Implementar a Auditoria do Microsoft Purview (Premium)

  • 3 minutos

Se uma organização tiver uma assinatura e um licenciamento de usuário final que dê suporte a Auditoria (Premium), ela deverá executar as etapas a seguir para configurar e usar os recursos de Auditoria (Premium).

Diagrama mostrando o fluxo de trabalho para configurar a Auditoria Premium do Microsoft Purview.

Passo 1: Configurar a Auditoria (Premium) para os usuários.

Os recursos de Auditoria (Premium) exigem uma licença E5 apropriada atribuída aos usuários. Além disso, o aplicativo/plano de serviço de Auditoria Avançada deve ser habilitado para esses usuários. Para verificar se o aplicativo Auditoria Avançada está atribuído aos usuários, execute as seguintes etapas para cada usuário:

  1. No Centro de administração do Microsoft 365, selecioneUsuáriosno painel de navegação e, em seguida, selecione Usuários ativos.
  2. Na página Usuários ativos, selecione um usuário.
  3. Na página de submenu de propriedades do usuário exibida, selecione a guia Licenças e aplicativos.
  4. Na seção Licenças, verifique se uma licença E5 foi atribuída a um usuário ou se uma licença de complemento apropriada foi atribuída. Para obter uma lista de licenças que dão suporte à Auditoria (Premium), consulte os Requisitos de licenciamento de Auditoria (Premium).
  5. Expanda a seção Aplicativos . Verifique se a caixa de seleção Auditoria Avançada do Microsoft 365 está marcada. Marque a caixa de seleção se ela não estiver selecionada e selecione Salvar alterações.

O registro em log de registros de auditoria para os eventos MailItemsAccessed e Send começará dentro de 24 horas. Uma organização deve executar a Etapa 4 para iniciar o registro em log de dois outros eventos de Auditoria (Premium):

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Além disso, se você personalizou as ações de caixa de correio auditadas em caixas de correio de usuário ou caixas de correio compartilhadas, os novos eventos de Auditoria (Premium) lançados pela Microsoft não serão auditados automaticamente nessas caixas de correio.

Leitura adicional. Para obter informações sobre como alterar as ações da caixa de correio que são auditadas para cada tipo de logon, confira a seção "Alterar ou restaurar ações da caixa de correio registradas por padrão" em Gerenciar auditoria de caixa de correio.

Etapa 2: Habilitar eventos de Auditoria (Premium)

Você deve habilitar os seguintes eventos de Auditoria (Premium) a serem registrados para que os usuários possam executar pesquisas no Exchange Online e no SharePoint Online:

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Para permitir que esses dois eventos sejam auditados para usuários, execute o seguinte comando (para cada usuário) no PowerShell do Exchange Online:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

Em um ambiente multigeográfico, você deve executar o comando Set-Mailbox anterior na floresta onde a caixa de correio do usuário está localizada.

Para identificar a localização da caixa de correio do usuário, execute o seguinte comando:

Get-Mailbox <user identity> | FL MailboxLocations

Se o comando para habilitar a auditoria de consultas de pesquisa tiver sido executado anteriormente em uma floresta diferente da que a caixa de correio do usuário está localizada, você deverá remover o valor SearchQueryInitiated da caixa de correio do usuário executando o seguinte comando:

Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}

Em seguida, você deve adicionar o valor o SearchQueryInitiated à caixa de correio do usuário na floresta em que a caixa de correio do usuário está localizada.

Etapa 3: Configurar políticas de retenção de auditoria

A política de retenção predefinida na Auditoria (Premium) mantém os registos de auditoria do Exchange, SharePoint e Microsoft Entra durante um ano. Uma organização pode criar outras políticas de retenção de log de auditoria para atender aos requisitos de suas operações de segurança, TI e equipes de conformidade.

Para obter mais informações, consulte a próxima unidade sobre como "Gerenciar políticas de retenção de log de auditoria".

Etapa 4: Pesquisar eventos de Auditoria (Premium)

Agora que você tem a Auditoria (Premium) configurada para sua organização, você pode pesquisar eventos cruciais de Auditoria (Premium) e outras atividades ao realizar investigações periciais. Depois de concluir as etapas 1 e 2, você pode pesquisar eventos e outras atividades do log de Auditoria (Premium) durante as investigações periciais de contas comprometidas e outros tipos de investigações de segurança ou conformidade.

Para obter mais informações sobre como conduzir uma investigação pericial de contas de usuário comprometidas usando o evento MailItemsAccessed Audit (Premium), consulte a unidade final neste módulo sobre como "Investigar contas comprometidas".