Auditoria do Microsoft Purview (Premium)

  • Artigo

A funcionalidade Auditoria no Microsoft Purview fornece às organizações visibilidade sobre muitos tipos de atividades auditadas em muitos serviços diferentes no Microsoft 365. Auditoria do Microsoft Purview (Premium) ajuda as organizações a realizar investigações forenses e de conformidade aumentando a retenção de log de auditoria necessária para conduzir uma investigação, fornecendo acesso a eventos cruciais (usando a pesquisa de log de auditoria no portal de conformidade do Microsoft Purview e no Office 365 API de Atividade de Gerenciamento) que ajudam a determinar o escopo do comprometimento e o acesso mais rápido à API de Atividade de Gerenciamento de Office 365.

Observação

A Auditoria (Premium) está disponível para organizações com uma assinatura do Office 365 E5/A5/G5 ou Microsoft 365 Enterprise E5/A5/G5. Uma licença complementar de Auditoria do Microsoft 365 E5/A5/G5 Compliance ou Descoberta Eletrônica E5/A5/G5 deve ser atribuída aos usuários para os recursos de Auditoria (Premium), como é o caso da retenção a longo prazo dos logs de auditoria e da geração de eventos de Auditoria (Premium) para investigações. Para obter mais informações sobre licenciamento, consulte:
- Requisitos de licenciamento da Auditoria (Premium)
- Diretrizes de licenciamento do Microsoft 365 para conformidade com a segurança&.

Este artigo fornece uma visão geral dos recursos de Auditoria (Premium) e mostra como configurar usuários para a Auditoria (Premium).

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Retenção a longo prazo de logs de auditoria

A Auditoria (Premium) retém todos os registros de auditoria do Exchange, do Microsoft Office SharePoint Online e do Azure Active Directory por um ano. Isso é realizado por uma política de retenção de log de auditoria padrão que retém qualquer registro de auditoria que contenha o valor de AzureActiveDirectory, Exchange, OneDrive ou SharePoint, para a propriedade Workload (que indica o serviço em que a atividade ocorreu) por um ano. Manter os registros de auditoria por períodos mais longos pode ajudar com investigações de conformidade ou perícia contínua. Para saber mais, confira a seção "Política de retenção de log de auditoria padrão" em Gerenciar políticas de retenção de log de auditoria.

Além dos recursos de retenção de um ano da Auditoria (Premium), também liberamos a funcionalidade para manter logs de auditoria por 10 anos. A retenção de logs de auditoria por dez anos ajuda a dar suporte às investigações longas e a responder às obrigações normativas e legais.

Observação

Manter os logs de auditoria por dez anos exige uma licença adicional complementar por usuário. Depois que esta licença for atribuída a um usuário e uma política de retenção de dez anos apropriada for definida para esse usuário, os logs de auditoria cobertos por esta política começarão a ser retidos por um período de dez anos. Esta política não é retroativa e não pode reter logs de auditoria gerados antes da criação da política de retenção de dez anos. Para obter mais informações, confira a seção Perguntas frequentes sobre Auditoria (Premium) neste artigo.

Políticas de retenção de log de auditoria

Todos os registros de auditoria gerados em outros serviços que não são cobertos pela política de retenção de log de auditoria padrão (descrita na seção anterior) são retidos por 90 dias. Mas agora você pode criar políticas de retenção de logs de auditoria personalizadas para manter outros registros de auditoria por períodos mais longos de até dez anos. Você pode criar uma política para manter registros de auditoria com base em um ou mais dos seguintes critérios:

  • O serviço do Microsoft 365 em que as atividades auditadas ocorrem.
  • Atividades auditadas específicas.
  • O usuário que executa uma atividade auditada.

Você também pode especificar por quanto tempo deseja manter registros de auditoria que correspondam à política e a um nível de prioridade, para que políticas específicas tenham prioridade sobre outras políticas. Observe também que qualquer política de retenção de log de auditoria personalizada terá precedência sobre a política de retenção de auditoria padrão, caso você precise reter registros de auditoria do Exchange, SharePoint ou Azure Active Directory por menos de um ano (ou por até dez anos) para alguns ou todos os usuários em sua organização. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Eventos de Auditoria (Premium)

A Auditoria (Premium) ajuda as organizações a conduzirem investigações forenses e de conformidade, fornecendo acesso a eventos importantes, como quando os itens de email foram acessados, quando os itens de email foram respondidos e encaminhados, e quando e o que um usuário pesquisava no Exchange Online e no Microsoft Office SharePoint Online. Esses eventos podem ajudá-lo a investigar possíveis violações e a determinar o escopo dos comprometimentos. Além desses eventos no Exchange e no Microsoft Office SharePoint Online, há eventos em outros serviços do Microsoft 365 que são considerados eventos importantes e exigem que os usuários sejam atribuídos a uma licença de Auditoria (Premium) apropriada. Os usuários devem receber uma licença de Auditoria (Premium) para que os logs de auditoria sejam gerados quando os usuários executarem esses eventos.

A Auditoria (Premium) fornece os seguintes eventos:

MailItemsAccessed

O evento MailItemsAccessed é uma ação de auditoria da caixa de correio e é acionado quando dados de email é acessado por protocolos de email e clientes de email. Esse evento pode ajudar os investigadores a identificar violações de dados e determinar o escopo das mensagens que podem ter sido comprometidas. Se um invasor tiver acesso a mensagens de email, a ação MailItemsAccessed será disparada mesmo que não haja nenhum sinal explícito de que as mensagens foram realmente lidas (em outras palavras, o tipo de acesso, como uma associação ou sincronização, é registrado no registro de auditoria).

O evento MailItemsAccessed substitui o MessageBind no log de auditoria da caixa de correio do Exchange Online e fornece os seguintes aprimoramentos:

  • MessageBind só era configurável para o tipo de logon de usuário AuditAdmin; não se aplicava a ações de delegado ou proprietário. O MailItemsAccessed se aplica a todos os tipos de logon.
  • O MessageBind abrangia apenas o acesso por um cliente de email. Não se aplicava a atividades de sincronização. Os eventos MailItemsAccessed são disparados pelos tipos de acesso de ligação e sincronização.
  • As ações MessageBind acionariam a criação de vários registros de auditoria quando a mesma mensagem de email fosse acessada, o que resultava em "ruído" de auditoria. Por outro lado, os eventos MailItemsAccessed são agregados em menos registros de auditoria.

Para obter informações sobre registros de auditoria para atividades MailItemsAccessed, confira Usar Auditoria (Premium) para investigar contas comprometidas.

Para pesquisar registros de auditoria MailItemsAccessed, é possível pesquisar a atividade Itens acessados da caixa de correio​ na lista suspensa Atividades da caixa de correio do Exchange na ferramenta de pesquisa de log de auditoria no portal de conformidade.

Pesquisar ações MailItemsAccessed na ferramenta de pesquisa de log de auditoria.

Você também pode executar os comandos Search-UnifiedAuditLog -Operations MailItemsAccessed ou Search-MailboxAuditLog -Operations MailItemsAccessed no PowerShell do Exchange Online.

Send

O evento Send também é uma ação de auditoria de caixa de correio e é acionado quando um usuário realiza uma das seguintes ações:

  • Envia uma mensagem de email
  • Responde a uma mensagem de email
  • Encaminha uma mensagem de email

Os investigadores podem usar o evento Send para identificar os emails enviados de uma conta comprometida. O registro de auditoria para um evento de Envio contém informações sobre a mensagem, como, por exemplo, quando a mensagem foi enviada, a ID de InternetMessage, o campo assunto e se a mensagem continha anexos. Essas informações de auditoria podem ajudar os investigadores a identificar informações sobre mensagens de email enviadas de uma conta comprometida ou enviadas por um invasor. Além disso, os investigadores podem usar uma ferramenta de Descoberta Eletrônica do Microsoft 365 para procurar a mensagem (usando o campo assunto ou ID da mensagem) para identificar os destinatários para os quais a mensagem foi enviada e o conteúdo real da mensagem enviada.

Para pesquisar Enviar registros de auditoria, você pode pesquisar a atividade Mensagem enviada na lista suspensa de atividades de caixa de correio do Exchange na ferramenta de pesquisa de log de auditoria no portal de conformidade.

Pesquisar ações Mensagem enviada na ferramenta de pesquisa de log de auditoria

Você também pode executar os comandos Search-UnifiedAuditLog -Operations Send ou Search-MailboxAuditLog -Operations Send no PowerShell do Exchange Online.

SearchQueryInitiatedExchange

O evento SearchQueryInitiatedExchange é disparado quando uma pessoa usa o Outlook para pesquisar itens em uma caixa de correio. Os eventos são disparados quando pesquisas são realizadas nos seguintes ambientes do Outlook:

  • Outlook (cliente de área de trabalho)
  • Outlook na Web (OWA)
  • Outlook para iOS
  • Outlook para Android
  • Aplicativo Email para Windows 10

Os investigadores podem usar o evento SearchQueryInitiatedExchange para determinar se um invasor que pode ter comprometido uma conta procurou por ou tentou acessar informações confidenciais na caixa de correio. O registro de auditoria para um evento SearchQueryInitiatedExchange contém informações como o texto atual de consulta de pesquisa. O registro de auditoria também indica o ambiente do Outlook onde a pesquisa foi realizada. Examinando as consultas de pesquisa que um invasor pode ter executado, um investigador pode entender melhor a intenção dos dados de email que foi pesquisado.

Para pesquisar registros de auditoria SearchQueryInitiatedExchange, você pode pesquisar a atividade de pesquisa de email executada na lista suspensa Atividades de pesquisa na ferramenta de pesquisa de log de auditoria no portal de conformidade.

Pesquisar ações de Pesquisa de email realizada na ferramenta de pesquisa de log de auditoria.

Você também pode executar o Search-UnifiedAuditLog – Operations SearchQueryInitiatedExchange no PowerShell do Exchange Online.

Observação

Você deve habilitar o SearchQueryInitiatedExchange para ser registrado em log para poder procurar esse evento no log de auditoria. Para obter instruções, consulte Configurar Auditoria (Premium).

SearchQueryInitiatedSharePoint

Semelhante à pesquisa de itens de caixa de correio, o evento SearchQueryInitiatedSharePoint é disparado quando uma pessoa pesquisa itens no SharePoint. Os eventos são disparado quando as pesquisas são executadas na página raiz ou padrão dos seguintes tipos de sites do Microsoft Office SharePoint Online:

  • Sites iniciais
  • Sites de comunicação
  • Sites do hub
  • Sites associados ao Microsoft Teams

Os investigadores podem usar o evento SearchQueryInitiatedSharePoint para determinar se um invasor tentou localizar (e possivelmente acessar) informações confidenciais no SharePoint. O registro de auditoria para um evento SearchQueryInitiatedSharePoint contém também o texto real da consulta de pesquisa. O registro de auditoria também indica o tipo de site do SharePoint que foi pesquisado. Examinando as consultas de pesquisa que um invasor pode ter executado, um investigador pode entender melhor a intenção e o escopo dos dados do arquivo sendo pesquisado.

Para pesquisar registros de auditoria SearchQueryInitiatedSharePoint, você pode pesquisar a atividade de pesquisa do SharePoint executada na lista suspensa Atividades de pesquisa na ferramenta de pesquisa de log de auditoria no portal de conformidade.

Pesquisar ações de Pesquisa SharePoint realizada na ferramenta de pesquisa de log de auditoria.

Você também pode executar o Search-UnifiedAuditLog – Operations SearchQueryInitiatedSharePoint no PowerShell do Exchange Online.

Observação

Você deve habilitar o SearchQueryInitiatedSharePoint para ser registrado em log para poder procurar esse evento no log de auditoria. Para obter instruções, consulte Configurar Auditoria (Premium).

Outros eventos de Auditoria (Premium) no Microsoft 365

Além dos eventos no Exchange Online e no Microsoft Office SharePoint Online, há eventos em outros serviços do Microsoft 365 que são registrados quando os usuários recebem o licenciamento apropriado de Auditoria (Premium). Os serviços do Microsoft 365 a seguir fornecem eventos de Auditoria (Premium). Selecione o link correspondente para acessar um artigo que identifica e descreve esses eventos.

Acesso de alta largura de banda à API da Atividade de Gerenciamento do Office 365

As organizações que acessam logs de auditoria por meio da API da Atividade de Gestão do Office 365 foram restritas pelos limites no nível do editor. Isso significa que, para um editor obter dados em nome de vários clientes, o limite foi compartilhado por todos esses clientes.

Com o lançamento da Auditoria (Premium), passamos de um limite de nível de editor para um limite de nível de locatário. O resultado é que todas as organizações terão sua própria cota de largura de banda totalmente alocada para acessar os dados de auditoria. A largura de banda não é um limite estático e predefinido, mas é modelada em uma combinação de fatores, incluindo o número de assentos na organização e que as organizações E5/A5/G5 terão mais largura de banda do que organizações não E5/A5/G5.

Todas as organizações alocam inicialmente uma linha de base de 2.000 solicitações por minuto. Esse limite aumentará dinamicamente de acordo com a contagem de assentos de uma organização e de sua assinatura de licenciamento. As organizações E5/A5/G5 terão aproximadamente o dobro da largura de banda que as organizações que não são E5/A5/G5. Também haverá limite máximo quanto à largura de banda para proteger a integridade do serviço.

Para mais informações, confira a seção "limitação da API" em Referência da API de atividade de gerenciamento do Office 365.

Perguntas frequentes para Auditoria (Premium)

Todo usuário precisa de uma licença E5/A5/G5 para se beneficiar da Auditoria (Premium)?

Para se beneficiar dos recursos da Auditoria (Premium) no nível de usuário, o usuário deve ter uma licença E5/A5/G5. Existem alguns recursos que verificarão a licença apropriada para expor o recurso ao usuário. Por exemplo, se você estiver tentando manter os registros de auditoria para um usuário que não tem uma licença apropriada por mais de 90 dias, o sistema retornará uma mensagem de erro.

Minha organização tem uma assinatura E5/A5/G5. Preciso fazer algo para obter acesso aos registros de auditoria para eventos de Auditoria (Premium)?

Para clientes e usuários qualificados atribuídos à licença E5/A5/G5 apropriada, não há nenhuma ação necessária para obter acesso a eventos de Auditoria (Premium), exceto para habilitar os eventos SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint (conforme descrito anteriormente neste artigo). Eventos de Auditoria (Premium) serão gerados somente para usuários com licenças E5/A5/G5 depois que essas licenças tiverem sido atribuídas.

Os novos eventos da Auditoria (Premium) estão disponíveis na API da Atividade de Gerenciamento do Office 365?

Sim. Desde que os registros de auditoria sejam gerados para os usuários com a licença adequada, você poderá acessá-los por meio da API da Atividade de Gerenciamento do Office 365.

O que acontecerá com os dados do log de auditoria da minha organização se eu criei um política de retenção de dez anos após o lançamento desse recurso para disponibilidade geral mas antes que a licença complementar necessária fosse disponibilizada?

Qualquer dado de registro de auditoria coberto por uma política de retenção de registro de auditoria de 10 anos que você criou após o lançamento do recurso à disponibilidade geral no último trimestre de 2020 será retido por 10 anos. Isto inclui políticas de retenção de logs de auditoria de 10 anos que foram criadas antes que a licença adicional necessária fosse liberada para compra em março de 2021. Entretanto, como a licença complementar de 10 anos de retenção de logs de Auditoria já está disponível, você precisará adquirir e atribuir essas licenças adicionais para quaisquer usuários cujos dados de auditoria estejam cobertos por uma política de retenção de auditoria de dez anos.