Log de auditoria para Mesh

O registro de auditoria ajuda as organizações a responder efetivamente a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Este artigo resume como consultar e solicitar logs de auditoria para operações e eventos do Microsoft Mesh. Algumas operações são específicas do Mesh, enquanto outras estão associadas a outras operações do M365, como operações M365: Exchange, SharePoint, Microsoft Entra (Azure AD), Microsoft Teams, etc.

Com o log de auditoria para Mesh, um administrador pode coletar informações sobre operações individuais ou em massa relacionadas à atividade do usuário ou operações resultantes de interações com serviços M365 para Microsoft Mesh.

O log de auditoria do Mesh pode ser feito usando o Microsoft Purview ou o PowerShell do Exchange Online.

Nota

O Microsoft Mesh tem duas ofertas principais para os usuários: espaços imersivos no Teams e espaços imersivos personalizados. O log de auditoria não trata essas ofertas como independentes e, portanto, os eventos na auditoria podem se referir a ofertas ou ambas, dependendo do evento consultado.

Exemplos de atividades e operações do usuário nas quais um administrador pode estar interessado no Mesh são:

• Utilizadores finais em Mesh in Teams / Browser Mesh - juntando-se a sessões Mesh.

• Administradores de malha e usuários criando eventos no portal Mesh.

• Criadores de conteúdo usando o Mesh Toolkit (Mesh Uploader) para criar e carregar artefatos.

Eventos auditáveis para o Microsoft Mesh

Os eventos de auditoria atualmente disponíveis estão listados abaixo. Os eventos são gerados com base na atividade do usuário no portal de administração do Mesh ou na atividade de personalização da sessão/modelo no aplicativo Mesh.

Nome do Evento	Description
AmbienteExcluído	Exclua um ambiente de malha.
AmbientePublicado	Publique uma nova versão de um ambiente Mesh.
ComponentCreated	Crie um componente de sessão para uma determinada sessão Mesh.
ComponentDeleted	Exclua um componente de sessão de uma determinada sessão Mesh.
TemplateCreated	Crie um novo modelo de mundo/coleção de malha.
TemplateDeleted	Exclua o conteúdo e os metadados do Mesh World Template.
ModeloAtualizado	Atualize um modelo de malha World/Collection existente.
WorldCreated	Crie um mundo/coleção de malha.
WorldDeleted	Exclua um mundo/coleção de malha.
MundoAtualizado	Atualize um mundo/coleção de malha.
WorldMembersAdded	Adicione membros ao Mesh World/Collection.
WorldOwnersAdicionado	Adicione proprietários de um mundo/coleção de malha.
WorldMembersRemovido	Remova um membro de um Mesh World/Collection.
WorldOwnersRemovidos	Remova um proprietário de um Mesh World/Collection.
AmbienteArmazenamentoCriado	Crie um novo local de armazenamento para um ambiente Mesh.
SessionMetadataCreated	Crie metadados do Mesh World/Collection Session.
SessionMetadataDeleted	Exclua metadados do Mesh World/Collection Session.
SessionMetadataUpdated	Atualizar metadados do Mesh World/Collection Session.
SessionMetadataTemplateCreated	Crie uma personalização de modelo para Mesh World/Collection.
SessionEnvironmentSet	Defina o ambiente para uma sessão de colaboração.
SessionParticipar	O serviço Mesh provisionou os recursos necessários do sistema e forneceu ao aplicativo cliente as informações necessárias para ingressar em uma sessão Mesh.

Alguns esclarecimentos sobre a que se refere a terminologia nestes eventos:

• Sessão: refere-se a sessões em que certas coisas são configuradas para ambientes ou reuniões. Há três tipos de sessões que são capturadas por logs de auditoria:

  • Sessão de Personalização de Modelo: os logs são capturados quando um usuário personaliza um modelo de evento e salva as alterações no aplicativo Mesh.
  • Sessão de personalização de eventos: os logs são capturados quando um usuário personaliza um único evento e salva as alterações no aplicativo Mesh.
  • Sessão de evento: os logs são capturados quando ocorre um evento Mesh. Normalmente, a configuração é imutável, uma vez que os componentes não podem ser colocados pelos usuários em um evento ao vivo, por exemplo.

• Mundo : refere-se a Coleções em Malha na web. Collections é um bucket que contém ambientes e modelos de ambientes que são usados em eventos Mesh. Os logs de auditoria capturam quando um usuário cria uma coleção, exclui uma coleção, adiciona membros a uma coleção, adiciona proprietários a uma coleção ou remove proprietários de uma coleção.

• Componente: refere-se aos objetos que são renderizados em um ambiente quando uma sessão é iniciada para um evento, modelo ou sessão de personalização. Se um usuário tentar entrar em um ambiente, os componentes nesse ambiente serão carregados e capturados pelos logs de componentes.

Microsoft Purview

As soluções de auditoria Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder de forma eficaz a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade.

Pré-requisitos para soluções de log de auditoria Purview

Veja como começar a usar as soluções de log de auditoria do Microsoft Purview.

Introdução à pesquisa

Veja como pesquisar o log de auditoria no Microsoft Purview.

Exportar, configurar e ver registos de registos de auditoria

Como exportar, configurar e exibir registros de log de auditoria.

Exchange Online PowerShell

Pré-requisitos para usar o PowerShell do Exchange Online

Para realizar o log de auditoria para operações Mesh, os seguintes pré-requisitos são necessários:

• Acesso e familiaridade com o Microsoft Purview para log de auditoria
• Acesso e familiaridade com o cmdlet PowerShell Exchange
• Permissões de administrador necessárias para executar comandos de cmdlet
• Microsoft Excel ou outra ferramenta de análise de dados para analisar os dados depois de reunidos
• PowerShell v7

Reunir logs de auditoria para o Mesh

Ligar ao PowerShell do Exchange Online

No PowerShell, carregue o módulo PowerShell do Exchange Online

Import-Module ExchangeOnlineManagement

Ligar e autenticar

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

Para obter mais informações, consulte como se conectar ao PowerShell do Exchange Online.

Verifique se o log de auditoria está ativado

O log de auditoria é ativado por padrão para organizações do Microsoft 365. No entanto, ao configurar uma nova organização do Microsoft 365, você deve verificar o status de auditoria da sua organização. Para obter instruções, consulte como ativar ou desativar a auditoria.

Gorjeta

Para verificar as permissões necessárias para cada cmdlet, visite Localizar as permissões necessárias para executar qualquer cmdlet do Exchange.

Pesquisar eventos Unified AuditLog

Depois de verificar se o log de auditoria está ativado e se você tem as permissões adequadas para executar cmdlets, agora você pode pesquisar registros de log usando o comando Search-UnifiedAuditLog com vários filtros.

Importante

Há uma ampla gama de parâmetros para Search-UnifiedAuditLogo . Consulte a documentação do Search-UnifiedAuditLog | Microsoft Learn para obter mais informações.

O conteúdo do registo de auditoria contém os seguintes campos:

• RecordType - tipo de carga de trabalho, por exemplo, SharePoint ou MeshWorlds
• Data de Criação
• UserIds - usuários que executam uma operação.
• Operações - normalmente Nome da Operação ou Nomes da Operação.
• AuditData - Dados detalhados de eventos codificados por JSON. O conteúdo difere dependendo do tipo de carga de trabalho.
• ResultIndex - índice de uma linha em um resultado retornado pelo script PowerShell (1-N...).
• ResultCount - contagem total de linhas retornadas pelo script do PowerShell.
• Identidade - Azure ID/Microsoft Entra GUID do usuário.

Exemplo de Search-UnifiedAuditLog 1

Uma consulta básica para logs de auditoria com -StartDate e -EndDate.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

O conteúdo do registro virá em um formato que pode ser difícil de analisar inicialmente, mas uma vez formatado deve ser compreensível.

Resposta de exemplo:

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

Gorjeta

-NoTypeInformation é um utilitário do PowerShell para tornar as exportações .csv mais limpas.

Pesquisar Search-UnifiedAuditLog exemplo 2

Uma consulta básica para todos os logs de auditoria com -Operations que incluem a World cadeia de caracteres.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

Pesquisar Search-UnifiedAuditLog exemplo 3

Uma consulta básica para todos os logs de auditoria com -UserIds que incluem a [email@company.com] cadeia de caracteres.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

Registar a análise de conteúdos

O conteúdo do registro de log de auditoria retorna em um formato JSON. A análise AuditData pode exigir uma familiaridade com a análise de texto como JSON ou XML.

O conjunto de registros pode ser importado para o Excel para análise. Para saber mais, veja como importar dados de fontes para o Excel.