Pesquise no registo de auditoria para investigar problemas comuns de suporte

Este artigo descreve como utilizar a ferramenta de pesquisa de registos de auditoria para o ajudar a investigar problemas comuns de suporte. Isto inclui a utilização do registo de auditoria para:

• Localizar o endereço IP do computador utilizado para aceder a uma conta comprometida
• Determinar quem configurou o reencaminhamento de e-mail para uma caixa de correio
• Determinar se um utilizador eliminou itens de e-mail na respetiva caixa de correio
• Determinar se um utilizador criou uma regra de caixa de entrada
• Investigar por que motivo ocorreu um início de sessão bem-sucedido por um utilizador fora da sua organização
• Procurar atividades de caixa de correio realizadas por utilizadores com licenças não E5
• Procurar atividades de caixa de correio realizadas por utilizadores delegados

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Utilizar a ferramenta de pesquisa de registos de auditoria

Cada um dos cenários de resolução de problemas descritos neste artigo baseia-se na utilização da ferramenta de pesquisa de registos de auditoria no portal do Microsoft Purview. Esta secção lista as permissões necessárias para procurar no registo de auditoria e descreve os passos para aceder e executar pesquisas de registos de auditoria. Cada secção de cenários explica como configurar uma consulta de pesquisa de registos de auditoria e o que procurar nas informações detalhadas nos registos de auditoria que correspondem aos critérios de pesquisa.

Permissões necessárias para usar a ferramenta de pesquisa de log de auditoria

Tem de lhe ser atribuída a função Registos de Auditoria ou Registos de Auditoria Apenas de Visualização no Purview para procurar no registo de auditoria. Por predefinição, estas funções são atribuídas aos grupos de funções Leitor de Auditoria e Gestor de Auditoria na página Grupos de funções no portal do Microsoft Purview.

Para aceder aos cmdlets de auditoria, tem de lhe ser atribuída a função Registos de Auditoria e Registos de Auditoria Apenas de Visualização no centro de administração do Exchange. Por predefinição, estas funções são atribuídas aos grupos de funções Gestão de Conformidade e Gestão da Organização na página Permissões no centro de administração do Exchange.

Para obter mais informações, veja Introdução às soluções de auditoria.

Executando pesquisas de log de auditoria

Para obter orientações detalhadas sobre como executar uma pesquisa do registo de auditoria, consulte Pesquisar o registo de auditoria.

Localizar o endereço IP do computador utilizado para aceder a uma conta comprometida

O endereço IP correspondente a uma atividade executada por qualquer usuário está incluído na maioria dos registros de auditoria. As informações sobre o cliente usado também estão incluídas no registro de auditoria.

Veja como configurar uma consulta de pesquisa de log de auditoria para este cenário:

Atividades: Se for relevante para o seu caso, selecione uma atividade específica a procurar. Para resolver problemas de contas comprometidas, considere selecionar a atividade O utilizador iniciou sessão na caixa de correio emAtividades da caixa de correio do Exchange. Isso retorna registros de auditoria mostrando o endereço de IP usado ao entrar na caixa de correio. Caso contrário, deixe esse campo em branco para retornar registros de auditoria para todas as atividades.

Dica

Deixar este campo em branco devolve as atividades UserLoggedIn, que é uma atividade Microsoft Entra que indica que alguém iniciou sessão numa conta de utilizador. Utilize a filtragem nos resultados da pesquisa para apresentar os registos de auditoria UserLoggedIn .

Data de início e Data de fim : selecione um intervalo de datas aplicável à sua investigação.

Utilizadores: Se estiver a investigar uma conta comprometida, selecione o utilizador cuja conta foi comprometida. Isso retorna registros de auditoria para atividades executadas por essa conta de usuário.

Ficheiro, pasta ou site: Deixe este campo em branco.

Depois de executar a pesquisa, o endereço IP de cada atividade é apresentado na coluna endereço IP nos resultados da pesquisa. Selecione o registro nos resultados da pesquisa para exibir informações mais detalhadas na página de submenu.

Determinar quem configurou o reencaminhamento de e-mail para uma caixa de correio

Quando o encaminhamento de email é configurado para uma caixa de correio, as mensagens de email enviadas para a caixa de correio são encaminhadas para outra caixa de correio. As mensagens podem ser reencaminhadas para utilizadores dentro ou fora da sua organização. Quando o encaminhamento de email é configurado em uma caixa de correio, o cmdlet subjacente do Exchange Online usado é Set-Mailbox.

Veja como configurar uma consulta de pesquisa de log de auditoria para este cenário:

Atividades: Deixe este campo em branco para que a pesquisa devolva registos de auditoria para todas as atividades. Isto é necessário para devolver quaisquer registos de auditoria relacionados com o cmdlet Set-Mailbox .

Data de início e Data de fim : selecione um intervalo de datas aplicável à sua investigação.

Utilizadores: A menos que esteja a investigar um problema de reencaminhamento de e-mail para um utilizador específico, deixe este campo em branco. Isto ajuda-o a identificar se o reencaminhamento de e-mail foi configurado para qualquer utilizador.

Ficheiro, pasta ou site: Deixe este campo em branco.

Depois de executar a pesquisa, selecione Filtrar resultados na página de resultados da pesquisa. Na caixa em Cabeçalho da coluna Atividade , escreva Set-Mailbox para que apenas sejam apresentados registos de auditoria relacionados com o cmdlet Set-Mailbox .

Neste ponto, você precisa examinar os detalhes de cada registro de auditoria para determinar se a atividade está relacionada ao encaminhamento de email. Selecione o registro de auditoria para exibir a página de submenu Detalhes e selecione Mais informações. A captura de tela e as descrições a seguir realçam as informações que indicam que o encaminhamento de email foi definido na caixa de correio.

a. No campo ObjectId , é apresentado o alias da caixa de correio na qual o reencaminhamento de e-mail foi definido. Essa caixa de correio também é exibida na coluna Item na página de resultados da pesquisa.

b. No campo Parâmetros , o valor ForwardingSmtpAddress indica que o reencaminhamento de e-mail foi definido na caixa de correio. Neste exemplo, o email está sendo encaminhado para o endereço de email mike@contoso.com, que está fora da organização alpinehouse.onmicrosoft.com.

c. O valor Verdadeiro para o parâmetro DeliverToMailboxAndForward indica que uma cópia da mensagem é entregue sarad@alpinehouse.onmicrosoft.com e é reencaminhada para o endereço de e-mail especificado pelo parâmetro ForwardingSmtpAddress, que neste exemplo é mike@contoso.com. Se o valor do parâmetro DeliverToMailboxAndForward for definido como Falso, o email será encaminhado apenas para o endereço especificado pelo parâmetro ForwardingSmtpAddress . Ele não é entregue na caixa de correio especificada no campo ObjectId.

d. O campo UserId indica o utilizador que definiu o reencaminhamento de e-mail na caixa de correio especificada no campo ObjectId . Esse usuário também é exibido na coluna Usuário na página de resultados da pesquisa. Neste caso, parece que o proprietário da caixa de correio definiu o reencaminhamento de e-mails na caixa de correio.

Se você determinar que o encaminhamento de email não deve ser definido na caixa de correio, você poderá removê-lo executando o seguinte comando no PowerShell do Exchange Online:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null 

Para obter mais informações sobre os parâmetros relacionados com o reencaminhamento de e-mail, consulte o artigo Set-Mailbox .

Determinar se um utilizador eliminou itens de e-mail

A partir de janeiro de 2019, a Microsoft está a ativar o registo de auditoria de caixa de correio por predefinição para todas as organizações Office 365 e Microsoft. Isto significa que determinadas ações executadas pelos proprietários de caixas de correio são registadas automaticamente e que os registos de auditoria da caixa de correio correspondentes estão disponíveis quando os procura no registo de auditoria da caixa de correio. Antes de a auditoria da caixa de correio estar ativada por predefinição, tinha de a ativar manualmente para cada caixa de correio de utilizador na sua organização.

As ações de caixa de correio registradas por padrão incluem as ações da caixa de correio SoftDelete e HardDelete executadas pelos proprietários da caixa de correio. Isto significa que pode utilizar os seguintes passos para procurar eventos relacionados com itens de e-mail eliminados no registo de auditoria. Para obter mais informações sobre a auditoria de caixa de correio ativada por padrão, confira Gerenciar a auditoria de caixa de correio.

Veja como configurar uma consulta de pesquisa de log de auditoria para este cenário:

Atividades: Em Atividades da caixa de correio do Exchange, selecione uma ou ambas as seguintes atividades:

• Mensagens eliminadas da pasta Itens Eliminados: Esta atividade corresponde à ação de auditoria da caixa de correio SoftDelete . Essa atividade também é registrada quando um usuário exclui permanentemente um item selecionando-o e pressionando Shift+Delete. Depois que um item for excluído permanentemente, o usuário poderá recuperá-lo até que o período de retenção de item excluído expire.

• Mensagens removidas da caixa de correio: Esta atividade corresponde à ação de auditoria da caixa de correio HardDelete . Isto é registado quando um utilizador remove um item da pasta Itens Recuperáveis. Os administradores podem utilizar a ferramenta de pesquisa no portal do Microsoft Purview para procurar e recuperar itens removidos até que o período de retenção do item eliminado expire ou mais se a caixa de correio do utilizador estiver em espera.

Data de início e Data de fim : selecione um intervalo de datas aplicável à sua investigação.

Utilizadores: Se selecionar um utilizador neste campo, a ferramenta de pesquisa de registos de auditoria devolve registos de auditoria para itens de e-mail eliminados (SoftDeleted ou HardDeleted) pelo utilizador que especificar. Por vezes, o utilizador que elimina um e-mail pode não ser o proprietário da caixa de correio.

Ficheiro, pasta ou site: Deixe este campo em branco.

Depois de executar a pesquisa, você pode filtrar os resultados da pesquisa para exibir os registros de auditoria para itens excluídos reversivelmente ou para itens excluídos permanentemente. Selecione o registro de auditoria para exibir a página de submenu Detalhes e selecione Mais informações. Informações adicionais sobre o item excluído, como a linha de assunto e o local do item quando ele foi excluído, são exibidas no campo AffectedItems . As capturas de tela a seguir mostram um exemplo do campo AffectedItemsde um item com exclusão reversível e um item com exclusão permanente.

Exemplo do campo AffectedItems para item eliminado de forma recuperável

Exemplo do campo AffectedItems para item hard-deleted

Recuperar itens de email excluídos

Os usuários podem recuperar itens excluídos reversivelmente se o período de retenção de itens excluídos não tiver expirado. No Exchange Online, o período de retenção de itens eliminados predefinido é de 14 dias, mas os administradores podem aumentar esta definição para um máximo de 30 dias. Aponte os usuários para o artigo Recuperar itens excluídos ou emails no Outlook na Web para obter instruções sobre como recuperar itens excluídos.

Conforme explicado anteriormente, os administradores poderão recuperar itens eliminados se o período de retenção de itens eliminados não tiver expirado ou se a caixa de correio estiver em espera, caso em que os itens são mantidos até a duração da suspensão expirar. Quando você executa uma pesquisa de conteúdo, os itens excluídos por software e excluídos definitivamente na pasta Itens Recuperáveis são retornados nos resultados da pesquisa se corresponderem à consulta de pesquisa. Para obter mais informações sobre a execução de pesquisas de conteúdos, consulte Pesquisa de Conteúdos no Office 365.

Dica

Para pesquisar itens de email excluídos, pesquise toda ou parte da linha de assunto exibida no campo AffectedItems no registro de auditoria.

Determinar se um utilizador criou uma regra de caixa de entrada

Quando os usuários criam uma regra de caixa de entrada para sua caixa de correio do Exchange Online, um registro de auditoria correspondente é salvo no log de auditoria. Para obter mais informações sobre as regras da caixa de entrada, consulte:

• Utilizar regras de caixa de entrada no Outlook na Web
• Gerir mensagens de e-mail no Outlook com regras

Veja como configurar uma consulta de pesquisa de log de auditoria para este cenário:

Atividades: Em Atividades da caixa de correio do Exchange, selecione uma ou ambas as seguintes atividades:

• New-InboxRule Criar nova regra de caixa de entrada do Outlook Web App. Essa atividade retorna registros de auditoria quando as regras de caixa de entrada são criadas usando o Outlook Web App ou o PowerShell do Exchange Online.

• Regras atualizadas da caixa de entrada do cliente do Outlook. Essa atividade retorna registros de auditoria quando as regras da caixa de entrada são criadas, modificadas ou removidas usando o cliente da área de trabalho do Outlook.

Data de início e Data de fim : selecione um intervalo de datas aplicável à sua investigação.

Utilizadores: A menos que esteja a investigar um utilizador específico, deixe este campo em branco. Isto ajuda-o a identificar novas regras de caixa de entrada configuradas por qualquer utilizador.

Ficheiro, pasta ou site: Deixe este campo em branco.

Depois de executar a pesquisa, todos os registros de auditoria dessa atividade são exibidos nos resultados da pesquisa. Selecione um registro de auditoria para exibir a página de submenu Detalhes e selecione Mais informações. As informações sobre as configurações da regra de caixa de entrada são exibidas no campo Parâmetros. A captura de tela e as descrições a seguir realçam as informações sobre as regras da caixa de entrada.

a. No campo ObjectId , é apresentado o nome completo da regra de caixa de entrada. Esse nome inclui o alias da caixa de correio do usuário (por exemplo, SaraD) e o nome da regra da caixa de entrada (por exemplo, "Mover mensagens do administrador").

b. No campo Parâmetros , é apresentada a condição da regra de caixa de entrada. Neste exemplo, a condição é especificada pelo parâmetro De . O valor definido para o parâmetro De indica que a regra da caixa de entrada atua no e-mail enviado por admin@alpinehouse.onmicrosoft.com. Para obter uma lista completa dos parâmetros que podem ser utilizados para definir as condições das regras da caixa de entrada, veja o artigo New-InboxRule (New-InboxRule ).

c. O parâmetro MoveToFolder especifica a ação para a regra de caixa de entrada. Neste exemplo, as mensagens recebidas são admin@alpinehouse.onmicrosoft.com movidas para a pasta chamada AdminSearch. Veja também o artigo New-InboxRule (New-InboxRule ) para obter uma lista completa dos parâmetros que podem ser utilizados para definir a ação de uma regra de caixa de entrada.

d. O campo UserId indica o utilizador que criou a regra de caixa de entrada especificada no campo ObjectId . Esse usuário também é exibido na coluna Usuário na página de resultados da pesquisa.

Investigar por que motivo ocorreu um início de sessão bem-sucedido por um utilizador fora da sua organização

Ao rever os registos de auditoria no registo de auditoria, poderá ver registos que indicam que um utilizador externo foi autenticado por Microsoft Entra ID e com sessão iniciada com êxito na sua organização. Por exemplo, um administrador no contoso.onmicrosoft.com poderá ver um registo de auditoria a mostrar que um utilizador de uma organização diferente (por exemplo, fabrikam.onmicrosoft.com) iniciou sessão com êxito no contoso.onmicrosoft.com. Da mesma forma, poderá ver registos de auditoria que indicam que os utilizadores com uma Conta Microsoft (MSA), como um Outlook.com ou Live.com, iniciaram sessão com êxito na sua organização. Nessas situações, a atividade auditada é o Usuário conectado.

Este é o comportamento padrão. Microsoft Entra ID, o serviço de diretório, permite algo chamado autenticação pass-through quando um utilizador externo tenta aceder a um site do SharePoint ou a uma localização do OneDrive na sua organização. Quando o utilizador externo tenta fazê-lo, é-lhe pedido que introduza as respetivas credenciais. Microsoft Entra ID utiliza as credenciais para autenticar o utilizador, o que significa que apenas Microsoft Entra ID verifica se o utilizador é quem diz ser. A indicação do início de sessão com êxito no registo de auditoria é o resultado de Microsoft Entra autenticação do utilizador. O início de sessão com êxito não significa que o utilizador tenha conseguido aceder a quaisquer recursos ou efetuar quaisquer outras ações na sua organização. Indica apenas que o utilizador foi autenticado por Microsoft Entra ID. Para que um utilizador pass-through aceda aos recursos do SharePoint ou do OneDrive, um utilizador na sua organização teria de partilhar explicitamente um recurso com o utilizador externo ao enviar-lhe um convite de partilha ou uma ligação de partilha anónima.

Observação

Microsoft Entra ID permite a autenticação pass-through apenas para aplicações originais, como o SharePoint Online e OneDrive for Business. Ele não é permitido para outros aplicativos de terceiros.

Eis um exemplo e descrições das propriedades relevantes num registo de auditoria para um evento Utilizador com sessão iniciada que é o resultado da autenticação pass-through. Selecione o registro de auditoria para exibir a página de submenu Detalhes e selecione Mais informações.

a. Este campo indica que o utilizador que tentou aceder a um recurso na sua organização não foi encontrado no Microsoft Entra ID da sua organização.

b. Este campo apresenta o UPN do utilizador externo que tentou aceder a um recurso na sua organização. Essa ID do usuário também é identificada nas propriedades User e UserId no registro de auditoria.

c. A propriedade ApplicationId identifica a aplicação que acionou o pedido de início de sessão. O valor de 00000003-0000-0ff1-ce00-000000000000 exibido na propriedade ApplicationId neste registro de auditoria indica o SharePoint Online. O OneDrive for Business também tem esse mesmo ApplicationId.

d. Isto indica que a autenticação pass-through foi efetuada com êxito. Por outras palavras, o utilizador foi autenticado com êxito por Microsoft Entra ID.

e. O valor RecordType de 15 indica que a atividade auditada (UserLoggedIn) é um evento de início de sessão do Serviço de Token Seguro (STS) no Microsoft Entra ID.

Para obter mais informações sobre as outras propriedades apresentadas num registo de auditoria UserLoggedIn, veja o Microsoft Entra informações de esquema relacionadas no esquema da API de Atividade de Gestão do Office 365.

Eis dois cenários de exemplos que resultariam num Utilizador com êxito com sessão iniciada na atividade de auditoria devido à autenticação pass-through:

• Um utilizador com uma Conta Microsoft (por SaraD@outlook.comexemplo, ) tentou aceder a um documento numa conta OneDrive for Business no fourthcoffee.onmicrosoft.com e não existe uma conta de utilizador convidado correspondente no SaraD@outlook.com fourthcoffee.onmicrosoft.com.

• Um utilizador com uma conta Escolar ou Profissional numa organização (por pilarp@fabrikam.onmicrosoft.comexemplo, ) tentou aceder a um site do SharePoint no contoso.onmicrosoft.com e não existe uma conta de utilizador convidado correspondente no pilarp@fabrikam.com contoso.onmicrosoft.com.

Sugestões para investigar inícios de sessão com êxito resultantes da autenticação pass-through

• Pesquise no log de auditoria as atividades executadas pelo usuário externo identificado no registro de auditoria dousuário conectado. Digite o UPN para o usuário externo na caixa Usuários e use um intervalo de datas, se relevante para o cenário. Por exemplo, você pode criar uma pesquisa usando os seguintes critérios de pesquisa:

  

  Além das atividades de início de sessão do Utilizador , poderão ser devolvidos outros registos de auditoria, tais como os que indicam que um utilizador na sua organização partilhou recursos com o utilizador externo e se o utilizador externo acedeu, modificou ou transferiu um documento que foi partilhado com o mesmo.

• Pesquise atividades de compartilhamento do SharePoint que indiquem que um arquivo foi compartilhado com o usuário externo identificado por um usuário registrado no registro de auditoria. Para saber mais, veja Usar a auditoria de compartilhamento no log de auditoria.

• Exporte os resultados da pesquisa de registos de auditoria que contêm registos relevantes para a investigação para que possa utilizar o Excel para procurar outras atividades relacionadas com o utilizador externo. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.

Procurar atividades de caixa de correio realizadas por utilizadores com licenças não E5

Mesmo quando a auditoria de caixa de correio ativada por predefinição está ativada para a sua organização, poderá reparar que os eventos de auditoria da caixa de correio para alguns utilizadores não são encontrados nas pesquisas de registos de auditoria através do portal do Microsoft Purview, do cmdlet Search-UnifiedAuditLog ou da API de Atividade de Gestão de Office 365. A razão para tal é que os eventos de auditoria da caixa de correio são devolvidos apenas para utilizadores com licenças E5 quando utiliza um dos métodos anteriores para pesquisar o registo de auditoria unificado.

Para obter registos de registo de auditoria de caixas de correio para utilizadores que não são E5, pode efetuar uma das seguintes soluções:

• Ative manualmente a auditoria da caixa de correio em caixas de correio individuais (execute o Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true comando no Exchange Online PowerShell). Depois de o fazer, procure atividades de auditoria de caixa de correio com o portal do Microsoft Purview, o cmdlet Search-UnifiedAuditLog ou a API de Atividade de Gestão do Office 365.

  Observação

  Se a auditoria da caixa de correio já parecer estar ativada na caixa de correio, mas as suas pesquisas não devolverem resultados, altere o valor do parâmetro AuditEnabled para $false e, em seguida, volte a $true.

Procurar atividades de caixa de correio efetuadas numa caixa de correio específica (incluindo caixas de correio partilhadas)

Quando utiliza a lista pendente Utilizadores na ferramenta de pesquisa de registos de auditoria no portal do Microsoft Purview ou no comando Search-UnifiedAuditLog -UserIds no Exchange Online PowerShell, pode procurar atividades executadas por um utilizador específico. Para atividades de auditoria de caixa de correio, este tipo de pesquisa localiza atividades realizadas pelo utilizador especificado. Não garante que todas as atividades executadas na mesma caixa de correio sejam devolvidas nos resultados da pesquisa. Por exemplo, uma pesquisa de registo de auditoria não devolve registos de auditoria para atividades realizadas por um utilizador delegado porque a pesquisa de atividades de caixa de correio realizadas por um utilizador específico não devolve atividades realizadas por um utilizador delegado a quem foram atribuídas permissões para aceder à caixa de correio de outro utilizador. (Um utilizador delegado é alguém a quem foi atribuída a permissão de caixa de correio SendAs, SendOnBehalf ou FullAccess para a caixa de correio de outro utilizador.)

Além disso, a utilização da lista pendente Utilizador na ferramenta de pesquisa de registos de auditoria ou search-UnifiedAuditLog -UserIds não devolve resultados para atividades executadas numa caixa de correio partilhada.

Para procurar as atividades executadas numa caixa de correio específica ou para procurar atividades realizadas numa caixa de correio partilhada, utilize a seguinte sintaxe ao executar o cmdlet Search-UnifiedAuditLog :

Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

Por exemplo, o comando a seguir retorna registros de auditoria para atividades executadas na caixa de correio compartilhada da Equipe de Conformidade da Contoso entre agosto de 2020 e outubro de 2020:

Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid