Introdução a soluções de auditoria

Auditoria do Microsoft Purview (Standard) e Audit (Premium) permitem pesquisar registros de auditoria para atividades executadas nos diferentes serviços do Microsoft 365 por usuários e administradores. Como a Auditoria (Standard) está habilitada por padrão para a maioria das organizações do Microsoft 365, há apenas algumas coisas que você precisa fazer antes de você e outras em sua organização podem pesquisar o log de auditoria. Há mais algumas etapas de configuração que você precisará concluir para usar recursos disponíveis apenas em Auditoria (Premium).

Para obter mais informações sobre os recursos de Auditoria (Standard) e Auditoria (Premium), confira Soluções de auditoria do Microsoft Purview.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Etapa 1: Verificar a assinatura e as licenças de usuário da organização

O licenciamento para Auditoria (Standard) e Auditoria (Premium) requer a assinatura de organização apropriada que fornece acesso à ferramenta de pesquisa de log de auditoria e licenciamento por usuário necessário para registrar e reter registros de auditoria.

Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. Em Auditoria (Standard) e Auditoria (Premium), os registros de auditoria são mantidos e pesquisáveis no log de auditoria por 180 dias.

Importante

O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.

Para obter uma lista de requisitos de assinatura e licenciamento para essas soluções de auditoria, consulte os requisitos de assinatura para Auditoria (Standard) e Auditoria (Premium).

Etapa 2: Atribuir permissões para pesquisar o log de auditoria.

Os administradores e membros das equipes de investigação devem receber a função Logs de Auditoria somente exibição ou Logs de Auditoria no portal de conformidade para pesquisar ou exportar o log de auditoria. Por padrão, essas funções são atribuídas aos grupos de funções Audit Reader e Audit Manager na página Permissões no portal de conformidade.

Observação

O acesso para habilitar ou desabilitar a auditoria e o acesso a cmdlets de auditoria atualmente requer permissões do centro de administração do Exchange. Use as funções logsde auditoria e logs de auditoria somente exibição existentes no centro de administração do Exchange para conceder acesso para habilitar ou desabilitar a auditoria e o acesso a cmdlets de auditoria.

Você também pode criar grupos de funções personalizados com a capacidade de pesquisar o log de auditoria adicionando as funções Logs de Auditoria somente exibição ou Logs de Auditoria a um grupo de funções personalizado. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.

Atribuir permissões do portal de conformidade aos logs de auditoria de escopo

Para pesquisar ou exportar o log de auditoria, os administradores ou membros das equipes de investigação devem ser atribuídos a pelo menos um dos seguintes grupos de funções relacionadas à auditoria no portal de conformidade:

  • Gerenciador de Auditoria: um usuário atribuído ao grupo de funções do Audit Manager pode pesquisar e exportar o log de auditoria e gerenciar configurações de auditoria para o locatário (como habilitar ou desabilitar o log de auditoria). Esse grupo de funções concede as funções Logs de Auditoria somente exibição e logs de auditoria ao usuário.
  • Audit Reader:Um usuário atribuído ao grupo de funções Audit Reader só pode pesquisar e exportar o log de auditoria. Eles não podem habilitar ou desabilitar o registro em log de auditoria. Esse grupo de funções concede a função Logs de Auditoria Somente Exibição ao usuário.

Etapa 3: Configurar auditoria (Premium) para usuários

Dica

As organizações que usam Auditoria (Standard) podem ignorar essa etapa.

Recursos de auditoria (Premium), como a capacidade de registrar insights inteligentes, como MailItemsAccessed e Enviar , exigem uma licença E5 apropriada atribuída aos usuários. Além disso, o aplicativo/plano de serviço de Auditoria Avançada deve ser habilitado para esses usuários.

Para verificar se o aplicativo de Auditoria Avançada é atribuído aos usuários, conclua as seguintes etapas para cada usuário:

  1. No Centro de administração do Microsoft 365, acesse Usuários Ativos> e selecione um usuário.

  2. Na página de sobrevoo de propriedades do usuário, selecione Licenças e aplicativos.

  3. Na seção Licenças , verifique se o usuário recebeu uma licença E5 ou recebeu uma licença de complemento apropriada. Para obter uma lista de licenças que dão suporte a Auditoria (Premium), consulte Requisitos de licenciamento de auditoria.

  4. Expanda a seção Aplicativos e verifique se a caixa de seleção Auditoria Avançada do Microsoft 365 está marcada.

  5. Se a caixa de seleção não estiver selecionada, selecione-a e selecione Salvar alterações.

    O registro em log de registros de auditoria para MailItemsAccessed e Send começa dentro de 24 horas. Você precisa executar a Etapa 2 para iniciar o registro em log de dois outros eventos de Auditoria (Premium): SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint.

Além disso, se você personalizou as ações da caixa de correio que estão registradas em caixas de correio de usuário ou caixas de correio compartilhadas, quaisquer novos eventos de Auditoria (Premium) lançados pela Microsoft não serão auditados automaticamente nessas caixas de correio. Para obter informações sobre como alterar as ações da caixa de correio que são auditadas para cada tipo de logon, confira a seção "Alterar ou restaurar ações da caixa de correio registradas por padrão" em Gerenciar auditoria de caixa de correio.

Etapa 4: Habilitar eventos de Auditoria (Premium)

Dica

As organizações que usam Auditoria (Standard) podem ignorar essa etapa.

Você precisa habilitar dois eventos de Auditoria (Premium) (SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint) para serem registrados quando os usuários executarem pesquisas no Exchange Online e no SharePoint Online.

Para permitir que esses dois eventos sejam auditados para usuários, execute o seguinte comando (para cada usuário) em Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

Em um ambiente multigeográfico, você deve executar o comando Set-Mailbox anterior na floresta onde a caixa de correio do usuário está localizada. Para identificar a localização da caixa de correio do usuário, execute o seguinte comando:

Get-Mailbox <user identity> | FL MailboxLocations

Se o comando para habilitar a auditoria de consultas de pesquisa tiver sido executado anteriormente em uma floresta diferente daquela em que a caixa de correio do usuário está localizada, você deverá remover o valor SearchQueryInitiated da caixa de correio do usuário executando Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} e, em seguida, adicioná-lo à caixa de correio do usuário na floresta em que a caixa de correio do usuário está localizada.

Etapa 5: configurar políticas de retenção de auditoria na Auditoria (Premium)

Dica

As organizações que usam Auditoria (Standard) podem ignorar essa etapa.

Além da política padrão que mantém registros de auditoria Microsoft Entra ID, Exchange, OneDrive e SharePoint por um ano, as organizações que usam Auditoria (Premium) podem criar políticas de retenção de log de auditoria para atender aos requisitos das operações de segurança, TI e equipes de conformidade da sua organização.

Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Etapa 6: pesquisar eventos auditados

Agora que você tem Auditoria (Standard) ou Auditoria (Premium) configurada para sua organização, você está pronto para pesquisar o log de auditoria no portal de conformidade do Microsoft Purview.

  1. https://compliance.microsoft.com Acesse e entre usando uma conta atribuída às permissões de auditoria apropriadas.

  2. No painel de navegação à esquerda do portal de conformidade, selecione Mostrar tudo e selecione Auditoria.

  3. Na página Auditoria , configure a pesquisa usando as seguintes condições na guia Nova Pesquisa .

    Importante

    A Pesquisa Clássica foi desativada a partir de 30 de novembro de 2023. A Nova Pesquisa inclui aprimoramentos como tempos de pesquisa mais rápidos, opções de pesquisa adicionais, capacidade de salvar pesquisas e muito mais.

    1. Intervalo de data e hora. Selecione um intervalo de data e hora para exibir as atividades que ocorreram nesse período. A data e a hora são apresentadas em UTC (Horário Universal Coordenado). Os últimos sete dias são selecionados por padrão.

    2. Atividades. Selecione as atividades a serem pesquisadas. Use a caixa de pesquisa para pesquisar atividades a serem adicionadas à lista. Para obter uma lista parcial de atividades auditadas, confira Atividades auditadas. Deixe essa caixa de seleção em branco para retornar entradas para todas as atividades auditadas.

    3. Usuários. Selecione essa caixa de seleção e comece a digitar o nome dos usuários para os quais exibir os resultados da pesquisa. As entradas do log de auditoria para as atividades selecionadas realizadas pelos usuários que você selecionar nessa caixa serão exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.

    4. Arquivo, pasta ou site. Digite alguns ou todos os nome de arquivo ou pasta para pesquisar atividades relacionadas ao arquivo ou pasta que contenha a palavra-chave especificada. Você também pode especificar uma URL de um arquivo ou pasta. Se usar uma URL, certifique-se de digitar o caminho completo ou, se estiver digitando apenas uma parte da URL, não inclua espaços ou caracteres especiais. Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas em sua organização.

  4. Selecione Pesquisar para executar a pesquisa.

Uma nova página é exibida que mostra que a pesquisa de log de auditoria está em execução. Quando a pesquisa estiver concluída, os registros de auditoria serão exibidos na página. Selecione um registro para exibir uma página de submenu com propriedades detalhadas.

Para obter instruções mais detalhadas, consulte Pesquisar o log de auditoria no portal de conformidade.