Configurar Auditoria do Microsoft Purview (Standard)

Auditoria do Microsoft Purview (Standard) no Microsoft 365 permite pesquisar registros de auditoria para atividades executadas nos diferentes serviços do Microsoft 365 por usuários e administradores. Como a Auditoria (Standard) está habilitada por padrão para a maioria das organizações do Microsoft 365 e do Office 365, há apenas algumas coisas que você precisa fazer antes que você e outras pessoas em sua organização possam pesquisar o log de auditoria.

Este artigo discute as etapas a seguir necessárias para configurar a Auditoria (Standard).

Etapas para configurar a Auditoria (Standard).

Essas etapas incluem garantir as assinaturas organizacionais adequadas e o licenciamento do usuário necessários para gerar e preservar registros de auditoria e atribuir permissões a membros da equipe de suas operações de segurança, TI, conformidade e equipes legais para que possam pesquisar o log de auditoria.

Para obter mais informações, consulte Auditoria (Standard) no Microsoft 365.

Etapa 1: Verificar a assinatura da organização e o licenciamento do usuário

O licenciamento para Auditoria (Standard) requer a assinatura da organização apropriada que fornece acesso à ferramenta de pesquisa de log de auditoria e ao licenciamento por usuário necessário para registrar e reter registros de auditoria.

Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. Em Auditoria (Standard), os registros de auditoria são mantidos e pesquisáveis no log de auditoria por 90 dias.

Para obter uma lista dos requisitos de assinatura e licenciamento para Auditoria (Standard), consulte Soluções de auditoria no Microsoft 365.

Etapa 2: Atribuir permissões para pesquisar o log de auditoria

Os administradores e membros das equipes de investigação devem receber View-Only função logs de auditoria ou logs de auditoria no Exchange Online para pesquisar o log de auditoria. Por padrão, essas funções são atribuídas aos grupos de funções Gerenciamento de Conformidade e Gerenciamento de Organização na página Permissões do centro de administração do Exchange. Os administradores globais no Office 365 e Microsoft 365 são automaticamente adicionados como membros do grupo de funções de Gerenciamento da Organização no Exchange Online. Para que um usuário tenha a capacidade de pesquisar o log de auditoria com o nível mínimo de privilégios, você pode criar um grupo de funções personalizado no Exchange Online, adicionar a função Logs de Auditoria Somente para Exibição ou Logs de Auditoria e, em seguida, adicionar o usuário como um membro do novo grupo de funções. Para saber mais, confira Gerenciar Grupos de Funções do Exchange Online.

A captura de tela a seguir mostra as duas funções relacionadas à auditoria atribuídas ao grupo de função Gerenciamento da Organização no Centro de administração do Exchange.

Funções de auditoria atribuídas ao grupo de funções Exchange Online.

Etapa 3: Pesquisar o log de auditoria

Agora você está pronto para pesquisar o log de auditoria no portal de conformidade do Microsoft Purview.

  1. Acesse e https://compliance.microsoft.com entre usando uma conta que tenha sido atribuída às permissões de auditoria apropriadas.

  2. No painel de navegação esquerdo do portal de conformidade, clique em Mostrar tudo e clique em Auditoria.

  3. Na página Auditoria , configure a pesquisa usando as seguintes condições na guia Pesquisa.

    Definições de configuração para a pesquisa de log de auditoria.

    1. Intervalo de data e hora. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período. A data e hora são apresentadas na horário local. Os últimos sete dias são selecionados por padrão.

    2. Atividades, atividades. Selecione as atividades a serem pesquisadas. Use a caixa de pesquisa para pesquisar atividades a serem adicionadas à lista. Para obter uma lista parcial de atividades auditadas, consulte Atividades auditadas. Deixe essa caixa em branco para retornar entradas para todas as atividades auditadas.

    3. Usuários. Clique nessa caixa e comece a digitar o nome dos usuários para os quais exibir os resultados da pesquisa. As entradas do log de auditoria para as atividades selecionadas executadas pelos usuários selecionados nesta caixa são exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.

    4. Arquivo, pasta ou site. Digite alguns ou todos os nomes de um arquivo ou pasta para pesquisar atividades relacionadas ao arquivo de pasta que contém a palavra-chave especificada. Você também pode especificar uma URL de um arquivo ou pasta. Se você usar uma URL de um arquivo ou pasta, certifique-se de digitar o caminho de URL completo ou se você digitar uma parte da URL, não inclua caracteres ou espaços especiais. Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas em sua organização.

  4. Clique em Pesquisar para executar a pesquisa.

Uma nova página é exibida que mostra que a pesquisa de log de auditoria está em execução. Quando a pesquisa for concluída, os registros de auditoria serão exibidos na página. Clique em um registro para exibir uma página de submenu com propriedades detalhadas.

Para obter instruções mais detalhadas, consulte Pesquisar o log de auditoria no centro de conformidade.