Rever eventos de auditoria

Aplica-se a: Consumir administrador de inquilinos — Administrador de conformidade/Administrador de segurança/Leitor de auditoria

Reveja a atividade de auditoria do SharePoint Embedded na auditoria do Microsoft Purview ao investigar a atividade de utilizador, administrador, ficheiro ou contentor.

As capacidades de auditoria do SharePoint Embedded espelho capacidades de auditoria existentes do SharePoint e as operações de utilizador e administrador executadas em aplicações Do SharePoint Embedded são capturadas no registo de auditoria unificado da organização.

Importante

Utilize a auditoria do Microsoft Purview como a superfície de investigação autoritativa para registos de auditoria. Utilize identificadores de contentores e aplicações do SharePoint Embedded para restringir os resultados a conteúdos incorporados.

Antes de começar

Confirme estes pré-requisitos.

  • A auditoria está disponível para a sua organização do Microsoft 365.
  • Pode aceder à auditoria do Microsoft Purview com as permissões de conformidade necessárias.
  • Sabe o intervalo de datas da investigação.
  • Conhece a aplicação, contentor, utilizador ou ficheiro do SharePoint Embedded envolvido.
  • Pode obter os detalhes do contentor a partir do centro de administração do SharePoint ou do PowerShell quando necessário.

Para obter as capacidades de conformidade do SharePoint Embedded suportadas, veja Segurança e Conformidade.

Compreender a cobertura de auditoria do SharePoint Embedded

As capacidades de auditoria no SharePoint Embedded espelho capacidades de auditoria existentes do SharePoint.

As operações de utilizador e administrador executadas em aplicações alojadas no SharePoint Embedded são capturadas, registadas e mantidas no registo de auditoria unificado.

A auditoria pode ajudar a responder a perguntas como:

  • Quem acedeu a um ficheiro?
  • Quem modificou o conteúdo?
  • Quem eliminou ou restaurou o conteúdo?
  • Que administrador alterou as definições de contentor?
  • Que contentor esteve envolvido num evento?
  • Que tipo de contentor esteve envolvido num evento?

A retenção e a disponibilidade dependem do licenciamento e configuração de auditoria do Microsoft Purview.

Para obter detalhes da plataforma de auditoria, veja Soluções de auditoria no Microsoft Purview.

Identificar campos do SharePoint Embedded

Além das propriedades de ficheiro do SharePoint existentes, os eventos de auditoria do SharePoint Embedded incluem dados adicionais que ajudam a isolar conteúdos do SharePoint Embedded.

Os eventos de auditoria do SharePoint Embedded incluem estes campos:

Campo Utilize-o para
ContainerInstanceId Identifique a instância de contentor específica do SharePoint Embedded envolvida no evento.
ContainerTypeId Identifique o tipo de contentor do SharePoint Embedded envolvido no evento.

Utilize estes campos com contexto de utilizador e aplicação para definir o âmbito de uma investigação.

Se um conjunto de resultados incluir atividades normais do SharePoint e do SharePoint Embedded, filtre ou inspecione estes campos para isolar conteúdos incorporados.

Atividades de auditoria do SharePoint Embedded

Para ver todas as atividades de registo de auditoria do SharePoint Embedded, veja Auditar eventos.

Os eventos do tipo de contentor incluem a ContainerTypeId propriedade . Ao contrário dos eventos de ficheiro ao nível do contentor, não incluem ContainerInstanceId porque se aplicam ao nível do tipo e não a uma instância de contentor individual.

Pode pesquisar estes eventos com o Search-UnifiedAuditLog cmdlet . Por exemplo:

Search-UnifiedAuditLog -Operations ContainerTypeCreated,ContainerTypeDeleted,ContainerTypeUpdated,ContainerTypeOwnersUpdated -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)

Obter contexto de contentor

Antes de procurar auditoria, recolha o contexto que tem.

  1. Identifique o nome da aplicação Do SharePoint Embedded.
  2. Identifique o ID da aplicação proprietária quando disponível.
  3. Identifique o nome do contentor ou o ID do contentor.
  4. Identifique o URL do site de contentor quando disponível.
  5. Identifique os utilizadores, grupos ou identidades de aplicações envolvidos.
  6. Identifique o período de tempo.
  7. Identifique a operação suspeita, como ler, atualizar, eliminar, restaurar, partilhar ou alterar a etiqueta.

Utilize Gerir contentores no centro de administração do SharePoint para inspecionar os detalhes do contentor.

Utilize Gerir contentores com o PowerShell para obter IDs de contentor e URLs para investigações repetíveis.

Pesquisar na auditoria do Microsoft Purview

Utilize a auditoria do Microsoft Purview para pesquisar atividade.

  1. Abra o portal do Microsoft Purview.
  2. Aceda à solução de auditoria.
  3. Selecione o intervalo de datas e horas.
  4. Adicione utilizadores ou identidades de aplicações quando conhecido.
  5. Adicione atividades que correspondam à investigação.
  6. Pesquise atividades relacionadas com o SharePoint ao investigar conteúdos de ficheiros e contentores.
  7. Utilize atividades do Tipo de Contentor Incorporado do SharePoint ou atividades de Registo de Tipo de Contentor do SharePoint Embedded quando souber que a investigação tem a ver com a configuração da aplicação ou a administração do tipo de contentor.
  8. Execute a pesquisa.
  9. Abra os resultados relevantes.
  10. Inspecione os detalhes do evento para os campos do SharePoint Embedded, como ContainerInstanceId e ContainerTypeId.

Utilize os filtros mais restritivos que ainda capturam o incidente.

Em seguida, alargue a pesquisa se os resultados estiverem incompletos.

Dica

Comece com um intervalo de tempo estreito e utilizadores conhecidos. Expanda para identificadores de contentor ou atividade mais ampla do SharePoint se a primeira pesquisa não devolver contexto suficiente.

Interpretar detalhes do evento

Ao rever um evento, capture os campos necessários para o registo de investigação.

Detalhes do evento Por que isso importa
Operação ou atividade Descreve o que aconteceu.
Utilizador ou ator Identifica quem executou a ação.
Carimbo de data/hora Places o evento sobre o linha do tempo de investigação.
Caminho do objeto ou do ficheiro Identifica o item afetado.
URL do site ou do contentor Ajuda a mapear o item para um contentor.
ContainerInstanceId Liga o evento a um contentor específico do SharePoint Embedded.
ContainerTypeId Liga o evento a um tipo de contentor do SharePoint Embedded.
Contexto do cliente ou da aplicação Ajuda a distinguir a ação do utilizador da ação da aplicação quando disponível.

Exporte ou preserve os resultados de acordo com o processo de investigação de conformidade.

Cenários de auditoria comuns

Utilize registos de auditoria para investigações comuns do SharePoint Embedded.

Revisão de acesso a conteúdos

Procure acesso a ficheiros ou atividade de leitura por utilizador, intervalo de datas e contexto de contentor.

Utilize ContainerInstanceId para confirmar que a atividade ocorreu no contentor do SharePoint Embedded esperado.

Revisão da alteração de conteúdo

Procure atividade para criar, modificar, mudar o nome, mover ou eliminar.

Reveja a sequência de operações para identificar se o conteúdo foi alterado por um processo de utilizador, aplicação ou administrador.

Revisão do ciclo de vida do contentor

Procure operações de administração relacionadas com eliminação, restauro ou eliminação permanente.

Correlacione os registos de auditoria com o centro de administração do SharePoint ou com os registos de alteração do PowerShell.

Revisão da etiqueta de confidencialidade

Procure atividade relacionada com etiquetas ao investigar alterações de classificação de dados.

Correlacione os registos de auditoria com a etiqueta de confidencialidade atual do contentor e quaisquer alterações de política no Microsoft Purview.

Revisão da partilha externa

Procure atividades do SharePoint relacionadas com a partilha ao investigar o acesso fora da organização.

Reveja também as definições de partilha ao nível da aplicação quando a aplicação suportar a partilha externa.

Correlacionar com Deteção de Dados Eletrónicos e DLP

A auditoria mostra a atividade.

Outras ferramentas do Microsoft Purview ajudam na investigação de conteúdos e na imposição de políticas.

  • Utilize a Deteção de Dados Eletrónicos para pesquisar, manter e exportar conteúdos em contentores do SharePoint Embedded.
  • Utilize o DLP para identificar e proteger informações confidenciais.
  • Utilize políticas de retenção para preservar ou eliminar conteúdos de acordo com a política.
  • Utilize etiquetas de confidencialidade para classificar e proteger contentores.

Para obter controlos mais amplos, veja Aplicar controlos de segurança e conformidade.

Resolver problemas de resultados de auditoria em falta

Utilize estas verificações quando os resultados esperados estiverem em falta.

  • Confirme se o intervalo de datas inclui a hora da atividade.
  • Confirme se a identidade do utilizador ou da aplicação correta foi pesquisada.
  • Confirme que a auditoria está disponível para o inquilino e a carga de trabalho.
  • Confirme se a operação mapeia para o SharePoint ou a atividade de ficheiros na auditoria do Purview.
  • Confirme que o conteúdo está num contentor do SharePoint Embedded e não noutra localização de armazenamento.
  • Pesquise com menos filtros e, em seguida, inspecione ContainerInstanceId e ContainerTypeId.
  • Confirme que a sua conta tem permissões para procurar registos de auditoria.
  • Veja a documentação de auditoria do Purview para obter a latência de retenção e pesquisa.

Observação

Os registos de auditoria podem demorar algum tempo a aparecer.

Se um evento for recente, repita após o atraso normal da ingestão de auditoria para o seu ambiente.

Preservar o contexto de investigação

Para cada investigação, registe:

  1. Data de pesquisa.
  2. Filtros de pesquisa.
  3. Localização dos resultados exportados.
  4. Identificadores de contentor.
  5. Identificadores de aplicações.
  6. Utilizadores ou identidades de aplicações revistos.
  7. Ações executadas após revisão.

Mantenha os registos de acordo com a conformidade e o processo legal.

Próximas etapas

Aplique controlos mais amplos em Aplicar controlos de segurança e conformidade.