Compartilhar via

Ver a atividade de auditoria do custodiante

  • Artigo

Dica

A Deteção de Dados Eletrónicos (pré-visualização) está agora disponível no novo portal do Microsoft Purview. Para saber mais sobre como utilizar a nova experiência de Deteção de Dados Eletrónicos, veja Saiba mais sobre a Deteção de Dados Eletrónicos (pré-visualização).

Precisa descobrir se um usuário visualizou um documento específico ou apagou um item de sua caixa de correio? A Deteção de Dados Eletrónicos do Microsoft Purview (Premium) está agora integrada com a ferramenta de pesquisa de registos de auditoria existente no portal de conformidade do Microsoft Purview. Com esta experiência incorporada, pode utilizar a ferramenta de Gestão de Depositários da Deteção de Dados Eletrónicos (Premium) para facilitar a sua investigação ao aceder e procurar facilmente os depositários na atividade no seu caso.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Obter permissões

Tem de lhe ser atribuída a função Registos de Auditoria Apenas de Visualização ou Registos de Auditoria no Exchange Online para procurar ou exportar o registo de auditoria. Por predefinição, estas funções são atribuídas aos grupos de funções Gestão de Conformidade e Gestão da Organização na página Permissões no centro de administração do Exchange. Para dar a um utilizador a capacidade de pesquisar o registo de auditoria da Deteção de Dados Eletrónicos (Premium) com o nível mínimo de privilégios, pode criar um grupo de funções personalizado no Exchange Online, adicionar a função Registos de Auditoria apenas de Visualização ou Registos de Auditoria e, em seguida, adicionar o utilizador como membro do novo grupo de funções. Para saber mais, confira Gerenciar Grupos de Funções do Exchange Online.

Importante

Se atribuir a um utilizador a função Registos de Auditoria ou Registos de Auditoria Apenas de Visualização na página Permissões no portal de conformidade, este não poderá procurar ou exportar o registo de auditoria. Você deve atribuir as permissões no Exchange Online. Isso ocorre porque o cmdlet subjacente usado para pesquisar o log de auditoria é um cmdlet Exchange Online.

Passo 1: Procurar atividades realizadas por um depositário no registo de auditoria

  1. Aceda a Deteção > de Dados Eletrónicos (Premium) e abra o caso.

  2. Selecione o separador Origens .

  3. Na página Depositários , selecione um depositário na lista e, em seguida, selecione Ver atividade de depositário na página de lista de opções.

    É apresentada a página de pesquisa Atividades do Depositário. Tenha em atenção que o depositário que selecionou no passo anterior é apresentado na caixa pendente Custodian . Pode selecionar diferentes depositários na caixa pendente, mas só pode procurar atividades para um depositário de cada vez.

    Página de pesquisa de atividades do guardião

  4. Configure os seguintes critérios de pesquisa:

    1. Atividades – selecione a lista pendente para apresentar as atividades que pode procurar. Depois de executar a pesquisa, somente os registros de Auditoria das atividades selecionadas serão exibidos. Selecionar Mostrar resultados para todas as atividades apresentará resultados para todas as atividades realizadas pelo depositário que correspondem aos outros critérios de pesquisa.

      Lista de Atividades.

    2. Data de início e Data de fim – selecione um intervalo de datas e horas para apresentar os eventos que ocorreram nesse período. Os últimos sete dias são selecionados por padrão. A data e a hora são apresentadas no formato UTC (Tempo Universal Coordenado). O intervalo de datas máximo que pode especificar é um ano.

    3. Depositários – selecione nesta caixa e, em seguida, selecione um depositário específico para apresentar os resultados da pesquisa. Os registros de auditoria para a atividade selecionada realizada pelos usuários que você seleciona nessa caixa são exibidas na lista de resultados.

  5. Selecione Botão procurar. Para executar a pesquisa com os critérios de pesquisa. Os resultados da pesquisa são carregados e, após alguns momentos, são apresentados em Resultados na página de pesquisa Atividades de Custódia.

Passo 2: ver os resultados da pesquisa do registo de auditoria

Os resultados de uma pesquisa de registo de auditoria são apresentados em Resultados na página Registo de auditoria do Depositário. Um máximo de 5000 eventos (mais recentes) são apresentados em incrementos de 150 eventos. Para apresentar mais eventos, pode utilizar a barra de deslocamento no painel Resultados ou premir Shift + End para apresentar os próximos 150 eventos.

Os resultados contêm as seguintes informações sobre cada evento retornado pela pesquisa.

  • Data:: A data e a hora (no formato UTC) de ocorrência do evento.
  • Endereço IP: O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
  • Usuário: O usuário (ou a conta de serviço) que realizou a ação que disparou o evento.
  • Atividade: A atividade realizada pelo usuário. Esse valor corresponde às atividades que você selecionou na lista suspensa Atividades. Para um evento do log de auditoria de administradores do Exchange, o valor nessa coluna é um cmdlet do Exchange.
  • Item: O objeto que foi criado ou modificado como resultado da atividade correspondente. Por exemplo, o arquivo que foi exibido ou modificado ou a conta do usuário que foi atualizada. Nem todas as atividades têm um valor nesta coluna.
  • Detalhes: Detalhes adicionais sobre uma atividade. Novamente, nem todas as atividades terão um valor.

Etapa 3: Filtrar os resultados da pesquisa

Além de classificar, você também pode filtrar os resultados de uma pesquisa de log de auditoria. Isto pode ajudá-lo a filtrar rapidamente os resultados de um utilizador ou atividade específico.

Para filtrar os resultados:

  1. Criar e executar uma pesquisa de registo de auditoria.

  2. Quando os resultados forem apresentados, selecione Filtrar resultados.

  3. Caixas de palavras-chave são exibidas em cada cabeçalho de coluna.

  4. Selecione uma das caixas abaixo de um cabeçalho de coluna e escreva uma palavra ou expressão, consoante a coluna na qual está a filtrar. Os resultados serão reajustados dinamicamente para exibir os eventos que correspondem ao seu filtro.

  5. Para limpar um filtro, selecione o X na caixa de filtro ou selecione Ocultar filtragem.

Exportar os resultados da pesquisa para um ficheiro

Pode exportar os resultados de uma pesquisa de registo de auditoria para um ficheiro de valores separados por vírgulas (CSV) no seu computador local. Pode abrir este ficheiro no Microsoft Excel e utilizar funcionalidades como pesquisa, ordenação, filtragem e divisão de uma única coluna (que contém células com múltiplos valores) em múltiplas colunas.

  1. Execute uma pesquisa de logs de auditoria e, em seguida, reveja os critérios de pesquisa até ter os resultados desejados.

  2. Selecione Exportar resultados e selecione uma das seguintes opções:

    • Guardar resultados carregados: Selecione esta opção para exportar apenas as entradas que são apresentadas em Resultados na página de pesquisa de registos auditoria do Depositário . O arquivo CSV baixado contém as mesmas colunas (e dados) exibidos na página (Data, Usuário, Atividade, Item e Detalhes). Uma coluna adicional (intitulada Mais) está incluída no ficheiro CSV que contém mais informações da entrada de registo de auditoria. Como você está exportando os mesmos resultados que estão carregados (e visíveis) na página Pesquisa de log de auditoria, no máximo 5.000 entradas são exportadas.

    • Transfira todos os resultados: Escolha esta opção para exportar todas as entradas do registo de auditoria que cumpram os critérios de pesquisa. Para um grande conjunto de resultados de pesquisa, selecione esta opção para transferir todas as entradas do registo de auditoria, além dos 5000 resultados que podem ser apresentados na página de pesquisa de registos auditoria do Depositário . Esta opção irá transferir os dados não processados do registo de auditoria para um ficheiro CSV e contém informações adicionais da entrada do registo de auditoria numa coluna denominada AuditData. O download do arquivo poderá ser mais demorado se você escolher essa opção de exportação, pois o arquivo pode ser muito maior do que o baixado com a outra opção.

      Importante

      É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas para reduzir o número de entradas do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.

  3. Depois de selecionar uma opção de exportação, é apresentada uma mensagem na parte inferior da janela que lhe pede para abrir o ficheiro CSV, guardá-lo na pasta Transferências ou guardá-lo numa pasta específica

Para obter mais informações sobre como ver, filtrar ou exportar resultados de pesquisa de registos de auditoria, consulte Pesquisar o registo de auditoria.