Un evaluador te pedirá un registro de quién hizo qué y cuándo. Si los logs no están activos, o se borraron a los 90 días, tienes un hallazgo. La auditoría y el registro en GCC High viven en Microsoft Purview, con la opción de reenviar a un SIEM.
Activa el Unified Audit Log (3.3.1, 3.3.2)
NIST 800-171 3.3.1 y 3.3.2 exigen registros auditables de la actividad de usuarios y administradores, y el Unified Audit Log es el sistema de registro de Microsoft 365. En el portal de Purview, abre Audit y empieza a registrar la actividad de usuarios y admins si no está ya activo. Confirma que la auditoría de buzones está habilitada en todo el tenant.
Fija la retención a un año o más (3.3.1)
La ventana de retención por defecto es muy corta para una evaluación. CMMC espera al menos un año de logs retenidos. Con Purview Audit Premium, crea una política de retención de auditoría y fija la retención a 365 días o más para los tipos de registro en alcance.
Envía los logs a un SIEM y alerta (3.3.5, 3.3.6)
NIST 800-171 3.3.5 y 3.3.6 tratan de correlación, revisión y reporte, y los logs en bruto no hacen eso por sí solos. Conecta Microsoft Sentinel, o el SIEM que uses, a los conectores de Microsoft 365 y Entra, y luego habilita reglas analíticas que alerten sobre cambios de roles privilegiados, viaje imposible y descargas masivas. La meta es que un evento relevante llegue a una persona en vez de quedarse en un log que nadie lee.
Una nota sobre qué significa "hecho"
Configurar estos ajustes endurece tu tenant de Microsoft 365 GCC High al baseline técnico de NIST 800-171. No es una certificación CMMC. Un C3PAO evalúa tu System Security Plan documentado, no tu tenant directamente, así que la configuración de arriba solo cuenta cuando queda escrita con evidencia. Nuestro GCC High Setup Autopilot gratis te lleva por cada paso en orden y entrega el resultado a tu conjunto de controles cuando pasas a Readyline Pro.
