Log de auditoria para Malha

O log de auditoria ajuda as organizações a responder com eficiência a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Este artigo resume como consultar e solicitar logs de auditoria para operações e eventos do Microsoft Mesh. Algumas operações são específicas do Mesh, enquanto outras estão associadas a outras operações do M365, como M365: Exchange, SharePoint, operações do Microsoft Entra (Azure AD), Microsoft Teams, etc.

Com o log de auditoria do Mesh, um administrador pode coletar insights sobre operações individuais ou em massa relacionadas à Atividade do Usuário ou operações resultantes de interações com os serviços M365 para Microsoft Mesh.

O log de auditoria do Mesh pode ser feito usando o Microsoft Purview ou o PowerShell do Exchange Online.

Observação

O Microsoft Mesh tem duas ofertas principais para os usuários: espaços imersivos no Teams e espaços imersivos personalizados. O log de auditoria não trata essas ofertas como independentes e, portanto, os eventos na auditoria podem se referir a uma oferta ou a ambas as ofertas, dependendo do evento consultado.

Exemplos de atividades e operações do usuário que um administrador pode estar interessado no Mesh são:

• Usuários finais em Mesh in Teams / Mesh Browser - participando de sessões Mesh.

• Administradores e usuários do Mesh criando eventos no Portal Mesh.

• Criadores de conteúdo usando o Mesh Toolkit (Mesh Uploader) para criar e carregar artefatos.

Eventos auditáveis para o Microsoft Mesh

Os eventos de auditoria atualmente disponíveis estão listados abaixo. Os eventos são gerados com base na atividade do usuário no portal de administração do Mesh ou na atividade de personalização de sessão/modelo no aplicativo Mesh.

Nome do evento	Descrição
AmbienteExcluído	Exclua um ambiente de malha.
Meio AmbientePublicado	Publique uma nova versão de um ambiente Mesh.
ComponenteCriado	Crie um componente de sessão para uma determinada sessão de Malha.
ComponentDeleted	Exclua um componente de sessão de uma determinada sessão Mesh.
ModeloCriado	Crie um novo modelo de Mesh World/Collection.
ModeloExcluído	Exclua o conteúdo e os metadados do Mesh World Template.
ModeloAtualizado	Atualize um modelo de Mesh World/Collection existente.
MundoCriado	Crie um mundo/coleção de malhas.
MundoExcluído	Exclua um mundo/coleção de malha.
MundoAtualizado	Atualizar um mundo/coleção Mesh.
WorldMembersAdicionado	Adicione membros ao Mesh World/Collection.
WorldOwnersAdicionado	Adicione proprietários de um Mesh World/Collection.
WorldMembersRemovido	Remover um membro de um Mesh World/Collection.
WorldOwnersRemovido	Remova um proprietário de um Mesh World/Collection.
EnvironmentStorageCriado	Crie um novo local de armazenamento para um ambiente Mesh.
SessionMetadataCreated	Crie metadados do Mesh World/Collection Session.
SessionMetadataDeleted	Exclua metadados do Mesh World/Collection Session.
SessionMetadataUpdated	Atualizar metadados do Mesh World/Collection Session.
SessionMetadataTemplateCreated	Crie uma personalização de modelo para o Mesh World/Collection.
SessionEnvironmentSet	Defina o ambiente para uma sessão de colaboração.
SessionJoin	O serviço Mesh provisionou os recursos de sistema necessários e forneceu ao aplicativo cliente as informações necessárias para ingressar em uma sessão Mesh.

Alguns esclarecimentos sobre a que se refere a terminologia nesses eventos:

• Sessão: refere-se a sessões em que determinadas coisas são configuradas para ambientes ou reuniões. Há três tipos de sessões capturadas pelos logs de auditoria:

  • Sessão de personalização de modelo: os logs são capturados quando um usuário personaliza um modelo de evento e salva as alterações no aplicativo Mesh.
  • Sessão de personalização de eventos: os logs são capturados quando um usuário personaliza um único evento e salva as alterações no aplicativo Mesh.
  • Sessão de eventos: os logs são capturados quando ocorre um evento Mesh. Normalmente, a configuração é imutável, já que os componentes não podem ser colocados pelos usuários em um evento ao vivo, por exemplo.

• Mundo : refere-se a Coleções em Malha na web. Coleções é um bucket que contém ambientes e modelos de ambientes que são usados em eventos Mesh. Os logs de auditoria são capturados quando um usuário cria uma Coleção, exclui uma Coleção, adiciona membros a uma Coleção, adiciona Proprietários a uma Coleção ou remove Proprietários de uma coleção.

• Componente: refere-se aos Objetos que são renderizados em um ambiente quando uma sessão é iniciada para um evento, modelo ou sessão de personalização. Se um usuário tentar entrar em um ambiente, os componentes nesse ambiente serão carregados e capturados por logs de componentes.

Microsoft Purview

As soluções de auditoria Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder com eficiência a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade.

Pré-requisitos para soluções de log de auditoria do Purview

Veja como começar a usar as soluções de log de auditoria do Microsoft Purview.

Introdução à pesquisa

Veja como pesquisar o log de auditoria no Microsoft Purview.

Exportar, configurar e exibir registros do log de auditoria

Como exportar, configurar e exibir registros de log de auditoria.

Exchange Online PowerShell

Pré-requisitos para usar o PowerShell do Exchange Online

Para realizar o log de auditoria para operações de malha, os seguintes pré-requisitos são necessários:

• Acesso e familiaridade com o Microsoft Purview para log de auditoria
• Acesso e familiaridade com o cmdlet do PowerShell Exchange
• Permissões de administrador necessárias para executar comandos de cmdlet
• Microsoft Excel ou outra ferramenta de análise de dados para analisar os dados depois de reunidos
• PowerShell v7

Coletar logs de auditoria para o Mesh

Conectar-se ao Exchange Online PowerShell

No PowerShell, carregue o módulo PowerShell do Exchange Online

Import-Module ExchangeOnlineManagement

Conectar-se e autenticar

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

Para obter mais informações, consulte como se conectar ao PowerShell do Exchange Online.

Verifique se o log de auditoria está ativado

O log de auditoria está ativado por padrão para organizações do Microsoft 365. No entanto, ao configurar uma nova organização do Microsoft 365, você deve verificar o status de auditoria para sua organização. Para obter instruções, consulte como ativar ou desativar a auditoria.

Dica

Para verificar as permissões necessárias para cada cmdlet, visite Localizar as permissões necessárias para executar qualquer cmdlet do Exchange.

Pesquisar eventos do Unified AuditLog

Depois de verificar se o log de auditoria está ativado e se você tem as permissões adequadas para executar cmdlets, agora você pode procurar registros de log usando o comando Search-UnifiedAuditLog com vários filtros.

Importante

Há uma grande variedade de parâmetros para Search-UnifiedAuditLogo . Consulte a documentação do Search-UnifiedAuditLog | Microsoft Learn para obter mais informações.

O conteúdo do registro de auditoria contém os seguintes campos:

• RecordType - tipo de carga de trabalho, por exemplo, SharePoint ou MeshWorlds
• CreationDate
• UserIds - usuários executando uma operação.
• Operações - normalmente Nome da Operação ou Nomes da Operação.
• AuditData - Dados de eventos detalhados codificados por JSON. O conteúdo difere dependendo do tipo de carga de trabalho.
• ResultIndex - índice de uma linha em um resultado retornado pelo script do PowerShell (1-N...).
• ResultCount - contagem total de linhas retornadas pelo script do PowerShell.
• Identidade - ID do Azure/GUID do Microsoft Entra do usuário.

Exemplo 1 de Search-UnifiedAuditLog

Uma consulta básica para logs de auditoria com -StartDate e -EndDate.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

O conteúdo do registro virá em um formato que pode ser difícil de analisar inicialmente, mas uma vez formatado deve ser compreensível.

Resposta de exemplo:

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

Dica

-NoTypeInformation é um utilitário do PowerShell para tornar .csv exportações mais limpas.

Search Search-UnifiedAuditLog exemplo 2

Uma consulta básica para todos os logs de auditoria com -Operations que incluem a World cadeia de caracteres.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

Exemplo 3 do Search Search-UnifiedAuditLog

Uma consulta básica para todos os logs de auditoria com -UserIds que incluem a [email@company.com] cadeia de caracteres.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

Análise de conteúdo dos registros

O conteúdo do registro de log de auditoria retorna em um formato JSON. A análise AuditData pode exigir uma familiaridade com a análise de texto como JSON ou XML.

O conjunto de registros pode ser importado para o Excel para análise. Para obter mais informações, consulte como importar dados de fontes para o Excel.