Introdução às soluções de auditoria

Auditoria do Microsoft Purview (Standard) e Auditoria (Premium) permitem-lhe procurar registos de auditoria para atividades realizadas nos diferentes serviços Microsoft por utilizadores e administradores. Uma vez que a Auditoria (Standard) está ativada por predefinição para a maioria das organizações do Microsoft 365, existem apenas algumas coisas que precisa de fazer antes de si e outras pessoas na sua organização podem procurar no registo de auditoria. Existem mais alguns passos de configuração que terá de concluir para utilizar funcionalidades apenas disponíveis em Auditoria (Premium).

Para obter mais informações sobre as capacidades de Auditoria (Standard) e Auditoria (Premium), veja Soluções de auditoria do Microsoft Purview.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Etapa 1: Verificar a assinatura e as licenças de usuário da organização

O Licenciamento para Auditoria (Standard) e Auditoria (Premium) requer a subscrição da organização adequada que fornece acesso à ferramenta de pesquisa de registos de auditoria e ao licenciamento por utilizador necessário para registar e reter registos de auditoria.

Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. Em Auditoria (Standard) e Auditoria (Premium), os registos de auditoria são mantidos e pesquisáveis no registo de auditoria durante 180 dias.

Importante

O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.

Para obter uma lista dos requisitos de subscrição e licenciamento para estas soluções de auditoria, veja os requisitos de subscrição para Auditoria (Standard) e Auditoria (Premium).

Etapa 2: Atribuir permissões para pesquisar o log de auditoria.

Os administradores e membros das equipas de investigação têm de ter atribuída a função Registos de Auditoria ou Registos de AuditoriaApenas de Visualização no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview para procurar ou exportar o registo de auditoria. Por predefinição, estas funções são atribuídas aos grupos de funções Leitor de Auditoria e Gestor de Auditoria na página Grupos de funções no portal do Microsoft Purview e na página Permissões no portal de conformidade.

Observação

O acesso para ativar ou desativar a auditoria e o acesso aos cmdlets de auditoria requer atualmente permissões do centro de administração do Exchange. Utilize as funções Registos de Auditoria e Registos de Auditoria Apenas de Visualização existentes no centro de administração do Exchange para conceder acesso a cmdlets de auditoria. Utilize a função Registos de Auditoria existente no centro de administração do Exchange para conceder acesso para ativar ou desativar a auditoria.

Também pode criar grupos de funções personalizados com a capacidade de pesquisar o registo de auditoria ao adicionar as funções Registos de Auditoria apenas de Visualização ou Registos de Auditoria a um grupo de funções personalizado. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.

Observação

O acesso à pesquisa de auditoria API do Graph requer permissões adicionais para ser configurado no Microsoft Graph. Para obter mais informações, veja Permissões na pesquisa de auditoria API do Graph.

Atribuir permissões para definir o âmbito dos registos de auditoria

Para procurar ou exportar o registo de auditoria, os administradores ou membros das equipas de investigação têm de ser atribuídos a, pelo menos, um dos seguintes grupos de funções relacionados com auditorias no portal do Microsoft Purview ou no portal de conformidade:

  • Gestor de Auditoria: um utilizador atribuído ao grupo de funções do Gestor de Auditorias pode pesquisar e exportar o registo de auditoria e gerir as definições de auditoria do inquilino (como ativar ou desativar o registo de auditoria). Este grupo de funções concede ao utilizador as funções Registos de Auditoria e Registos de Auditoria Apenas de Visualização.
  • Leitor de Auditoria: um utilizador atribuído ao grupo de funções Leitor de Auditoria só pode procurar e exportar o registo de auditoria. Não podem ativar ou desativar o registo de auditoria. Este grupo de funções concede a função Registos de Auditoria Apenas de Visualização ao utilizador.

Passo 3: Ativar eventos SearchQueryInitiated

Tem de ativar explicitamente dois eventos (SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint) para registo quando os utilizadores efetuam pesquisas no Exchange Online e no SharePoint.

Para permitir que estes dois eventos sejam auditados para os utilizadores, execute o seguinte cmdlet (para cada utilizador) no Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

Em um ambiente multi-geo, você deve executar o comando Set-Mailbox na floresta onde a caixa de correio do usuário está localizada. Para identificar a localização da caixa de correio do utilizador, execute o seguinte cmdlet:

Get-Mailbox <user identity> | FL MailboxLocations

Se o cmdlet para ativar a auditoria de consultas de pesquisa tiver sido anteriormente executado numa floresta diferente da floresta na qual a caixa de correio do utilizador está localizada, tem de remover o valor SearchQueryInitiated da caixa de correio do utilizador. Remova o valor ao executar Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} e, em seguida, adicione-o à caixa de correio do utilizador na floresta onde está localizada a caixa de correio do utilizador.

Passo 4: Configurar a Auditoria (Premium) para os utilizadores

Dica

As organizações que utilizam a Auditoria (Standard) podem ignorar este passo.

As funcionalidades de auditoria (Premium), como a capacidade de registar informações inteligentes, requerem uma licença E5 adequada atribuída aos utilizadores. Além disso, o aplicativo/plano de serviço de Auditoria Avançada deve ser habilitado para esses usuários.

Para verificar se a aplicação Auditoria Avançada está atribuída aos utilizadores, conclua os seguintes passos para cada utilizador:

  1. No Centro de administração do Microsoft 365, aceda a Utilizadores Utilizadores>Utilizadores ativos e selecione um utilizador.

  2. Na página de lista de opções de propriedades do utilizador, selecione Licenças e aplicações.

  3. Na secção Licenças , verifique se foi atribuída uma licença E5 ao utilizador ou que lhe foi atribuída uma licença de suplemento adequada. Para obter uma lista de licenças que suportam a Auditoria (Premium), veja Auditar os requisitos de licenciamento.

  4. Expanda a seção Aplicativos e verifique se a caixa de seleção Auditoria Avançada do Microsoft 365 está marcada.

  5. Se a caixa de verificação não estiver selecionada, selecione-a e, em seguida, selecione Guardar alterações.

    O registo de informações de Auditoria (Premium) começa dentro de 24 horas.

Além disso, se tiver personalizado as ações da caixa de correio com sessão iniciada em caixas de correio de utilizadores ou caixas de correio partilhadas, quaisquer novos eventos de Auditoria (Premium) lançados pela Microsoft não serão automaticamente auditados nessas caixas de correio. Para obter informações sobre como alterar as ações da caixa de correio que são auditadas para cada tipo de logon, confira a seção "Alterar ou restaurar ações da caixa de correio registradas por padrão" em Gerenciar auditoria de caixa de correio.

Passo 5: Configurar políticas de retenção de auditoria na Auditoria (Premium)

Dica

As organizações que utilizam a Auditoria (Standard) podem ignorar este passo.

Além da política predefinida que retém registos de auditoria Microsoft Entra ID, Exchange, OneDrive e SharePoint durante um ano, as organizações que utilizam a Auditoria (Premium) podem criar políticas de retenção de registos de auditoria para cumprir os requisitos das equipas de conformidade, ti e operações de segurança da sua organização.

Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Passo 6: procurar eventos auditados

Agora que tem a Auditoria (Standard) ou a Auditoria (Premium) configuradas para a sua organização, está pronto para procurar no registo de auditoria no portal de conformidade do Microsoft Purview. Para obter orientações detalhadas, veja Pesquisar o registo de auditoria.