Saiba mais sobre soluções de auditoria no Microsoft Purview
As soluções de auditoria do Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder com eficácia a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Milhares de operações de utilizadores e administradores realizadas em dezenas de serviços e soluções Microsoft são capturadas, registadas e retidas no registo de auditoria unificado da sua organização. Os registros de auditoria para esses eventos podem ser pesquisados em sua organização por operadores de segurança, administradores de TI, equipes de risco internas e investigadores legais e de conformidade. Esta capacidade fornece visibilidade sobre as atividades realizadas em toda a sua organização.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Comparação dos principais recursos
A tabela a seguir compara os principais recursos disponíveis na Auditoria (Padrão) e Auditoria (Premium). Todas as funcionalidades da Auditoria (Padrão) estão incluídas na Auditoria (Premium).
| Recursos | Auditoria (Padrão) | Auditoria (Premium) |
|---|---|---|
| Habilitada por padrão |
|
|
| Milhares de eventos de auditoria pesquisáveis |
|
|
| Ferramenta de pesquisa de auditoria no portal do Microsoft Purview e no portal de conformidade |
|
|
| cmdlet Search-UnifiedAuditLog |
|
|
| Exportar registros de auditoria para arquivo CSV |
|
|
| Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365 1 |
|
|
| Retenção do registo de auditoria de 180 dias |
|
|
| Retenção de log de auditoria por 1 ano |
|
|
| Retenção de log de auditoria por 10 ano 2 |
|
|
| Políticas de retenção de log de Auditoria |
|
|
| Informações inteligentes |
|
Observação
1 A Auditoria (Premium) inclui maior largura de banda de acesso à API da Atividade de Gestão do Office 365, que fornece acesso mais rápido aos dados de auditoria.
2 Para além do licenciamento necessário para Auditoria (Premium) (descrito na secção seguinte), tem de ser atribuída a um utilizador uma licença de suplemento retenção de registo de auditoria de 10 anos para manter os registos de auditoria durante 10 anos.
Auditoria (Padrão)
A Auditoria do Microsoft Purview (Padrão) fornece a você a capacidade de registrar e pesquisar atividades auditadas e potencializar suas investigações forenses, de TI, de conformidade e legais.
Habilitada por padrão. A Auditoria (Padrão) é ativada por padrão para todas as organizações com a assinatura apropriada. Isto significa que os registos das atividades auditadas são capturados e pesquisáveis. A única configuração necessária é atribuir as permissões necessárias para acessar a ferramenta de pesquisa de log de auditoria (e o cmdlet correspondente) e garantir que o usuário tenha a licença correta para os recursos de Auditoria do Microsoft Purview (Premium).
Milhares de eventos de auditoria pesquisáveis. Pode procurar um vasto leque de atividades auditadas que ocorrem na maioria dos serviços Microsoft na sua organização. Para obter uma lista das atividades que pode procurar, veja Atividades de registo de auditoria. Para obter uma lista dos serviços e recursos que oferecem suporte às atividades auditadas, consulte Tipo de registro de log de Auditoria.
Ferramenta de pesquisa de auditoria no portal do Microsoft Purview ou no portal de conformidade. Utilize a ferramenta pesquisa de registos de auditoria nos portais para procurar registos de auditoria. Você pode pesquisar atividades específicas, atividades realizadas por usuários específicos e atividades que ocorreram em um intervalo de datas.
Search-UnifiedAuditLog cmdlet. Você também pode usar o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online (o cmdlet subjacente para a ferramenta de pesquisa) para pesquisar eventos de auditoria ou para usar em um script. Para mais informações, confira:
Exportar registros de auditoria para um arquivo CSV. Depois de executar a ferramenta pesquisa de registos de auditoria no portal do Microsoft Purview ou no portal de conformidade, pode exportar os registos de auditoria devolvidos pela pesquisa para um ficheiro CSV. Isso permite que você use a classificação e o filtro do Microsoft Excel em diferentes propriedades do registro de auditoria. Você também pode usar a funcionalidade de transformação do Power Query para Excel para dividir cada propriedade no objeto JSON AuditData em sua própria coluna. Isso permite que você exiba e compare com eficácia dados semelhantes para eventos diferentes. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.
Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365. Um terceiro método para acessar e recuperar registros de auditoria é usar a API da Atividade de Gestão do Office 365. Isto permite que as organizações retenham os dados de auditoria por períodos mais longos do que os 180 dias predefinidos e permite-lhes importar os dados de auditoria para uma solução SIEM. Para mais informações, confira referência da API da Atividade de Gestão do Office 365.
Retenção do registo de auditoria de 180 dias. Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. Em Auditoria (Standard), os registos são retidos durante 180 dias, o que significa que pode procurar atividades que ocorreram nos últimos seis meses.
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.
Auditoria (Premium)
Importante
A Pesquisa Clássica foi descontinuada a partir de 30 de novembro de 2023. A Nova Pesquisa inclui melhoramentos, como tempos de pesquisa mais rápidos, opções de pesquisa adicionais, capacidade de guardar pesquisas e muito mais.
A auditoria (Premium) baseia-se nas capacidades da Auditoria (Standard) ao fornecer políticas de retenção de registos de auditoria, retenção mais longa de registos de auditoria, informações inteligentes de alto valor e acesso de largura de banda superior à API de Atividade de Gestão de Office 365.
- Políticas de retenção de log de Auditoria. Você pode criar políticas de retenção de logs de auditoria personalizadas para manter registros de auditoria por períodos mais longos de até um ano (e até 10 anos para usuários com a licença complementar necessária). Você pode criar uma política para manter registros de auditoria com base no serviço onde ocorrem as atividades auditadas, em atividades auditadas específicas ou no usuário que executa uma atividade auditada.
- Retenção mais longa de registros de auditoria. Microsoft Entra ID, exchange, OneDrive e registos de auditoria do SharePoint são retidos por um ano por predefinição. Por predefinição, os registos de auditoria de todas as outras atividades são retidos durante 180 dias ou pode utilizar políticas de retenção de registos de auditoria para configurar períodos de retenção mais longos.
- Informações inteligentes de auditoria (Premium). Os registos de auditoria de informações inteligentes podem ajudar a sua organização a realizar investigações forenses e de conformidade ao fornecer visibilidade para eventos como quando os itens de correio foram acedidos ou quando os itens de correio foram respondidos e reencaminhados, ou quando e o que um utilizador procurou no Exchange Online e no SharePoint Online. Estas informações inteligentes podem ajudá-lo a investigar possíveis violações e a determinar o âmbito do compromisso.
- Maior largura de banda para a API da Atividade de Gestão do Office 365. A Auditoria (Premium) fornece às organizações mais largura de banda para acessar os logs de auditoria por meio da API da Atividade de Gestão do Office 365. Embora todas as organizações que possuam Auditoria (Padrão) ou Auditoria (Premium) tenham inicialmente alocadas uma linha de base de 2.000 solicitações por minuto, esse limite aumentará dinamicamente dependendo da contagem de estações de uma organização e da sua assinatura de licenciamento. Isso faz com que as organizações com Auditoria (Premium) obtenham cerca de duas vezes a largura de banda das organizações com Auditoria (Padrão).
Retenção a longo prazo de logs de auditoria
A auditoria (Premium) retém todos os registos de auditoria do Exchange, SharePoint e Microsoft Entra durante um ano. Isto é conseguido através de uma política de retenção de registo de auditoria predefinida que retém qualquer registo de auditoria que contenha o valor de AzureActiveDirectory, Exchange, OneDrive ou SharePoint, para a propriedade Carga de Trabalho (que indica o serviço em que a atividade ocorreu) durante um ano. Manter os registros de auditoria por períodos mais longos pode ajudar com investigações de conformidade ou perícia contínua. Para saber mais, confira a seção "Política de retenção de log de auditoria padrão" em Gerenciar políticas de retenção de log de auditoria.
Além das capacidades de retenção de um ano da Auditoria (Premium), também lançámos a capacidade de reter registos de auditoria durante 10 anos. A retenção de logs de auditoria por dez anos ajuda a dar suporte às investigações longas e a responder às obrigações normativas e legais.
Observação
Manter os registos de auditoria durante 10 anos requer uma licença adicional por suplemento por utilizador. Depois que esta licença for atribuída a um usuário e uma política de retenção de dez anos apropriada for definida para esse usuário, os logs de auditoria cobertos por esta política começarão a ser retidos por um período de dez anos. Esta política não é retroativa e não pode reter logs de auditoria gerados antes da criação da política de retenção de dez anos.
Políticas de retenção de log de Auditoria
Todos os registos de auditoria gerados noutros serviços que não estão abrangidos pela política de retenção de registo de auditoria predefinida (descrito na secção anterior) são retidos durante 180 dias. Mas agora você pode criar políticas de retenção de logs de auditoria personalizadas para manter outros registros de auditoria por períodos mais longos de até dez anos. Você pode criar uma política para manter registros de auditoria com base em um ou mais dos seguintes critérios:
O serviço Microsoft onde ocorrem as atividades auditadas.
Atividades auditadas específicas.
O usuário que executa uma atividade auditada.
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.
Também pode especificar quanto tempo deve manter os registos de auditoria que correspondem à política e um nível de prioridade para que políticas específicas assumam prioridade sobre outras políticas. Tenha também em atenção que qualquer política de retenção de registos de auditoria personalizada tem precedência sobre a política de retenção de auditoria predefinida caso precise de reter registos de auditoria do Exchange, do SharePoint ou do Azure Active Directory durante menos de um ano (ou durante 10 anos) para alguns ou todos os utilizadores na sua organização. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Importante
A duração do item de auditoria dos dados é determinada quando são adicionados ao pipeline de auditoria e baseiam-se nas predefinições de licenciamento ou nas políticas de retenção aplicáveis. Quaisquer alterações às políticas de licenciamento ou retenção aplicáveis alteram o tempo de expiração dos dados de auditoria após a atualização. Estas alterações não alteram itens consolidados anteriormente.
Auditar propriedades da atividade (Premium)
A Auditoria (Premium) ajuda as organizações a conduzirem investigações forenses e de conformidade, fornecendo acesso a eventos importantes, como quando os itens de email foram acessados, quando os itens de email foram respondidos e encaminhados, e quando e o que um usuário pesquisava no Exchange Online e no Microsoft Office SharePoint Online. Esses eventos podem ajudá-lo a investigar possíveis violações e a determinar o escopo dos comprometimentos. Além destes eventos no Exchange e no SharePoint, existem eventos noutros serviços Microsoft que são considerados eventos importantes e exigem que os utilizadores sejam atribuídos à licença de Auditoria (Premium) adequada. Tem de ser atribuída aos utilizadores uma licença de Auditoria (Premium) para que os registos de auditoria sejam gerados quando os utilizadores efetuam estes eventos.
Estas atividades exigem que seja atribuída aos utilizadores a licença de Auditoria (Premium) adequada. Tem de ser atribuída aos utilizadores uma licença de Auditoria (Premium) para que os registos de auditoria sejam gerados quando os utilizadores efetuam estas atividades e propriedades.
A auditoria (Premium) fornece acesso às seguintes propriedades de atividade:
Exchange Online
| Atividades | Propriedade |
|---|---|
| MailItemsAccessed | SensitivityLabel |
Microsoft Teams
| Atividades | Propriedade |
|---|---|
| ChatCreated | AppAccessContext |
| ChatRetrieved | AppAccessContext |
| ChatUpdated | AppAccessContext |
| MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
| MessageCreatedNotification | AppAccessContext |
| MessageDeletedNotification | AppAccessContext |
| MessageHostedContentsListed | AppAccessContext |
| MessageHostedContentRead | AppAccessContext |
| Mensagens Listadas | AppAccessContext |
| MessageRead | AppAccessContext |
| MessageSent | AppAccessContext ParticipantingDomainInformation ParticipantInfo |
| MessageUpdated | ParticipantInfo AppAccessContext |
| MessageUpdatedNotification | AppAccessContext |
| SubscribedToMessages | AppAccessContext |
Acesso de alta largura de banda à API da Atividade de Gerenciamento do Office 365
As organizações que acessam logs de auditoria por meio da API da Atividade de Gestão do Office 365 foram restritas pelos limites no nível do editor. Isso significa que, para um Publisher obter dados em nome de vários clientes, o limite foi compartilhado por todos esses clientes.
Com a Auditoria (Premium), isto mudou de um limite ao nível do publicador para um limite ao nível do inquilino. O resultado é que cada organização obtém a sua própria quota de largura de banda totalmente alocada para aceder aos seus dados de auditoria. A largura de banda não é um limite estático predefinido, mas é modelada numa combinação de fatores, incluindo o número de lugares na organização e que as organizações E5/A5/G5 obtêm mais largura de banda do que as organizações não E5/A5/G5.
Todas as organizações alocam inicialmente uma linha de base de 2.000 solicitações por minuto. Este limite aumenta dinamicamente consoante a contagem de lugares e a subscrição de licenciamento de uma organização. As organizações E5/A5/G5 obtêm cerca do dobro da largura de banda que as organizações não E5/A5/G5. Existe um limite na largura de banda máxima para proteger o estado de funcionamento do serviço.
Para obter mais informações, veja a secção Limitação da API na referência da API de Atividade de Gestão de Office 365.
Requisitos de licenciamento
Antes de começar, reveja os requisitos de subscrição para Auditoria (Standard) e Auditoria (Premium).
Treinamento
Treinar sua equipe de operações de segurança, administradores de TI e equipe de investigadores de conformidade nos conceitos base de Auditoria (Básica) e Auditoria (Premium) pode ajudar sua organização a começar mais rapidamente a usar a auditoria para ajudar em suas investigações. O Microsoft Purview fornece o seguinte recurso para ajudar esses usuários em sua organização na introdução com a auditoria: Descrever os recursos de descoberta eletrônica e auditoria no Microsoft Purview.