Implementar a Auditoria do Microsoft Purview (Padrão)

  • 4 minutos

A Auditoria do Microsoft Purview (Padrão) no Microsoft 365 permite que as organizações pesquisem registros de auditoria de atividades que foram executadas por usuários e administradores nos diferentes serviços do Microsoft 365. A Auditoria (Padrão) é habilitada por padrão para a maioria das organizações com o Microsoft 365 e o Office 365. Como resultado, existem apenas algumas coisas que uma organização precisa fazer antes de poder pesquisar o log de auditoria.

Diagrama mostrando as etapas para configurar a Auditoria do Microsoft Purview (Padrão), que incluem configurar o licenciamento e as permissões.

As etapas de configuração que precisam ser executadas antes que uma organização possa pesquisar o log de auditoria usando a Auditoria (Padrão) incluem:

  • Certificar-se de ter as assinaturas e licenças de usuário adequadas da organização necessárias para gerar e preservar registros de auditoria.
  • Atribuir permissões às equipes jurídicas e aos funcionários encarregados de suas operações de segurança, TI e conformidade.

Essas etapas são examinadas mais detalhadamente nas seções a seguir.

Etapa 1: Verificar a assinatura e as licenças de usuário da organização

O Licenciamento para Auditoria (Padrão) requer uma assinatura adequada da organização que forneça:

  • acesso à ferramenta de pesquisa de logs de auditoria.
  • o licenciamento por usuário necessário para registrar e reter registros de auditoria.

Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria da organização. Em Auditoria (Standard), os registos de auditoria são retidos e pesquisáveis no registo de auditoria durante 180 dias.

Para obter uma lista dos requisitos de assinatura e licenciamento para Auditoria (Padrão), confira Soluções de auditoria no Microsoft 365.

Etapa 2: Atribuir permissões para pesquisar o log de auditoria.

Para pesquisar o log de auditoria, os administradores e membros das equipes de investigação precisam que lhes sejam atribuídas as funções Logs de Auditoria Somente Exibição ou Logs de Auditoria no Exchange Online.

  • Por padrão, essas funções são atribuídas aos grupos de função Gerenciamento de Conformidade e Gerenciamento da Organização na página Permissões do centro de administração do Exchange.
  • Os administradores globais no Office 365 e Microsoft 365 são automaticamente adicionados como membros do grupo de função Gerenciamento da Organização no Exchange Online.

Para conceder a um usuário a capacidade de pesquisar o log de auditoria com o nível mínimo de privilégios, as organizações podem:

  1. Criar um grupo de função personalizado no Exchange Online.
  2. Adicionar a função Logs de Auditoria Somente Exibição ou Logs de Auditoria ao grupo de função.
  3. Adicionar o usuário como membro do novo grupo de função.

Para saber mais, confira Gerenciar Grupos de Funções do Exchange Online.

A captura de tela a seguir mostra as duas funções relacionadas à auditoria atribuídas ao grupo de função Gerenciamento da Organização no centro de administração do Exchange.

Captura de tela do centro de administração do Exchange mostrando a função de gerenciamento da organização e as permissões atribuídas a ela.

Etapa 3: Pesquisar o log de auditoria

Nesta altura, uma organização está pronta para pesquisar o log de auditoria dentro do portal de conformidade do Microsoft Purview.

  1. No portal de conformidade do Microsoft Purview, selecione Auditoria no painel de navegação.

  2. Na página Auditoria, configure a pesquisa usando as seguintes condições na guia Pesquisar.

    Captura de tela da página Auditoria no portal de conformidade do Microsoft Purview mostrando as configurações de pesquisa de log de auditoria.

    • A. Intervalo de datas e horas. Selecione um intervalo de datas e horas para exibir os eventos ocorridos durante esse período. A data e hora são apresentadas na horário local. Os últimos sete dias são selecionados por padrão.
    • B. Atividades. Selecione as atividades a serem pesquisadas. Use a caixa de pesquisa para pesquisar atividades a serem adicionadas à lista. Para obter uma lista parcial de atividades auditadas, confira Atividades auditadas. Deixe essa caixa de seleção em branco para retornar entradas para todas as atividades auditadas.
    • C. Usuários. Selecione essa caixa de seleção e comece a digitar o nome dos usuários para os quais exibir os resultados da pesquisa. As entradas do log de auditoria para as atividades selecionadas realizadas pelos usuários que você selecionar nessa caixa serão exibidas na lista de resultados. Deixe essa caixa em branco para retornar entradas para todos os usuários (e contas de serviço) na sua organização.
    • D. Arquivo, pastaou site. Digite alguns ou todos os nome de arquivo ou pasta para pesquisar atividades relacionadas ao arquivo ou pasta que contenha a palavra-chave especificada. Você também pode especificar uma URL de um arquivo ou pasta. Se usar uma URL, certifique-se de digitar o caminho completo ou, se estiver digitando apenas uma parte da URL, não inclua espaços ou caracteres especiais. Deixe essa caixa em branco para retornar entradas para todos os arquivos e pastas em sua organização.

  3. Selecione Pesquisar para executar a pesquisa.

Uma nova página é exibida mostrando que a pesquisa de log de auditoria está em execução. Quando a pesquisa estiver concluída, os registros de auditoria serão exibidos na página. Selecione um registro para exibir uma página de submenu com propriedades detalhadas.

Observação

Essa etapa é examinada com mais detalhes na unidade a seguir.