OMEPortal
Criptografia de Mensagens do Microsoft Purview é um serviço que permite que as organizações enviem emails criptografados para quaisquer destinatários.
OMEPortal é um tipo de evento que é registrado no Office 365 Log de Auditoria Unificada. Ele representa qualquer atividade para acessar uma mensagem criptografada por um destinatário externo usando o portal de mensagens criptografadas. Esse evento é útil para determinar quando e quem acessou o portal.
- Autenticar
- abrir mensagem
- exibir anexo
- baixar anexo
- mensagem de resposta/encaminhamento
Acessar o log de auditoria unificada Office 365
Os logs de auditoria podem ser acessados usando os métodos a seguir.
- A ferramenta de pesquisa de log de auditoria no portal de conformidade do Microsoft Purview.
- O cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online.
- A API da Atividade de Gestão do Office 365.
Ferramenta de pesquisa de log de auditoria
Vá para o portal de conformidade do Microsoft Purview e entre.
No painel esquerdo do portal de conformidade, selecione Auditoria.
Observação
Se você não vir Auditoria no painel esquerdo, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade do Microsoft Purview para obter informações sobre permissões.
Na guia Nova Pesquisa , defina Tipo de registro como OMEPortal e configure os outros parâmetros.
Para obter mais informações sobre como exibir os logs de auditoria no portal de conformidade do Microsoft Purview, confira Atividades de log de auditoria.
Pesquisar log de auditoria unificada no PowerShell
Para acessar o Log de Auditoria Unificada usando o PowerShell, primeiro abra uma janela do PowerShell e conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.
cmdlet Search-UnifiedAuditLog
O cmdlet Search-UnifiedAuditLog é um comando do PowerShell que pode ser usado para pesquisar o Office 365 Log de Auditoria Unificada. O Log de Auditoria Unificada é um registro da atividade de usuário e administrador em Office 365 que pode ser usado para acompanhar eventos. Para obter práticas recomendadas sobre como usar esse cmdlet, consulte Melhores Práticas para usar o Search-UnifiedAuditLog.
Para extrair os eventos OMEPortal do Log de Auditoria Unificada usando o PowerShell, você pode usar o comando a seguir. Isso pesquisará o Log de Auditoria Unificada para o intervalo de datas especificado e retornará todos os eventos com o tipo de registro "OMEPortal". Os resultados serão exportados para um arquivo CSV no caminho especificado.
Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>
A seguir está um exemplo de evento OMEPortal do PowerShell, com mensagem de abertura na atividade do portal de mensagens criptografadas.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:00:59 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : MessageAccess
AuditData : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 6
ResultCount : 7
Identity : a3500d45-6ab3-4971-a762-a01a846015d0
IsValid : True
ObjectState : Unchanged
Use o comando a seguir para pesquisar especificamente o cenário em que o usuário exibe um anexo. Um exemplo do resultado do cmdlet do PowerShell também é mostrado abaixo.
Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)
Veja a seguir um exemplo do evento AipSensitivityLabelAction do PowerShell, com o rótulo de confidencialidade atualizado.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:04:09 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : AttachmentReview
AuditData : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 4
ResultCount : 7
Identity : ef29c387-c81b-4812-9020-90b378d92cde
IsValid : True
ObjectState : Unchanged
As outras operações que podem ser pesquisadas especificamente no OMEPortal incluem AttachmentDownload, AuthenticationRequest, MessageAccess e MessageForward.
Atributos do evento OMEPortal
A tabela a seguir contém informações relacionadas a eventos OMEPortal.
| Evento | Tipo | Descrição |
|---|---|---|
| Atividade | Cadeia de caracteres | O tipo de atividade para o log de auditoria. Para OMEPortal, as operações podem incluir: – AttachmentDownload - AttachmentReview -Authenticaterequest - MessageAccess - MessageForward |
| AttachmentName | Cadeia de caracteres | Parte do AuditData. O nome do anexo na mensagem. |
| AuditData | Cadeia de caracteres | Os detalhes do log sobre a atividade OMEPortal. |
| AuthenticationMethod | Cadeia de caracteres | Parte do AuditData. O tipo de autenticação usada para fazer logon no portal. Os valores são: -OTP -Yahoo -Microsoft |
| AuthenticationStatus | Duplo | O status da autenticação. 0 = êxito 1= falha |
| CreationTime | Data/hora | A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário realizou a atividade. |
| Id | GUID | Identificador exclusivo de um registro de auditoria. |
| MessageId | Cadeia de caracteres | A ID da mensagem. |
| Operação | Cadeia de caracteres | O mesmo valor da atividade. |
| OperationProperties | Cadeia de caracteres | Parte do AuditData. Contém o assunto de email. |
| Destinatário | Cadeia de caracteres | Parte do AuditData. O endereço de email do usuário que acessa a mensagem no portal de mensagens criptografadas. |
| RecordType | Duplo | O tipo de operação indicado pelo registro. 154 representa um registro OMEPortal. |
| ResultsStatus | Cadeia de caracteres | A operação foi bem-sucedida ou uma falha. |
| Remetente | Cadeia de caracteres | Parte do AuditData. O endereço de email do usuário que enviou a mensagem criptografada. |
| Workload | Cadeia de caracteres | Troque para indicar email no portal de mensagens criptografadas. |
| UserId | Cadeia de caracteres | O UPN (Nome da Entidade de Usuário) do usuário em sua organização que enviou o email criptografado a ação que resultou no registro sendo registrado. |