Soluções de auditoria no Microsoft Purview
As soluções de auditoria do Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder com eficácia a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Milhares de operações de usuário e de administrador realizadas em dezenas de serviços e soluções do Microsoft 365 são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os registros de auditoria para esses eventos podem ser pesquisados em sua organização por operadores de segurança, administradores de TI, equipes de risco internas e investigadores legais e de conformidade. Esse recurso fornece visibilidade das atividades realizadas em sua organização Microsoft 365.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Auditoria (Padrão)
A Auditoria do Microsoft Purview (Padrão) fornece a você a capacidade de registrar e pesquisar atividades auditadas e potencializar suas investigações forenses, de TI, de conformidade e legais.
Habilitada por padrão. A Auditoria (Padrão) é ativada por padrão para todas as organizações com a assinatura apropriada. Isso significa que os registros de atividades auditadas são capturados e pesquisáveis. A única configuração necessária é atribuir as permissões necessárias para acessar a ferramenta de pesquisa de log de auditoria (e o cmdlet correspondente) e garantir que o usuário tenha a licença correta para os recursos de Auditoria do Microsoft Purview (Premium).
Milhares de eventos de auditoria pesquisáveis. Você pode pesquisar uma ampla variedade de atividades auditadas que ocorrem na maioria dos serviços do Microsoft 365 em sua organização. Para obter uma lista das atividades que você pode pesquisar, confira Atividades de log de auditoria. Para obter uma lista dos serviços e recursos que oferecem suporte às atividades auditadas, consulte Tipo de registro de log de Auditoria.
Ferramenta de pesquisa de auditoria no portal de conformidade do Microsoft Purview. Use a ferramenta de pesquisa de log de auditoria no portal de conformidade para pesquisar registros de auditoria. Você pode pesquisar atividades específicas, atividades realizadas por usuários específicos e atividades que ocorreram em um intervalo de datas.
Search-UnifiedAuditLog cmdlet. Você também pode usar o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online (o cmdlet subjacente para a ferramenta de pesquisa) para pesquisar eventos de auditoria ou para usar em um script. Para mais informações, confira:
Exportar registros de auditoria para um arquivo CSV. Depois de executar a ferramenta de Pesquisa de log de auditoria no portal de conformidade, você pode exportar os registros de auditoria retornados pela pesquisa para um arquivo CSV. Isso permite que você use a classificação e o filtro do Microsoft Excel em diferentes propriedades do registro de auditoria. Você também pode usar a funcionalidade de transformação do Power Query para Excel para dividir cada propriedade no objeto JSON AuditData em sua própria coluna. Isso permite que você exiba e compare com eficácia dados semelhantes para eventos diferentes. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.
Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365. Um terceiro método para acessar e recuperar registros de auditoria é usar a API da Atividade de Gestão do Office 365. Isso permite que as organizações mantenham dados de auditoria por períodos mais longos do que os 180 dias padrão e permite importar seus dados de auditoria para uma solução SIEM. Para mais informações, confira referência da API da Atividade de Gestão do Office 365.
Retenção de log de auditoria de 180 dias. Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. Em Auditoria (Standard), os registros são mantidos por 180 dias, o que significa que você pode pesquisar atividades que ocorreram nos últimos seis meses.
Importante
O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.
Auditoria (Premium)
Importante
A partir de 30 de novembro de 2023, a Pesquisa Clássica será removida no lugar de Nova Pesquisa. A nova pesquisa inclui aprimoramentos, como tempos de pesquisa mais rápidos, opções de pesquisa adicionais, capacidade de salvar pesquisas e muito mais.
A auditoria (Premium) baseia-se nos recursos de Auditoria (Standard) fornecendo políticas de retenção de log de auditoria, retenção mais longa de registros de auditoria, insights inteligentes de alto valor e maior acesso de largura de banda à API de Atividade de Gerenciamento Office 365.
- Políticas de retenção de log de Auditoria. Você pode criar políticas de retenção de logs de auditoria personalizadas para manter registros de auditoria por períodos mais longos de até um ano (e até 10 anos para usuários com a licença complementar necessária). Você pode criar uma política para manter registros de auditoria com base no serviço onde ocorrem as atividades auditadas, em atividades auditadas específicas ou no usuário que executa uma atividade auditada.
- Retenção mais longa de registros de auditoria. Microsoft Entra registros de auditoria ID, Exchange, OneDrive e SharePoint são mantidos por um ano por padrão. Os registros de auditoria de todas as outras atividades são mantidos por 180 dias por padrão ou você pode usar políticas de retenção de log de auditoria para configurar períodos de retenção mais longos.
- Auditar insights inteligentes (Premium). Registros de auditoria para insights inteligentes podem ajudar sua organização a realizar investigações forenses e de conformidade fornecendo visibilidade para eventos como quando itens de email foram acessados ou quando itens de email foram respondidos e encaminhados, ou quando e o que um usuário pesquisou em Exchange Online e no SharePoint Online. Esses insights inteligentes podem ajudá-lo a investigar possíveis violações e determinar o escopo do compromisso.
- Maior largura de banda para a API da Atividade de Gestão do Office 365. A Auditoria (Premium) fornece às organizações mais largura de banda para acessar os logs de auditoria por meio da API da Atividade de Gestão do Office 365. Embora todas as organizações que possuam Auditoria (Padrão) ou Auditoria (Premium) tenham inicialmente alocadas uma linha de base de 2.000 solicitações por minuto, esse limite aumentará dinamicamente dependendo da contagem de estações de uma organização e da sua assinatura de licenciamento. Isso faz com que as organizações com Auditoria (Premium) obtenham cerca de duas vezes a largura de banda das organizações com Auditoria (Padrão).
Para obter informações mais detalhadas sobre os recursos de Auditoria (Premium), consulte Auditoria (Premium) no Microsoft 365.
Comparação dos principais recursos
A tabela a seguir compara os principais recursos disponíveis na Auditoria (Padrão) e Auditoria (Premium). Todas as funcionalidades da Auditoria (Padrão) estão incluídas na Auditoria (Premium).
| Recursos | Auditoria (Padrão) | Auditoria (Premium) |
|---|---|---|
| Habilitada por padrão |  |
|
| Milhares de eventos de auditoria pesquisáveis | |
|
| Ferramenta de pesquisa de auditoria no portal de conformidade | |
|
| cmdlet Search-UnifiedAuditLog | |
|
| Exportar registros de auditoria para arquivo CSV | |
|
| Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365 1 | |
|
| Retenção de log de auditoria de 180 dias | |
|
| Retenção de log de auditoria por 1 ano | |
|
| Retenção de log de auditoria por 10 ano 2 | |
|
| Políticas de retenção de log de Auditoria | |
|
| Insights inteligentes | |
Observação
1 A Auditoria (Premium) inclui maior largura de banda de acesso à API da Atividade de Gestão do Office 365, que fornece acesso mais rápido aos dados de auditoria.
2 Além do licenciamento necessário para Auditoria (Premium) (descrito na próxima seção), um usuário deve receber uma licença de complemento de retenção de log de auditoria de 10 anos para manter seus registros de auditoria por 10 anos.
Serviços Microsoft 365 que dão suporte à auditoria
Você pode pesquisar no log de auditoria unificado atividades executadas em diferentes serviços do Microsoft 365. A tabela a seguir lista os serviços, aplicativos e recursos do Microsoft 365 compatíveis com o log de auditoria unificado.
| Recurso ou serviço Microsoft 365 | Tipos de registro |
|---|---|
| Microsoft Entra ID | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Proteção de Informações do Azure | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Conformidade de comunicações | ComplianceSupervisionExchange |
| Explorador de conteúdo | LabelContentExplorer |
| Conectores de dados | ComplianceConnector |
| Prevenção de perda de dados (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| descoberta eletrônica (Standard + Premium) | Descoberta, AeD |
| Portal de mensagens criptografadas | OMEPortal |
| Correspondência exata de dados | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Forms | MicrosoftForms |
| Barreiras de informações | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Copilot para Microsoft 365 | CopilotInteraction |
| Microsoft Defender Experts | DefenderExpertsforXDRAdmin |
| Microsoft Defender para Identidade (MDI) | MicrosoftDefenderForIdentityAudit |
| Microsoft Planner | PlannerCopyPlan, PlannerPlan, PlannerPlanList, PlannerRoster, PlannerRosterSensitivityLabel, PlannerTask, PlannerTaskList, PlannerTenantSettings |
| Microsoft Project para a Web | ProjectAccessed, ProjectCreated, ProjectDeleted, ProjectTenantSettingsUpdated, ProjectUpdated, RoadmapAccessed,RoadmapCreated, RoadmapDeleted, RoadmapItemAccessed,RoadmapItemCreated,RoadmapItemDeleted, RoadmapItemUpdated, RoadmapTenantSettingsUpdated, RoadmapUpdated, TaskAccessed, TaskCreated,TaskDeleted, TaskUpdated |
| rótulos MIP (Proteção de Informações do Microsoft Purview) | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Microsoft Teams | MicrosoftTeams |
| Microsoft To Do | MicrosoftToDo, MicrosoftToDoAudit |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive for Business | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Quarentena | Quarentena |
| Tipos de informações confidenciais | DlpSensitiveInformationType |
| Rótulos de confidencialidade | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| SharePoint Online | SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
| Inteligência contra ameaças | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Viva Goals | VivaGoals |
| Viva Insights | VivaInsights |
| Yammer | Yammer |
Para obter mais informações sobre as operações auditadas em cada um dos serviços listados na tabela anterior, consulte o artigo Atividades de log de auditoria .
A tabela anterior também identifica o valor do tipo de registro a ser usado para pesquisar atividades no log de auditoria no serviço correspondente usando o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online ou usando um script do PowerShell. Alguns serviços têm vários tipos de registro para diferentes tipos de atividades dentro do mesmo serviço. Para obter uma lista mais completa dos tipos de registro de auditoria, consulte O esquema da API da Atividade de Gestão do Office 365.
Para obter mais informações sobre como usar o PowerShell para pesquisar o log de auditoria, consulte:
Requisitos de licenciamento
Antes de começar, examine os requisitos de assinatura para Auditoria (Standard) e Auditoria (Premium).
Configurar soluções de auditoria do Microsoft Purview
Para começar a usar as soluções de auditoria no Microsoft Purview, consulte as diretrizes de configuração a seguir.
Configurar Auditoria (Padrão)
A primeira etapa é configurar a Auditoria (Padrão) e, em seguida, iniciar as pesquisas de log de auditoria.
Verifique se sua organização tem uma assinatura que ofereça suporte à Auditoria (Padrão) e, se aplicável, uma assinatura que ofereça suporte à Auditoria (Premium).
Atribua permissões em Exchange Online a pessoas em sua organização que usam a ferramenta de pesquisa de log de auditoria no portal de conformidade ou usam o cmdlet Search-UnifiedAuditLog. Especificamente, os usuários devem receber os grupos de funções Audit Manager ou Audit Reader no portal de conformidade (versão prévia) ou nas funções Logs de Auditoria somente exibição ou Logs de Auditoria no Exchange Online.
Pesquisar o log de auditoria. Depois de concluir as etapas 1 e 2, os usuários em sua organização podem usar a ferramenta de pesquisa de log de auditoria (ou cmdlet correspondente) para pesquisar atividades auditadas.
Para obter instruções mais detalhadas, consulte Configurar Auditoria (Padrão).
Configurar Auditoria (Premium)
Se a sua organização tiver uma assinatura que ofereça suporte à Auditoria (Premium), execute as etapas a seguir para configurar e usar os recursos adicionais da Auditoria (Premium).
Configurar a Auditoria (Premium) para os usuários. Esta etapa consiste nas seguintes tarefas:
- Verificar se a licença apropriada ou a licença complementar para Auditoria (Premium) foi atribuída aos usuários.
- A ativação do aplicativo/plano de serviço de Auditoria (Premium) deve estar habilitada para esses usuários.
- Habilitando a auditoria de insights inteligentes e ativando o plano de serviço/aplicativo premium (Premium) para esses usuários.
Habilitar o registro de eventos de Auditoria (Premium) quando os usuários realizam pesquisas no Exchange Online e no SharePoint Online.
Configurar as políticas de retenção do log de auditoria. Além da política padrão que mantém os registros de auditoria exchange, SharePoint e Microsoft Entra por um ano, você pode criar políticas adicionais de retenção de log de auditoria para atender aos requisitos das operações de segurança, TI e equipes de conformidade da sua organização.
Procure eventos cruciais de Auditoria (Premium) e outras atividades ao realizar investigações forenses. Após concluir a etapa 1 e a etapa 2, você pode pesquisar o log de auditoria para eventos de Auditoria (Premium) e outras atividades durante investigações forenses de contas comprometidas e outros tipos de investigações de segurança ou conformidade.
Para obter instruções mais detalhadas, consulte Configurar Auditoria (`Premium).
Treinamento
Treinar sua equipe de operações de segurança, administradores de TI e equipe de investigadores de conformidade nos conceitos base de Auditoria (Básica) e Auditoria (Premium) pode ajudar sua organização a começar mais rapidamente a usar a auditoria para ajudar em suas investigações. O Microsoft Purview fornece o seguinte recurso para ajudar esses usuários em sua organização na introdução com a auditoria: Descrever os recursos de descoberta eletrônica e auditoria no Microsoft Purview.
Comentários
Enviar e exibir comentários de