Descrever a auditoria no Microsoft Purview

  • 4 minutos

As soluções de auditoria no Microsoft Purview ajudam as organizações a responder com eficácia a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Milhares de operações de usuário e administrador executadas em dezenas de serviços e soluções do Microsoft 365 e também o Security Copilot (se habilitado) são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os registros de auditoria desses eventos podem ser pesquisados por operações de segurança, administradores de TI, equipes de risco interno e investigadores legais e de conformidade em sua organização. Esse recurso fornece visibilidade sobre as atividades realizadas em sua organização do Microsoft 365.

O Microsoft Purview fornece duas soluções de auditoria:

  • Auditoria (Padrão)
  • Auditoria (Premium)

Auditoria (Padrão)

A auditoria (Padrão) está ativada por padrão para todas as organizações com a assinatura apropriada e disponível para usuários com as permissões apropriadas. Quando uma atividade auditada é executada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria da sua organização. Na Auditoria (Padrão), os registros são mantidos por 180 dias. Você pode recuperar logs de auditoria que ocorrem na maioria dos serviços do Microsoft 365 em sua organização usando os seguintes métodos:

  • A ferramenta de pesquisa de log de auditoria no portal Microsoft Purview.
  • A API de Atividade de Gerenciamento do Office 365
  • O cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online

Depois de pesquisar o log de auditoria, você pode exportar os registros de auditoria retornados pela pesquisa para um arquivo CSV, permitindo análises adicionais usando o Microsoft Excel ou o Excel Power Query.

Auditoria (Premium)

A Auditoria (Premium) baseia-se nos recursos da Auditoria (Padrão), fornecendo políticas de retenção de log de auditoria, retenção mais longa de registros de auditoria, insights inteligentes de alto valor e maior acesso de largura de banda à API de Atividade de Gerenciamento do Office 365.

  • Políticas de retenção de log de auditoria. Você pode criar políticas personalizadas de retenção de log de auditoria para reter registros de auditoria por períodos mais longos, até um ano (e até 10 anos para usuários com licença de complemento necessária).
  • Maior retenção de registros de auditoria. Os registros de auditoria do Microsoft Entra ID, Exchange, OneDrive e SharePoint são mantidos por um ano por padrão. Os registros de auditoria para todas as outras atividades são retidos por 180 dias por padrão, ou você pode usar políticas de retenção de log de auditoria para configurar períodos de retenção mais longos.
  • Auditoria (Premium) insights inteligentes. Os registros de auditoria para insights inteligentes podem ajudar sua organização a conduzir investigações forenses e de conformidade, fornecendo visibilidade a eventos como quando itens de email foram acessados ou quando itens de email foram respondidos e encaminhados, ou quando e o que um usuário pesquisou no Exchange Online e no SharePoint Online. Esses insights inteligentes podem ajudá-lo a investigar possíveis violações e determinar o escopo do comprometimento.
  • Maior largura de banda para a API de Atividade de Gerenciamento do Office 365. A Auditoria (Premium) fornece às organizações mais largura de banda para acessar logs de auditoria por meio da API de Atividade de Gerenciamento do Office 365.

Licenciamento

O licenciamento para Auditoria (Padrão) ou Auditoria (Premium) requer a assinatura apropriada no nível da organização e o licenciamento correspondente por usuário. Para obter informações adicionais sobre os requisitos de licenciamento, visite a seção Saiba mais na unidade Resumo e recursos.

Log de auditoria no Microsoft Purview for Security Copilot

O recurso de log de auditoria no Security Copilot usa o Microsoft Purview para processar e armazenar ações administrativas, ações do usuário e respostas do Copilot. Isso inclui dados de quaisquer integrações Microsoft e não Microsoft.

No portal do Microsoft Security Copilot (a experiência autônoma), os proprietários do Copilot podem optar por permitir que o Microsoft Purview acesse, processe, copie e armazene dados de clientes de seus serviços do Security Copilot. Depois que esse recurso estiver habilitado no Copilot, se sua organização já estiver usando o Microsoft Purview, nenhuma outra ação será necessária. O log de auditoria é ativado por padrão para organizações do Microsoft 365. No entanto, ao configurar uma nova organização do Microsoft 365, você deve verificar o status de auditoria da sua organização. Se sua organização ainda não estiver usando o Microsoft Purview, o log de auditoria precisará ser provisionado. Consulte Ativar ou desativar a auditoria para saber mais.

O Microsoft Purview armazena os dados do cliente na região onde os dados do Microsoft 365 estão armazenados. Consulte Privacidade e segurança de dados no Microsoft Security Copilot para saber mais.