Considerações dos registos de auditoria sobre a conformidade do Governo Australiano com o PSPF
Este artigo fornece orientações para organizações do Governo Australiano no registo de auditoria do Microsoft 365. Destina-se a ajudar as organizações governamentais a aumentar a sua maturidade de segurança e conformidade, ao mesmo tempo que cumprem os requisitos descritos no Framework de Políticas de Segurança De Proteção (PSPF) e no Manual de Segurança de Informações (ISM).
O registo de auditoria do Microsoft 365 é um serviço de registo unificado que captura eventos de vários serviços e aplicações na plataforma do Microsoft 365. Fornece uma única localização para visualizar dados de auditoria para serviços do Microsoft 365, como Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI e muito mais.
O registo de auditoria pode ser utilizado para controlar a atividade do utilizador e do administrador na sua organização, incluindo atividades relacionadas com a etiquetagem de confidencialidade. Para obter informações sobre os eventos do Microsoft Purview e prevenção de perda de dados (DLP) capturados no registo de auditoria, consulte Atividades de registo de auditoria do Microsoft Purview através da Gestão do Microsoft 365.
O registo de auditoria é importante para as implementações do Microsoft Purview, uma vez que:
- O registo de auditoria retém decisões sobre quem aplicou etiquetas aos itens.
- O registo de auditoria retém informações sobre alterações de etiquetas, incluindo justificações de alteração de etiqueta.
- O registo de auditoria fornece informações sobre itens recebidos e enviados.
- O registo de auditoria fornece visibilidade sobre os eventos durante períodos de tempo mais longos do que outras localizações de relatório onde as atividades do Microsoft 365 estão visíveis (por exemplo, os eventos são visíveis no explorador de atividades durante 30 dias).
Requisitos de retenção do registo de auditoria
A necessidade de retenção prolongada é abrangida pelo seguinte requisito de ISM:
| Requisito | Detalhe |
|---|---|
| ISM-0859 (junho de 2024) | Os registos de eventos, excluindo os dos serviços do Sistema de Nomes de Domínio e proxies Web, são retidos durante, pelo menos, sete anos. |
O período de tempo predefinido durante o qual os dados de registo de auditoria são retidos está associado ao nível de licenciamento do Microsoft 365. As organizações com licenças E3 têm retenção de registo de auditoria durante 90 dias. As organizações com licenciamento E5 têm retenção para Entra, Exchange Online, OneDrive e SharePoint são de um ano.
As políticas de retenção de registos de auditoria expandem a retenção de informações de auditoria para um conjunto de atividades. As políticas de auditoria podem ser configuradas para reter informações de auditoria até 10 anos.
A retenção de longo prazo de informações de auditoria requer licenças de Auditoria (Premium). Para obter mais informações sobre a retenção de registos de auditoria, veja Soluções de auditoria no Microsoft Purview.
Integração do SIEM
Os sistemas de Gestão de Informações e Eventos de Segurança (SIEMs) foram concebidos para ajudar a organização a detetar, analisar e responder a ameaças de segurança antes de prejudicarem as operações empresariais. Os SIEMs ingerem informações de registo e fornecem análises de eventos. Os SIEMs são utilizados para aumentar a velocidade da deteção de ameaças, suportar incidentes de segurança, gestão de eventos e conformidade.
Microsoft Sentinel é um SIEM dimensionável nativo da cloud que fornece uma solução inteligente e abrangente para SIEM e orquestração de segurança, automatização e resposta (SOAR). Isto significa que os eventos do Microsoft Purview ingeridos em Sentinel (ou um SIEM equivalente), são facilmente analisados e podem produzir relatórios avançados..
Para obter mais informações sobre como Sentinel podem ser configurados para ingerir dados de registo de auditoria do Microsoft 365, consulte Como utilizar Office 365 Dados de Auditoria com Microsoft Sentinel..