Gerenciar políticas de retenção de log de auditoria
As organizações podem criar e gerenciar políticas de retenção de log de auditoria no portal de conformidade do Microsoft Purview. As políticas de retenção de log de auditoria fazem parte da solução Auditoria do Microsoft Purview (Premium). Uma política de retenção de log de auditoria permite que uma organização especifique quanto tempo deseja manter logs de auditoria. Os logs de auditoria podem ser mantidos por até 10 anos. As políticas de retenção podem ser criadas com base nos seguintes critérios:
- Todas as atividades em um ou mais serviços do Microsoft 365.
- As atividades específicas (em um serviço do Microsoft 365) executadas por todos os usuários ou por usuários específicos.
- Um nível de prioridade que especifica qual política tem precedência quando existem várias políticas em uma organização.
Política de retenção de log de auditoria padrão
A Auditoria do Microsoft Purview (Premium) fornece uma política de retenção de log de auditoria padrão para todas as organizações. Esta política retém todos os registos de auditoria Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Entra durante um ano. Essa política padrão mantém registros de auditoria que contêm o valor do Exchange, SharePoint, OneDrive, AzureActiveDirectory para a propriedade Carga de trabalho (que é o serviço em que a atividade ocorreu).
Observação
A política de retenção de log de auditoria padrão não pode ser modificada.
A política de retenção do log de auditoria padrão aplica-se somente a registros de auditoria para atividades executadas por usuários que receberam:
- uma licença do Office 365 ou Microsoft 365 E5
- uma licença de complemento de Conformidade do Microsoft 365 E5 ou de Auditoria e Descoberta Eletrônica do Microsoft 365 E5
Se uma organização tiver usuários não E5 ou usuários convidados em sua organização, seus registros de auditoria correspondentes serão mantidos por 90 dias.
Antes de você criar uma política de retenção de log de auditoria
As organizações devem atender aos seguintes requisitos antes de poderem criar uma política de retenção de log de auditoria:
- As pessoas em uma organização que recebem a responsabilidade de criar e modificar políticas de retenção de log de auditoria devem receber a função Configuração da Organização no portal de conformidade do Microsoft Purview.
- Uma organização pode ter no máximo 50 políticas de retenção de log de auditoria.
- Para manter um log de auditoria por mais de 90 dias (e até 1 ano), o usuário que gera o log de auditoria (realizando uma atividade auditada) deve ter uma licença do Office 365 E5 ou Microsoft 365 E5 ou ter uma licença de complemento de Conformidade do Microsoft 365 E5 ou de Auditoria e Descoberta Eletrônica do Microsoft 365 E5.
- Para reter logs de auditoria por 10 anos, o usuário que gera o log de auditoria também deve receber uma licença complementar de retenção de log de auditoria de 10 anos, além de uma licença E5.
- Todas as políticas de retenção de log de auditoria personalizadas criadas por uma organização têm prioridade sobre a política de retenção padrão. Por exemplo, vamos supor que você crie uma política de retenção de log de auditoria para a atividade de caixa de correio do Exchange que tenha um período de retenção menor que um ano. Nesse cenário, os registros de auditoria das atividades de caixa de correio do Exchange serão mantidos pela duração mais curta especificada pela política personalizada.
Criar uma política de retenção de log de auditoria
Conclua as seguintes etapas para criar uma política de retenção de log de auditoria personalizada:
Entre no portal de Conformidade do Microsoft Purview com uma conta de usuário atribuída à função Configuração da Organização.
No portal de Conformidade do Microsoft Purview, selecione Auditoria no painel de navegação.
Na página Auditoria, selecione a guia Políticas de retenção de auditoria.
Na guia Políticas de retenção de auditoria, selecione Criar política de retenção de auditoria e preencha os seguintes campos na janela Nova política de retenção de auditoria exibida:
- Nome da política. O nome da política de retenção do log de auditoria. Este nome deve ser exclusivo em sua organização. Ele não pode ser alterado após a criação da política.
- Descrição. A descrição da política. Embora esse campo seja opcional, é útil fornecer informações sobre a política. Por exemplo, o tipo de registro ou carga de trabalho, os usuários especificados na política e a duração.
- Usuários. Selecione um ou mais usuários aos quais a política será aplicada. A política se aplicará a todos os usuários se você deixar esse campo em branco. Se você deixar os Tipos de registro em branco, você deve selecionar um usuário.
-
Tipo de registro. O tipo de registro de auditoria ao qual a política será aplicada. Se você deixar essa propriedade em branco, deve selecionar um usuário no campo Usuários. Você pode selecionar um único tipo de registro ou vários tipos de registro:
- Tipo de registro único. Se você selecionar um único tipo de registro, o campo Atividades será exibido dinamicamente. Você pode usar a lista suspensa para selecionar atividades do tipo de registro selecionado para a qual aplicar a política. Se você não consegue selecionar atividades especificas, a política será aplicada a todas as atividades do tipo de registro selecionado.
- Tipo de registro múltiplo. Se você selecionar o tipo de registro múltiplo, não será possível selecionar atividades. A política será aplicada a todas as atividades dos tipos de registro selecionados.
- Duração. O tempo necessário para manter os logs de auditoria que atendam aos critérios da política.
- Prioridade. Esse valor determina a ordem na qual as políticas de retenção de log de auditoria são processadas na sua organização. Um valor mais baixo indica uma prioridade mais alta. As prioridades válidas são valores numéricos entre 1 e 10.000. Um valor de 1 é a prioridade mais alta e um valor de 10.000 é a prioridade mais baixa. Por exemplo, uma política com valor 5 tem prioridade sobre uma política com valor 10. Como explicado anteriormente, qualquer política de retenção de log de auditoria personalizada tem prioridade sobre a política padrão da sua organização.
Clique em Salvar para criar a nova política de retenção.
A nova política é exibida na lista da guia Políticas de retenção de Auditoria.
Gerenciar políticas de retenção de log de auditoria no portal de conformidade do Microsoft Purview
As políticas de retenção de log de auditoria estão listadas na guia Políticas de retenção de Auditoria (também chamado de painel). Você pode usar o painel para exibir, editar e excluir políticas de retenção de auditoria.
Exibir políticas no painel
As políticas de retenção de log de Auditoria são listadas no painel. Uma vantagem de visualizar as políticas no painel é que você pode clicar na coluna Prioridade para listar as políticas na prioridade em que são aplicadas. Conforme explicado anteriormente, um valor mais baixo indica uma prioridade mais alta.
Você também pode selecionar uma política para exibir suas configurações no painel de detalhes da política exibido.
Observação
A política de retenção de log de auditoria padrão para sua organização não é exibida no painel.
Editar políticas no painel
Para editar uma política, selecione-a para exibir o painel de detalhes da política. Você pode modificar uma ou mais configurações e salvar suas alterações.
Importante
Se você usar o cmdlet New-UnifiedAuditLogRetentionPolicy para criar uma política, é possível criar uma política de retenção de log de auditoria para tipos de registro ou atividades que não estão disponíveis na ferramenta Criar política de retenção de auditoria no portal de conformidade do Microsoft Purview. Nesse caso, você não poderá editar a política (por exemplo, alterar a duração da retenção ou adicionar e remover atividades) no painel Políticas de retenção de Auditoria. Você só poderá exibir e excluir a política no portal de conformidade do Microsoft Purview. Para editar a política, você precisará usar o cmdlet Set-UnifiedAuditLogRetentionPolicy no módulo do PowerShell de Segurança e Conformidade.
Dica
Uma mensagem é exibida na parte superior do painel de detalhes da política para políticas que devem ser editadas usando o Windows PowerShell.
Excluir políticas no painel
Para excluir uma política, selecione o ícone de lixeira (Excluir). Em seguida, confirme que deseja excluir a política. A política é removida do painel, mas pode demorar até 30 minutos para que a política excluída seja removida de uma organização.
Criar e gerenciar políticas de retenção de log de auditoria no Windows PowerShell
As organizações também podem usar o módulo do PowerShell de Segurança e Conformidade para criar e gerenciar políticas de retenção de log de auditoria. Um motivo para usar o PowerShell é criar uma política para um tipo de registro ou atividade que não está disponível no portal de conformidade do Microsoft Purview.
Criar uma política de retenção de log de auditoria no Windows PowerShell
Siga estas etapas para criar uma política de retenção de log de auditoria no Windows PowerShell:
Em Windows PowerShell, conecte-se ao módulo do PowerShell de Segurança e Conformidade.
Execute o seguinte comando para criar uma política de retenção de log de auditoria:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100Este exemplo cria uma política de retenção de log de auditoria chamada “Política de Auditoria do Microsoft Teams” com as seguintes configurações:
- Uma descrição da política.
- Retém todas as atividades do Microsoft Teams (conforme definido pelo parâmetro RecordType).
- Retém os logs de auditoria do Microsoft Teams por dez anos.
- Atribui uma prioridade de 100 à política.
Veja outro exemplo de como criar uma política de retenção de log de auditoria. Essa política:
- Mantém os logs de auditoria para a atividade “Usuário conectado” por seis meses.
- Ela faz isso para o usuário admin@contoso.onmicrosoft.com.
- Atribui uma prioridade de 25 à política.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Exibir políticas no Windows PowerShell
Use o cmdlet Get-UnifiedAuditLogRetentionPolicy no módulo do PowerShell de Segurança e Conformidade para exibir as políticas de retenção de log de auditoria.
Este é um exemplo de comando para exibir as configurações de todas as políticas de retenção de log de auditoria em uma organização. Este comando classifica as políticas da prioridade mais alta para a mais baixa.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Observação
O cmdlet Get-UnifiedAuditLogRetentionPolicy não retorna a política de retenção de log de auditoria padrão para uma organização.
Editar políticas no Windows PowerShell
Use o cmdlet Set-UnifiedAuditLogRetentionPolicy no módulo do PowerShell de Segurança e Conformidade para editar uma política de retenção de log de auditoria existente.
Excluir políticas no Windows PowerShell
Use o cmdlet Remove-UnifiedAuditLogRetentionPolicy no módulo do PowerShell de Segurança e Conformidade para excluir uma política de retenção de log de auditoria. Pode levar até 30 minutos para que uma política excluída seja removida de uma organização.
Verificação de conhecimentos
Escolha a melhor resposta para as perguntas abaixo.