Explorar as soluções de Auditoria do Microsoft Purview

  • 6 minutos

As soluções de auditoria do Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder com eficácia a:

  • eventos de segurança
  • investigações forenses
  • investigações internas
  • obrigações de conformidade

Milhares de operações de usuário e de administrador realizadas em dezenas de serviços e soluções do Microsoft 365 são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os registros de auditoria desses eventos podem ser pesquisados na sua organização por operadores de segurança, administradores de TI, equipes de risco internas e investigadores legais e de conformidade. Esse recurso fornece visibilidade das atividades realizadas em uma organização do Microsoft 365.

Soluções de auditoria do Microsoft Purview

O Microsoft Purview fornece duas soluções de auditoria: Auditoria (Padrão) e Auditoria (Premium).

Diagrama mostrando as principais funcionalidades de Auditoria (Standard) e Auditoria (Premium).

Auditoria (Padrão)

A Auditoria do Microsoft Purview (Standard) fornece às organizações a capacidade de registrar em log e pesquisar atividades auditadas. Também permite que uma organização impulsione suas investigações forenses, de TI, de conformidade e legais.

  • Habilitada por padrão. A Auditoria (Padrão) é ativada por padrão para todas as organizações com a assinatura apropriada. Isso significa que os registros das atividades auditadas serão capturados e pesquisáveis. A única configuração requerida é atribuir as permissões necessárias para acessar a ferramenta de pesquisa de log de auditoria (e o cmdlet correspondente) e garantir que os usuários tenham a licença correta para os recursos de Auditoria do Microsoft Purview (Premium).

  • Milhares de eventos de auditoria pesquisáveis. As organizações podem pesquisar uma ampla variedade de atividades auditadas que ocorrem na maioria dos serviços Microsoft 365 em uma organização. Para obter uma lista parcial das atividades que podem ser pesquisadas, consulte Atividades auditadas. Para obter uma lista dos serviços e recursos que oferecem suporte às atividades auditadas, consulte Tipo de registro de log de Auditoria.

  • Ferramenta de pesquisa de auditoria no portal de conformidade do Microsoft Purview. As organizações podem usar a ferramenta de pesquisa de log de auditoria no portal de conformidade do Microsoft Purview para pesquisar registros de auditoria. Você pode pesquisar por:

    • atividades específicas
    • atividades executadas por usuários específicos
    • atividades que ocorreram dentro de um intervalo de datas

    Captura de tela da ferramenta de Pesquisa de log de auditoria no portal de conformidade do Microsoft Purview.

  • Search-UnifiedAuditLog cmdlet. As organizações também podem usar o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online (o cmdlet subjacente para a ferramenta de pesquisa) para pesquisar eventos de auditoria ou para usar em um script. Para mais informações, confira:

  • Exportar registros de auditoria para um arquivo CSV. Depois que uma organização executa a ferramenta de Pesquisa de log de auditoria no portal de conformidade do Microsoft Purview, ela pode exportar os registros de auditoria retornados pela pesquisa para um arquivo CSV. Isso permite que você use a classificação e o filtro do Microsoft Excel em diferentes propriedades do registro de auditoria. Você também pode usar a funcionalidade de transformação do Power Query para Excel para dividir cada propriedade no objeto JSON AuditData em sua própria coluna. Esse processo permite que você exiba e compare com eficiência dados semelhantes para diferentes eventos.

  • Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365. Um terceiro método para acessar e recuperar registros de auditoria é usar a API da Atividade de Gestão do Office 365. Esta API permite que as organizações mantenham os dados de auditoria durante períodos mais longos do que os 180 dias predefinidos. Ela também permite importar seus dados de auditoria para uma solução SIEM. Para mais informações, confira referência da API da Atividade de Gestão do Office 365.

  • Retenção do registo de auditoria de 180 dias. Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria da organização. No Auditoria do Microsoft Purview (Standard), os registos são retidos durante 180 dias. Dessa forma, as organizações podem pesquisar atividades que ocorreram nos últimos três meses.

Auditoria (Premium)

A Auditoria (Premium) se baseia nos recursos da Auditoria (Padrão), fornecendo políticas de retenção de log de auditoria, retenção mais longa de registros de auditoria, eventos cruciais de alto valor e acesso de maior largura de banda para a API da Atividade de Gestão do Office 365.

  • Políticas de retenção de log de Auditoria. A Auditoria (Premium) permite que as organizações criem políticas de retenção de log de auditoria personalizadas para reter registros de auditoria por até um ano (e até 10 anos para usuários com licença de complemento necessária). As organizações podem criar políticas de retenção de log para manter registros de auditoria com base em:

    • o serviço em que as atividades auditadas ocorreram.
    • atividades auditadas específicas.
    • o usuário que executou uma atividade auditada.

  • Retenção mais longa de registros de auditoria. Por predefinição, os registos de auditoria do Exchange, sharePoint e Microsoft Entra são retidos por um ano. Por predefinição, os registos de auditoria de todas as outras atividades são retidos durante 180 dias. Com a Auditoria (Premium), as organizações podem usar políticas de retenção de log de auditoria para configurar períodos de retenção mais longos.

  • Eventos de Auditoria (Premium) cruciais e de alto valor. Registros de auditoria para eventos cruciais podem ajudar uma organização a realizar investigações forenses e de conformidade. Fazem isso fornecendo visibilidade a eventos como:

    • quando os itens de email foram acessados.
    • quando os itens de email foram respondidos e encaminhados.
    • quando e o que um usuário pesquisou no Exchange Online e no SharePoint Online.

    Esses eventos cruciais podem ajudar as organizações a investigar possíveis violações e determinar o escopo do comprometimento.

  • Maior largura de banda para a API da Atividade de Gestão do Office 365. A Auditoria (Premium) fornece às organizações mais largura de banda para acessar os logs de auditoria por meio da API da Atividade de Gestão do Office 365. Todas as organizações que têm Auditoria (Standard) ou Auditoria (Premium) são inicialmente alocadas uma linha de base de 2.000 solicitações por minuto. Esse limite aumentará dinamicamente de acordo com a contagem de assentos de uma organização e de sua assinatura de licenciamento. Isso faz com que as organizações com Auditoria (Premium) obtenham cerca de duas vezes a largura de banda das organizações com Auditoria (Standard).

A Auditoria do Microsoft Purview (Premium) é examinada com mais detalhes em um módulo posterior.

Comparação dos principais recursos

A tabela a seguir compara os principais recursos disponíveis na Auditoria (Padrão) e Auditoria (Premium). Todas as funcionalidades da Auditoria (Padrão) estão incluídas na Auditoria (Premium).

Recursos Auditoria (Padrão) Auditoria (Premium)
Habilitada por padrão X X
Milhares de eventos de auditoria pesquisáveis X X
Ferramenta de Pesquisa de auditoria no portal de conformidade do Microsoft Purview X X
cmdlet Search-UnifiedAuditLog X X
Exportar registros de auditoria para arquivo CSV X X
Acesso a registros de auditoria por meio da API de Atividade de Gerenciamento do Office 365 (1) X X
Retenção do registo de auditoria de 180 dias X X
Retenção de log de auditoria de um ano X
Retenção de log de auditoria de 10 anos (2) X
Políticas de retenção de log de Auditoria X
Eventos cruciais e de alto valor X

Notas de rodapé:

(1) A Auditoria (Premium) inclui maior acesso de largura de banda à API de Atividade de Gerenciamento do Office 365, que fornece acesso mais rápido aos dados de auditoria.

(2) Além do licenciamento necessário para a Auditoria (Premium), um usuário deve receber uma licença de complemento de Retenção de Log de Auditoria de 10 anos para manter seus registros de auditoria por 10 anos.

Verificação de conhecimentos

Escolha a melhor resposta para as perguntas abaixo.

Verifique seu conhecimento

1.

Na Auditoria do Microsoft Purview (Standard), por quanto tempo os registros são mantidos no log de auditoria?