Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Consumir administrador de inquilinos — Administrador de conformidade/Administrador de segurança/Leitor de auditoria
Reveja a atividade de auditoria do SharePoint Embedded na auditoria do Microsoft Purview ao investigar a atividade de utilizador, administrador, ficheiro ou contentor.
As capacidades de auditoria do SharePoint Embedded espelho capacidades de auditoria existentes do SharePoint e as operações de utilizador e administrador executadas em aplicações Do SharePoint Embedded são capturadas no registo de auditoria unificado da organização.
Importante
Utilize a auditoria do Microsoft Purview como a superfície de investigação autoritativa para registos de auditoria. Utilize identificadores de contentores e aplicações do SharePoint Embedded para restringir os resultados a conteúdos incorporados.
Antes de começar
Confirme estes pré-requisitos.
- A auditoria está disponível para a sua organização do Microsoft 365.
- Pode aceder à auditoria do Microsoft Purview com as permissões de conformidade necessárias.
- Sabe o intervalo de datas da investigação.
- Conhece a aplicação, contentor, utilizador ou ficheiro do SharePoint Embedded envolvido.
- Pode obter os detalhes do contentor a partir do centro de administração do SharePoint ou do PowerShell quando necessário.
Para obter as capacidades de conformidade do SharePoint Embedded suportadas, veja Segurança e Conformidade.
Compreender a cobertura de auditoria do SharePoint Embedded
As capacidades de auditoria no SharePoint Embedded espelho capacidades de auditoria existentes do SharePoint.
As operações de utilizador e administrador executadas em aplicações alojadas no SharePoint Embedded são capturadas, registadas e mantidas no registo de auditoria unificado.
A auditoria pode ajudar a responder a perguntas como:
- Quem acedeu a um ficheiro?
- Quem modificou o conteúdo?
- Quem eliminou ou restaurou o conteúdo?
- Que administrador alterou as definições de contentor?
- Que contentor esteve envolvido num evento?
- Que tipo de contentor esteve envolvido num evento?
A retenção e a disponibilidade dependem do licenciamento e configuração de auditoria do Microsoft Purview.
Para obter detalhes da plataforma de auditoria, veja Soluções de auditoria no Microsoft Purview.
Identificar campos do SharePoint Embedded
Além das propriedades de ficheiro do SharePoint existentes, os eventos de auditoria do SharePoint Embedded incluem dados adicionais que ajudam a isolar conteúdos do SharePoint Embedded.
Os eventos de auditoria do SharePoint Embedded incluem estes campos:
| Campo | Utilize-o para |
|---|---|
ContainerInstanceId |
Identifique a instância de contentor específica do SharePoint Embedded envolvida no evento. |
ContainerTypeId |
Identifique o tipo de contentor do SharePoint Embedded envolvido no evento. |
Utilize estes campos com contexto de utilizador e aplicação para definir o âmbito de uma investigação.
Se um conjunto de resultados incluir atividades normais do SharePoint e do SharePoint Embedded, filtre ou inspecione estes campos para isolar conteúdos incorporados.
Atividades de auditoria do SharePoint Embedded
Para ver todas as atividades de registo de auditoria do SharePoint Embedded, veja Auditar eventos.
Os eventos do tipo de contentor incluem a ContainerTypeId propriedade . Ao contrário dos eventos de ficheiro ao nível do contentor, não incluem ContainerInstanceId porque se aplicam ao nível do tipo e não a uma instância de contentor individual.
Pode pesquisar estes eventos com o Search-UnifiedAuditLog cmdlet . Por exemplo:
Search-UnifiedAuditLog -Operations ContainerTypeCreated,ContainerTypeDeleted,ContainerTypeUpdated,ContainerTypeOwnersUpdated -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)
Obter contexto de contentor
Antes de procurar auditoria, recolha o contexto que tem.
- Identifique o nome da aplicação Do SharePoint Embedded.
- Identifique o ID da aplicação proprietária quando disponível.
- Identifique o nome do contentor ou o ID do contentor.
- Identifique o URL do site de contentor quando disponível.
- Identifique os utilizadores, grupos ou identidades de aplicações envolvidos.
- Identifique o período de tempo.
- Identifique a operação suspeita, como ler, atualizar, eliminar, restaurar, partilhar ou alterar a etiqueta.
Utilize Gerir contentores no centro de administração do SharePoint para inspecionar os detalhes do contentor.
Utilize Gerir contentores com o PowerShell para obter IDs de contentor e URLs para investigações repetíveis.
Pesquisar na auditoria do Microsoft Purview
Utilize a auditoria do Microsoft Purview para pesquisar atividade.
- Abra o portal do Microsoft Purview.
- Aceda à solução de auditoria.
- Selecione o intervalo de datas e horas.
- Adicione utilizadores ou identidades de aplicações quando conhecido.
- Adicione atividades que correspondam à investigação.
- Pesquise atividades relacionadas com o SharePoint ao investigar conteúdos de ficheiros e contentores.
- Utilize atividades do Tipo de Contentor Incorporado do SharePoint ou atividades de Registo de Tipo de Contentor do SharePoint Embedded quando souber que a investigação tem a ver com a configuração da aplicação ou a administração do tipo de contentor.
- Execute a pesquisa.
- Abra os resultados relevantes.
- Inspecione os detalhes do evento para os campos do SharePoint Embedded, como
ContainerInstanceIdeContainerTypeId.
Utilize os filtros mais restritivos que ainda capturam o incidente.
Em seguida, alargue a pesquisa se os resultados estiverem incompletos.
Dica
Comece com um intervalo de tempo estreito e utilizadores conhecidos. Expanda para identificadores de contentor ou atividade mais ampla do SharePoint se a primeira pesquisa não devolver contexto suficiente.
Interpretar detalhes do evento
Ao rever um evento, capture os campos necessários para o registo de investigação.
| Detalhes do evento | Por que isso importa |
|---|---|
| Operação ou atividade | Descreve o que aconteceu. |
| Utilizador ou ator | Identifica quem executou a ação. |
| Carimbo de data/hora | Places o evento sobre o linha do tempo de investigação. |
| Caminho do objeto ou do ficheiro | Identifica o item afetado. |
| URL do site ou do contentor | Ajuda a mapear o item para um contentor. |
ContainerInstanceId |
Liga o evento a um contentor específico do SharePoint Embedded. |
ContainerTypeId |
Liga o evento a um tipo de contentor do SharePoint Embedded. |
| Contexto do cliente ou da aplicação | Ajuda a distinguir a ação do utilizador da ação da aplicação quando disponível. |
Exporte ou preserve os resultados de acordo com o processo de investigação de conformidade.
Cenários de auditoria comuns
Utilize registos de auditoria para investigações comuns do SharePoint Embedded.
Revisão de acesso a conteúdos
Procure acesso a ficheiros ou atividade de leitura por utilizador, intervalo de datas e contexto de contentor.
Utilize ContainerInstanceId para confirmar que a atividade ocorreu no contentor do SharePoint Embedded esperado.
Revisão da alteração de conteúdo
Procure atividade para criar, modificar, mudar o nome, mover ou eliminar.
Reveja a sequência de operações para identificar se o conteúdo foi alterado por um processo de utilizador, aplicação ou administrador.
Revisão do ciclo de vida do contentor
Procure operações de administração relacionadas com eliminação, restauro ou eliminação permanente.
Correlacione os registos de auditoria com o centro de administração do SharePoint ou com os registos de alteração do PowerShell.
Revisão da etiqueta de confidencialidade
Procure atividade relacionada com etiquetas ao investigar alterações de classificação de dados.
Correlacione os registos de auditoria com a etiqueta de confidencialidade atual do contentor e quaisquer alterações de política no Microsoft Purview.
Revisão da partilha externa
Procure atividades do SharePoint relacionadas com a partilha ao investigar o acesso fora da organização.
Reveja também as definições de partilha ao nível da aplicação quando a aplicação suportar a partilha externa.
Correlacionar com Deteção de Dados Eletrónicos e DLP
A auditoria mostra a atividade.
Outras ferramentas do Microsoft Purview ajudam na investigação de conteúdos e na imposição de políticas.
- Utilize a Deteção de Dados Eletrónicos para pesquisar, manter e exportar conteúdos em contentores do SharePoint Embedded.
- Utilize o DLP para identificar e proteger informações confidenciais.
- Utilize políticas de retenção para preservar ou eliminar conteúdos de acordo com a política.
- Utilize etiquetas de confidencialidade para classificar e proteger contentores.
Para obter controlos mais amplos, veja Aplicar controlos de segurança e conformidade.
Resolver problemas de resultados de auditoria em falta
Utilize estas verificações quando os resultados esperados estiverem em falta.
- Confirme se o intervalo de datas inclui a hora da atividade.
- Confirme se a identidade do utilizador ou da aplicação correta foi pesquisada.
- Confirme que a auditoria está disponível para o inquilino e a carga de trabalho.
- Confirme se a operação mapeia para o SharePoint ou a atividade de ficheiros na auditoria do Purview.
- Confirme que o conteúdo está num contentor do SharePoint Embedded e não noutra localização de armazenamento.
- Pesquise com menos filtros e, em seguida, inspecione
ContainerInstanceIdeContainerTypeId. - Confirme que a sua conta tem permissões para procurar registos de auditoria.
- Veja a documentação de auditoria do Purview para obter a latência de retenção e pesquisa.
Observação
Os registos de auditoria podem demorar algum tempo a aparecer.
Se um evento for recente, repita após o atraso normal da ingestão de auditoria para o seu ambiente.
Preservar o contexto de investigação
Para cada investigação, registe:
- Data de pesquisa.
- Filtros de pesquisa.
- Localização dos resultados exportados.
- Identificadores de contentor.
- Identificadores de aplicações.
- Utilizadores ou identidades de aplicações revistos.
- Ações executadas após revisão.
Mantenha os registos de acordo com a conformidade e o processo legal.
Conteúdo relacionado
- Aplicar controlos de segurança e conformidade
- Gerir contentores no centro de administração do SharePoint
- Gerir contentores com o PowerShell
- Segurança e conformidade
- Soluções de auditoria no Microsoft Purview
Próximas etapas
Aplique controlos mais amplos em Aplicar controlos de segurança e conformidade.