Log de Auditoria - Caixa normal para caixa compartilhada

Dayane oliveira 0 Pontos de reputação
2025-01-28T12:06:05.8433333+00:00

Como realizar uma auditoria para identificar quem modificou uma caixa normal para uma caixa compartilhada.

Microsoft Q&A
Microsoft Q&A
Use esta marca para compartilhar sugestões, solicitações de recursos e bugs com a equipe de perguntas e respostas da Microsoft. A equipe de perguntas e respostas da Microsoft avaliará seus comentários regularmente e fornecerá atualizações eventuais.
334 perguntas
0 comentários Sem comentários
{count} votos

1 resposta

Classificar por: Mais útil
  1. Dio Xavier 2,515 Pontos de reputação
    2025-01-28T12:15:29.9233333+00:00

    Seja bem-vindo(a) à comunidade Microsoft!

    Tudo bem, Dayane? Segue um passo a passo:

    1. Habilite a Auditoria no Microsoft 365 (caso ainda não esteja ativa):
      • Por padrão, a auditoria já vem habilitada em locatários mais recentes. Para confirmar, use o PowerShell:
             Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
        
        Se retornar False, habilite com:
             Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $True
        
    2. Acesse o Log de Auditoria no Centro de Conformidade:
      • No portal do Microsoft 365, navegue até Conformidade -> Auditoria.
      • Clique em "Iniciar gravação de log de auditoria", caso ainda não esteja ativo.
      • Aguarde algumas horas para que os logs comecem a ser coletados.
    3. Pesquise pelos Eventos Relacionados à Modificação da Caixa de Correio:
      • Filtre pelos seguintes eventos específicos:
      • "Set-Mailbox": Este cmdlet é usado para modificar propriedades de caixas de correio.
      • Use critérios de busca, como:
      • Atividade: Escolha "Set-Mailbox".
      • Usuário: (se você tiver suspeitas sobre quem alterou).
      • Data e hora: Defina um período específico.
    4. Utilize PowerShell para Obter Detalhes Mais Precisos: Caso prefira uma abordagem com script, você pode usar o PowerShell para buscar no Unified Audit Log:
         Search-UnifiedAuditLog -StartDate "yyyy-MM-dd" -EndDate "yyyy-MM-dd" -Operations "Set-Mailbox" -ResultSize 1000 | Where-Object { $_.AuditData -like "*SharedMailbox*" }
      
      Esse comando retornará eventos relacionados a modificações de caixas de correio.
    5. Analise os Resultados:
      • Verifique detalhes como o usuário que realizou a ação, o endereço de IP, e a hora exata do evento
      • A propriedade AuditData contém informações úteis, como os parâmetros do cmdlet e a alteração feita.
    6. Documente e Aja:
      • Registre as descobertas para fins de conformidade.
      • Se a modificação não foi autorizada, revise as permissões do administrador responsável e implemente políticas mais restritivas.
    0 comentários Sem comentários

Sua resposta

As respostas podem ser marcadas como Respostas Aceitas pelo autor da pergunta, o que ajuda os usuários a saber a resposta que resolveu o problema do autor.