaciones de compromiso de cuentas o incidentes de exfiltración se inician días o semanas después del evento, y con 90 días de retención la evidencia puede haber expirado. En profundidad de eventos, Audit Premium incluye eventos de alta fidelidad forense que no están disponibles en Audit Standard, el más crítico de los cuales es MailItemsAccessed. Este evento registra exactamente qué mensajes de correo fueron accedidos, cuándo, por quién y desde qué protocolo (MAPI, REST API, OWA), permitiendo determinar qué información leyó un atacante durante un compromiso de cuenta de correo, como BEC o ATO. También incluye SearchQueryInitiated, que registra qué búsquedas realizó un usuario en Exchange y SharePoint, FileDownloaded en SharePoint y OneDrive con metadatos completos, y otros eventos de alta granularidad. |
| API de Audit de alto ancho de banda e integración SIEM | Purview Suite incluye acceso a la Management Activity API de Office 365 con una capacidad de throughput significativamente superior a la disponible en Audit Standard, hasta 50.000 solicitudes por hora por publisher frente al límite más restrictivo de Standard. Este throughput extendido es necesario para organizaciones que integran los logs de Audit con plataformas SIEM externas, como Microsoft Sentinel, Splunk, IBM QRadar o Elastic, para correlación en tiempo casi real. La integración con Sentinel es la más directa: los logs de Audit Premium se ingieren automáticamente en el workspace de Sentinel habilitado para M365, donde pueden ser correlacionados con señales de Defender for Endpoint, Entra ID Protection y otras fuentes del stack de seguridad. Esto convierte a Audit Premium en la fuente de verdad forense del plano de productividad M365 dentro de la arquitectura SIEM. |
Nivel 3 Notas de Soporte
La comparativa entre eDiscovery Standard, incluido en E3, y eDiscovery Premium, disponible en Purview Suite, es sustancial en cualquier contexto que requiera investigación formal. eDiscovery Standard permite crear casos básicos, realizar búsquedas de contenido en Microsoft 365 y exportar los resultados en formatos básicos. No incluye gestión formal de custodios, Legal Hold con notificación, review sets, análisis de relevancia mediante aprendizaje automático ni exportación con cadena de custodia verificable con hash. Para organizaciones sujetas a procesos de litigación en jurisdicciones con alta actividad de discovery, particularmente cualquier litigación que involucre contraparte o regulador estadounidense bajo las Federal Rules of Civil Procedure, la ausencia de las capacidades de eDiscovery Premium puede resultar en costos significativos de plataformas de eDiscovery de terceros, como Relativity, Nuix o Disco, para cubrir las funcionalidades faltantes.
El evento MailItemsAccessed de Audit Premium fue introducido específicamente como respuesta a los hallazgos del breach de SolarWinds y otros incidentes de BEC de alto perfil en los que los investigadores no podían determinar qué información había accedido el atacante durante el período de compromiso porque los logs existentes no registraban accesos a nivel de mensaje individual. Microsoft lo describió como una de las mejoras forenses más significativas del producto desde el lanzamiento del log de auditoría de Microsoft 365.
El complemento de 10 años de retención de Audit es relevante en Argentina para organizaciones que deben cumplir con las disposiciones del Banco Central de la República Argentina sobre conservación de documentación, como la Comunicación A 7724 y las regulaciones de registros de operaciones bancarias, para subsidiarias de multinacionales sujetas a SOX, Sarbanes Oxley Act, Sección 802 sobre conservación de registros durante 5 a 7 años, y para organizaciones sujetas a la Ley 11.683 de Procedimiento Tributario y sus requerimientos de conservación de documentación fiscal.
Conexiones externas: Audit Premium es la fuente de evidencia forense que alimenta las investigaciones de Insider Risk Management iniciadas en el Bloque 5/11. Los casos de Communication Compliance que escalan a investigación formal, tratados en el Bloque 6/11, utilizan eDiscovery Premium para preservar y revisar la evidencia de las comunicaciones bajo las condiciones de cadena de custodia requeridas. Los logs de Audit Premium integrados con Sentinel constituyen la capa forense del modelo Zero Trust descrito en el Bloque 10/11.