Descrever a auditoria no Microsoft Purview

  • 4 minutos

As soluções de auditoria do Microsoft Purview ajudam as organizações a responder efetivamente a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Milhares de operações de usuário e administrador realizadas em dezenas de serviços e soluções do Microsoft 365, e também do Security Copilot (se habilitado), são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os registros de auditoria desses eventos podem ser pesquisados por operações de segurança, administradores de TI, equipes de risco interno e investigadores jurídicos e de conformidade em sua organização. Essa capacidade lança visibilidade sobre as atividades realizadas em sua organização do Microsoft 365.

O Microsoft Purview fornece duas soluções de auditoria:

  • Auditoria (Padrão)
  • Auditoria (Premium)

Auditoria (Padrão)

A auditoria (Standard) é ativada por padrão para todas as organizações com a assinatura apropriada e disponível para os usuários com as permissões apropriadas. Quando uma atividade auditada é executada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria da sua organização. Na Auditoria (Standard), os registros são mantidos por 180 dias. Você pode recuperar logs de auditoria que ocorrem na maioria dos serviços do Microsoft 365 em sua organização usando os seguintes métodos:

  • A ferramenta de pesquisa de log de auditoria no portal do Microsoft Purview.
  • A API da Atividade de Gestão do Office 365
  • O cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online

Após você pesquisar o log de auditoria, você pode exportar os registros de auditoria retornados pela pesquisa para um arquivo CSV, possibilitando uma análise posterior usando o Microsoft Excel ou o Excel Power Query.

Auditoria (Premium)

A Auditoria (Premium) baseia-se nos recursos de Auditoria (Standard) fornecendo políticas de retenção de log de auditoria, retenção mais longa de registros de auditoria, insights inteligentes de alto valor e maior acesso de largura de banda à API de Atividade de Gerenciamento do Office 365.

  • Políticas de retenção de log de Auditoria. Você pode criar políticas de retenção de log de auditoria personalizadas para reter registros de auditoria por períodos mais longos de até um ano (e até dez anos para usuários com licença de complemento necessária).
  • Retenção mais longa de registros de auditoria. Por padrão, os registros de auditoria do Microsoft Entra ID, do Exchange, do OneDrive e do SharePoint são mantidos por um ano. Por padrão, os registros de auditoria de todas as outras atividades são mantidos por 180 dias ou você pode usar políticas de retenção de log de auditoria para configurar períodos de retenção mais longos.
  • Insights inteligentes da Auditoria (Premium). Registros de auditoria para insights inteligentes podem ajudar sua organização a realizar investigações forenses e de conformidade, fornecendo visibilidade a eventos como quando itens de email foram acessados ou quando itens de email foram respondidos e encaminhados, ou quando e o que um usuário pesquisou no Exchange Online e no SharePoint Online. Esses insights inteligentes que podem ajudar você a investigar possíveis violações e determinar o escopo do comprometimento.
  • Maior largura de banda para a API da Atividade de Gestão do Office 365. A Auditoria (Premium) fornece às organizações mais largura de banda para acessar os logs de auditoria por meio da API da Atividade de Gestão do Office 365.

Licenciamento

O licenciamento da Auditoria (Standard) ou da Auditoria (Premium) requer a assinatura em nível de organização apropriada e o licenciamento por usuário correspondente. Para obter mais informações sobre os requisitos de licenciamento, visite a seção Saiba mais na unidade Resumo e recursos.

Log de auditoria no Microsoft Purview para o Security Copilot

O recurso de log de auditoria no Security Copilot usa o Microsoft Purview para processar e armazenar ações de administrador, ações do usuário e respostas do Copilot. Isso inclui dados de qualquer integração da Microsoft e de terceiros.

No portal do Microsoft Security Copilot (a experiência autônoma), os proprietários do Copilot podem optar por permitir que o Microsoft Purview acesse, processe, copie e armazene dados do cliente de seus serviços do Security Copilot. Depois que esse recurso estiver habilitado no Copilot, se sua organização já estiver usando o Microsoft Purview, nenhuma ação adicional será necessária. O log de auditoria é ativado por padrão para as organizações do Microsoft 365. No entanto, ao configurar uma nova organização do Microsoft 365, você deve verificar o status de auditoria da sua organização. Se a organização ainda não estiver usando o Microsoft Purview, o log de auditoria precisará ser provisionado. Consulte Ativar ou desativar a auditoria para saber mais.

O Microsoft Purview armazena os dados do cliente na região em que os dados do Microsoft 365 estão armazenados. Confira Privacidade e a segurança de dados no Microsoft Security Copilot para saber mais.