Usar a auditoria de compartilhamento no log de auditoria

O compartilhamento é uma atividade fundamental no SharePoint Online e OneDrive for Business e é amplamente usado em organizações. Os administradores podem usar a auditoria de compartilhamento no log de auditoria para determinar como o compartilhamento é usado em sua organização.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

O esquema de compartilhamento do SharePoint

Eventos de compartilhamento (não incluindo eventos relacionados à política de compartilhamento e links de compartilhamento) são diferentes de eventos relacionados a arquivos e pastas de uma maneira primária: um usuário está executando uma ação que tem um efeito sobre outro usuário. Por exemplo, quando um recurso Usuário A dá ao usuário B acesso a um arquivo. Neste exemplo, o Usuário A é o usuário interino e o Usuário B é ousuário de destino. No esquema Arquivo do SharePoint, a ação do usuário interino afeta apenas o próprio arquivo. Quando o Usuário A abre um arquivo, as únicas informações necessárias no evento FileAccessed são o usuário interino. Para resolver essa diferença, há um esquema separado, chamado esquema de compartilhamento do SharePoint que captura mais informações sobre eventos de compartilhamento. Isso garante que os administradores tenham visibilidade sobre quem compartilhou um recurso e o usuário com o qual o recurso foi compartilhado.

O esquema de compartilhamento fornece dois campos adicionais em um registro de auditoria relacionado a eventos de compartilhamento:

• TargetUserOrGroupType: Identifica se o usuário ou grupo de destino é membro, convidado, SharePointGroup, SecurityGroup ou Partner.
• TargetUserOrGroupName: Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado (Usuário B no exemplo anterior).

Esses dois campos, além de outras propriedades do esquema de log de auditoria, como Usuário, Operação e Data, podem contar a história completa sobre qual usuário compartilhou qual recurso com quem e quando.

Há outra propriedade de esquema que é importante para a história de compartilhamento. Quando você exporta os resultados da pesquisa de log de auditoria, a coluna AuditData no arquivo CSV exportado armazena informações sobre eventos de compartilhamento. Por exemplo, quando um usuário compartilha um site com outro usuário, isso é feito adicionando o usuário de destino a um grupo do SharePoint. A coluna AuditData captura essas informações para fornecer contexto para os administradores. Consulte Etapa 2 para obter instruções sobre como analisar as informações na coluna AuditData .

Eventos de compartilhamento do SharePoint

O compartilhamento é definido por quando um usuário (o usuário interino ) deseja compartilhar um recurso com outro usuário (o usuário de destino ). Os registros de auditoria relacionados ao compartilhamento de um recurso com um usuário externo (um usuário que está fora da sua organização e não tem uma conta de convidado no Microsoft Entra ID da sua organização) são identificados pelos seguintes eventos, que são registrados no log de auditoria:

• SharingInvitationCriated: Um usuário da sua organização tentou compartilhar um recurso (provavelmente um site) com um usuário externo. Isso resulta em um convite de compartilhamento externo enviado ao usuário de destino. Nenhum acesso ao recurso é concedido neste momento.
• SharingInvitationAccepted: O usuário externo aceitou o convite de compartilhamento enviado pelo usuário interino e agora tem acesso ao recurso.
• AnonymousLinkCreated: Um link anônimo (também chamado de link "Qualquer pessoa") é criado para um recurso. Como um link anônimo pode ser criado e copiado, é razoável supor que qualquer documento que tenha um link anônimo tenha sido compartilhado com um usuário de destino.
• AnonymousLinkUsed: Como o nome indica, esse evento é registrado quando um link anônimo é usado para acessar um recurso.
• SecureLinkCreated: Um usuário criou um "link de pessoas específicas" para compartilhar um recurso com uma pessoa específica. Esse usuário de destino pode ser alguém externo à sua organização. A pessoa com a qual o recurso é compartilhado é identificada no registro de auditoria do evento AddedToSecureLink . Os carimbos de tempo para esses dois eventos são quase idênticos.
• AddedToSecureLink: Um usuário foi adicionado a um link de pessoas específico. Use o campo TargetUserOrGroupName neste evento para identificar o usuário adicionado ao link de pessoas específicas correspondente. Esse usuário de destino pode ser alguém externo à sua organização.

Fluxo de trabalho de auditoria de compartilhamento

Quando um usuário (o usuário interino) deseja compartilhar um recurso com outro usuário (o usuário de destino), o SharePoint (ou OneDrive for Business) primeiro verifica se o endereço de email do usuário de destino já está associado a uma conta de usuário no diretório da organização. Se o usuário de destino estiver no diretório (e tiver uma conta de usuário convidado correspondente), o SharePoint fará as seguintes coisas:

• Atribui imediatamente as permissões de usuário de destino para acessar o recurso adicionando o usuário de destino ao grupo apropriado do SharePoint e registra um evento AddedToGroup .
• Envia uma notificação de compartilhamento para o endereço de email do usuário de destino.
• Registra um evento SharingSet . Esse evento tem um nome amigável de "Arquivo compartilhado, pasta ou site" em Atividades de solicitação de compartilhamento e acesso no seletor de atividades da ferramenta de pesquisa de log de auditoria. Confira a captura de tela na Etapa 1.

Se uma conta de usuário do usuário de destino não estiver no diretório, o SharePoint fará o seguinte:

• Registra um dos seguintes eventos, com base em como o recurso é compartilhado:

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (esse evento é registrado somente quando o recurso compartilhado é um site)

• Quando o usuário de destino aceita o convite de compartilhamento enviado a eles (clicando no link no convite), o SharePoint registra um evento SharingInvitationAccepted e atribui as permissões de usuário de destino para acessar o recurso. Se o usuário de destino receber um link anônimo, o evento AnonymousLinkUsed será registrado após o usuário de destino usar o link para acessar o recurso. Para links seguros, um evento FileAccessed é registrado quando um usuário externo usa o link para acessar o recurso.

Informações adicionais sobre o usuário de destino também são registradas, como a identidade do usuário para o qual o convite é e o usuário que aceita o convite. Em alguns casos, esses usuários (ou endereços de email) podem ser diferentes.

Como identificar recursos compartilhados com usuários externos

Um requisito comum para administradores é criar uma lista de todos os recursos que foram compartilhados com usuários fora da organização. Usando a auditoria de compartilhamento em Office 365, os administradores podem gerar essa lista. Veja como.

Etapa 1: Pesquisa para compartilhar eventos e exportar os resultados para um arquivo CSV

A primeira etapa é pesquisar o log de auditoria em busca de eventos de compartilhamento. Para obter mais informações (incluindo as permissões necessárias) sobre a pesquisa no log de auditoria, consulte Pesquisa log de auditoria.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

Conclua as seguintes etapas para pesquisar eventos de compartilhamento:

1. Entre no portal do Microsoft Purview.

2. Selecione a solução de auditoria cartão. Se a solução auditar cartão não for exibida, selecione Exibir todas as soluções e selecione Auditoria na seção Core.

3. Na página Pesquisa e em Atividades – nomes amigáveis, selecione Atividades de solicitação de compartilhamento e acesso para pesquisar eventos relacionados ao compartilhamento.

4. Selecione um intervalo de data e hora para localizar os eventos de compartilhamento ocorridos nesse período.

5. Selecione Pesquisar para executar a pesquisa.

6. Quando a pesquisa for concluída e os resultados forem exibidos, selecione Exportar resultados>Baixar todos os resultados.

   Depois de selecionar a opção de exportação, uma mensagem na parte inferior da janela solicitará que você abra ou salve o arquivo CSV.

7. Selecione Salvar>como e salve o arquivo CSV em uma pasta no computador local.

Portal de Conformidade

Conclua as seguintes etapas para pesquisar eventos de compartilhamento:

1. Entre no portal do Microsoft Purview.

2. No painel esquerdo do portal de conformidade do Microsoft Purview, selecione Auditoria.

3. Na página Auditoria e em Atividades, selecione Atividades de compartilhamento e solicitação de acesso para pesquisar eventos relacionados ao compartilhamento.

   

4. Selecione um intervalo de data e hora para localizar os eventos de compartilhamento ocorridos nesse período.

5. Selecione Pesquisar para executar a pesquisa.

6. Quando a pesquisa terminar de ser executada e os resultados forem exibidos, selecione Exportar resultados>Baixar todos os resultados.

   Depois de selecionar a opção de exportação, uma mensagem na parte inferior da janela solicitará que você abra ou salve o arquivo CSV.

7. Selecione Salvar>como e salve o arquivo CSV em uma pasta no computador local.

Etapa 2: usar o Editor do PowerQuery para formatar o log de auditoria exportado

A próxima etapa é usar o recurso de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade na coluna AuditData (que consiste em um objeto JSON de várias propriedades) em sua própria coluna. Isso permite filtrar colunas para exibir registros relacionados ao compartilhamento.

Para obter instruções passo a passo, consulte "Etapa 2: formatar o registro de auditoria exportado usando o Power Query Editor" em Exportar, configurar e visualizar registros de registro de auditoria.

Etapa 3: Filtrar o arquivo CSV para recursos compartilhados com usuários externos

A próxima etapa é filtrar o CSV para os diferentes eventos relacionados ao compartilhamento que foram descritos anteriormente na seção eventos de compartilhamento do SharePoint . Como alternativa, você pode filtrar a coluna TargetUserOrGroupType para exibir todos os registros em que o valor dessa propriedade é Convidado.

Depois de seguir as instruções na etapa anterior para preparar o arquivo CSV usando o editor do PowerQuery, faça o seguinte:

1. Abra o arquivo do Excel que você criou na Etapa 2.

2. Na guia Página Inicial , selecione Classificar & Filtro e selecione Filtrar.

3. Na lista suspensa Classificar & Filtro na coluna Operações, desmarque todas as seleções e selecione um ou mais eventos relacionados ao compartilhamento a seguir e selecione Ok.

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   O Excel exibe as linhas dos eventos selecionados.

4. Acesse a coluna chamada TargetUserOrGroupType e selecione-a.

5. Na lista suspensa Classificar & Filtro , desmarque todas as seleções e selecione TargetUserOrGroupType:Guest e selecione Ok.

   Agora, o Excel exibe as linhas para eventos de compartilhamento E onde o usuário de destino está fora de sua organização, pois os usuários externos são identificados pelo valor TargetUserOrGroupType:Guest.

Dica

Para os registros de auditoria exibidos, a coluna ObjectId identifica o recurso compartilhado com o usuário de destino; por exemplo ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.