Introdução às soluções de auditoria
Auditoria do Microsoft Purview (Standard) e Audit (Premium) permitem pesquisar registros de auditoria para atividades executadas nos diferentes serviços do Microsoft 365 por usuários e administradores. Como a Auditoria (Standard) está habilitada por padrão para a maioria das organizações do Microsoft 365, há apenas algumas coisas que você precisa fazer antes de você e outras em sua organização podem pesquisar o log de auditoria. Há mais algumas etapas de configuração que você precisará concluir para usar recursos disponíveis apenas em Auditoria (Premium).
Para obter mais informações sobre os recursos de Auditoria (Standard) e Auditoria (Premium), confira Soluções de auditoria do Microsoft Purview.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Etapa 1: Verificar a assinatura e as licenças de usuário da organização
O licenciamento para Auditoria (Standard) e Auditoria (Premium) requer a assinatura de organização apropriada que fornece acesso à ferramenta de pesquisa de log de auditoria e licenciamento por usuário necessário para registrar e reter registros de auditoria.
Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. Em Auditoria (Standard) e Auditoria (Premium), os registros de auditoria são mantidos e pesquisáveis no log de auditoria por 180 dias.
Importante
O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.
Para obter uma lista de requisitos de assinatura e licenciamento para essas soluções de auditoria, consulte os requisitos de assinatura para Auditoria (Standard) e Auditoria (Premium).
Etapa 2: Atribuir permissões para pesquisar o log de auditoria.
Administradores e membros de equipes de investigação devem receber a função Logs de Auditoria somente exibição ou Logs de Auditoria no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview para pesquisar ou exportar o log de auditoria. Por padrão, essas funções são atribuídas aos grupos de funções Audit Reader e Audit Manager na página Grupos de Funções no portal do Microsoft Purview e na página Permissões no portal de conformidade.
Observação
O acesso para habilitar ou desabilitar a auditoria e o acesso a cmdlets de auditoria atualmente requer permissões do centro de administração do Exchange. Use as funções logsde auditoria e logs de auditoria somente exibição existentes no centro de administração do Exchange para conceder acesso a cmdlets de auditoria. Use a função Logs de Auditoria existente no centro de administração do Exchange para conceder acesso para habilitar ou desabilitar a auditoria.
Você também pode criar grupos de funções personalizados com a capacidade de pesquisar o log de auditoria adicionando as funções Logs de Auditoria somente exibição ou Logs de Auditoria a um grupo de funções personalizado. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.
Atribuir permissões a logs de auditoria de escopo
Para pesquisar ou exportar o log de auditoria, os administradores ou membros das equipes de investigação devem ser atribuídos a pelo menos um dos seguintes grupos de funções relacionadas à auditoria no portal do Microsoft Purview ou no portal de conformidade:
- Gerenciador de Auditoria: um usuário atribuído ao grupo de funções do Audit Manager pode pesquisar e exportar o log de auditoria e gerenciar configurações de auditoria para o locatário (como habilitar ou desabilitar o log de auditoria). Esse grupo de funções concede as funções Logs de Auditoria somente exibição e logs de auditoria ao usuário.
- Leitor de Auditoria: um usuário atribuído ao grupo de funções Audit Reader só pode pesquisar e exportar o log de auditoria. Eles não podem habilitar ou desabilitar o registro em log de auditoria. Esse grupo de funções concede a função Logs de Auditoria Somente Exibição ao usuário.
Etapa 3: Configurar auditoria (Premium) para usuários
Dica
As organizações que usam Auditoria (Standard) podem ignorar essa etapa.
Recursos de auditoria (Premium), como a capacidade de registrar insights inteligentes, como MailItemsAccessed e Enviar , exigem uma licença E5 apropriada atribuída aos usuários. Além disso, o aplicativo/plano de serviço de Auditoria Avançada deve ser habilitado para esses usuários.
Para verificar se o aplicativo de Auditoria Avançada é atribuído aos usuários, conclua as seguintes etapas para cada usuário:
No Centro de administração do Microsoft 365, acesse Usuários Ativos> e selecione um usuário.
Na página de sobrevoo de propriedades do usuário, selecione Licenças e aplicativos.
Na seção Licenças , verifique se o usuário recebeu uma licença E5 ou recebeu uma licença de complemento apropriada. Para obter uma lista de licenças que dão suporte a Auditoria (Premium), consulte Requisitos de licenciamento de auditoria.
Expanda a seção Aplicativos e verifique se a caixa de seleção Auditoria Avançada do Microsoft 365 está marcada.
Se a caixa de seleção não estiver selecionada, selecione-a e selecione Salvar alterações.
O registro em log de registros de auditoria para MailItemsAccessed e Send começa dentro de 24 horas. Você precisa executar a Etapa 2 para iniciar o registro em log de dois outros eventos de Auditoria (Premium): SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint.
Além disso, se você personalizou as ações da caixa de correio que estão registradas em caixas de correio de usuário ou caixas de correio compartilhadas, quaisquer novos eventos de Auditoria (Premium) lançados pela Microsoft não serão auditados automaticamente nessas caixas de correio. Para obter informações sobre como alterar as ações da caixa de correio que são auditadas para cada tipo de logon, confira a seção "Alterar ou restaurar ações da caixa de correio registradas por padrão" em Gerenciar auditoria de caixa de correio.
Etapa 4: Habilitar eventos de Auditoria (Premium)
Dica
As organizações que usam Auditoria (Standard) podem ignorar essa etapa.
Você precisa habilitar dois eventos de Auditoria (Premium) (SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint) para serem registrados quando os usuários executarem pesquisas no Exchange Online e no SharePoint Online.
Para permitir que esses dois eventos sejam auditados para usuários, execute o seguinte comando (para cada usuário) em Exchange Online PowerShell:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
Em um ambiente multigeográfico, você deve executar o comando Set-Mailbox anterior na floresta onde a caixa de correio do usuário está localizada. Para identificar a localização da caixa de correio do usuário, execute o seguinte comando:
Get-Mailbox <user identity> | FL MailboxLocations
Se o comando para habilitar a auditoria de consultas de pesquisa tiver sido executado anteriormente em uma floresta diferente daquela em que a caixa de correio do usuário está localizada, você deverá remover o valor SearchQueryInitiated da caixa de correio do usuário executando Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} e, em seguida, adicioná-lo à caixa de correio do usuário na floresta em que a caixa de correio do usuário está localizada.
Etapa 5: configurar políticas de retenção de auditoria na Auditoria (Premium)
Dica
As organizações que usam Auditoria (Standard) podem ignorar essa etapa.
Além da política padrão que mantém registros de auditoria Microsoft Entra ID, Exchange, OneDrive e SharePoint por um ano, as organizações que usam Auditoria (Premium) podem criar políticas de retenção de log de auditoria para atender aos requisitos das operações de segurança, TI e equipes de conformidade da sua organização.
Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Etapa 6: Pesquisa para eventos auditados
Agora que você tem Auditoria (Standard) ou Auditoria (Premium) configurada para sua organização, você está pronto para pesquisar o log de auditoria no portal de conformidade do Microsoft Purview. Para obter diretrizes detalhadas, consulte Pesquisa o log de auditoria.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de