Registro de auditoria do O365: 15 coisas que você precisa saber

Este artigo descreve a visão geral do log de auditoria do O365 e seus recursos para rastrear usuários e atividades administrativas no locatário do Microsoft 365, como alterações feitas nas configurações de locatário do Exchange Online e SharePoint Online e alterações feitas por usuários em documentos e outros itens. Os administradores podem usar as informações de auditoria disponíveis no Microsoft 365 para cumprir as obrigações de conformidade.

1 Auditoria de caixa de correio

1.1 Verifique se a auditoria de caixa de correio está ativada por padrão

1.2 Ações de caixa de correio para caixas de correio de grupo do Microsoft 365

1.3 Desativar a auditoria de caixa de correio por padrão

1.4 Registro de auditoria

1.5 Ativar a auditoria

1.5.1 Use o PowerShell para ativar a auditoria

1.6 Habilitar auditoria de caixa de correio

1.7 Desabilitar a auditoria de caixa de correio para caixas de correio específicas

2 Relatórios de auditoria do Exchange Online

3 logs de auditoria do O365 powershell

4 Como exibir relatórios de log de auditoria no SharePoint Online?

5 API de logs de auditoria do O365

6 Resumo

Auditoria de caixa de correio

A Microsoft está ativando o log de auditoria de caixa de correio por padrão para todas as organizações. Isso significa que determinadas ações executadas por proprietários, delegados e administradores de caixa de correio são registradas automaticamente e os registros de auditoria de caixa de correio correspondentes estarão disponíveis quando você pesquisá-los no log de auditoria de caixa de correio. Antes de a auditoria de caixa de correio ser ativada por padrão, você precisava habilitá-la manualmente para cada caixa de correio de usuário em sua organização.

Aqui estão alguns benefícios da auditoria de caixa de correio ativada por padrão:

• A auditoria é habilitada automaticamente quando você cria uma nova caixa de correio. Você não precisa habilitá-lo manualmente para novos usuários.
• Você não precisa gerenciar as ações de caixa de correio auditadas. Um conjunto predefinido de ações de caixa de correio é auditado por padrão para cada tipo de logon (Admin, Delegate e Owner).
• Quando a Microsoft lança uma nova ação de caixa de correio, a ação pode ser adicionada automaticamente à lista de ações de caixa de correio que são auditadas por padrão (sujeito ao usuário ter a licença apropriada). Isso significa que você não precisa monitorar a adição de novas ações nas caixas de correio.
• Você tem uma política de auditoria de caixa de correio consistente em toda a sua organização (porque está auditando as mesmas ações para todas as caixas de correio).

Verifique se a auditoria de caixa de correio está ativada por padrão

Para verificar se a auditoria de caixa de correio por padrão está ativada para sua organização, execute o seguinte comando no  Exchange Online PowerShell :

Get-OrganizationConfig | Auditoria FL Desativada

O valor  False  indica que a auditoria de caixa de correio ativada por padrão está habilitada para a organização. Esse valor organizacional padrão substitui a configuração de auditoria de caixa de correio em caixas de correio específicas. Por exemplo, se a auditoria de caixa de correio estiver desabilitada para uma caixa de correio (a  propriedade AuditEnabled  for  False  na caixa de correio), as ações de caixa de correio padrão ainda serão auditadas para a caixa de correio, porque a auditoria de caixa de correio ativada por padrão está habilitada para a organização.

Para manter a auditoria de caixa de correio desabilitada para caixas de correio específicas, configure o desvio de auditoria de caixa de correio para o proprietário da caixa de correio e outros usuários que receberam acesso delegado à caixa de correio. Para obter mais informações, consulte o  log de auditoria de caixa de correio Ignorar .

Ações de caixa de correio para caixas de correio de grupo do Microsoft 365

A auditoria de caixa de correio ativada por padrão traz o log de auditoria de caixa de correio para as caixas de correio do Microsoft 365 Group, mas você não pode personalizar o que está sendo registrado (você não pode adicionar ou remover ações de caixa de correio registradas para qualquer tipo de logon). Lembre-se, um administrador com permissão de acesso total a uma caixa de correio de grupo do Microsoft 365 é considerado um delegado.

Desativar a auditoria de caixa de correio por padrão

Você pode desativar a auditoria de caixa de correio por padrão para toda a organização executando o seguinte comando no Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

A desativação da auditoria de caixa de correio por padrão tem os seguintes resultados:

• A auditoria de caixa de correio está desabilitada para sua organização.
• A partir do momento em que você desativou a auditoria de caixa de correio por padrão, nenhuma ação de caixa de correio é auditada, mesmo se a auditoria estiver habilitada em uma caixa de correio (a  propriedade AuditEnabled  na caixa de correio é  True ).
• A auditoria de caixa de correio não está habilitada para novas caixas de correio e a configuração da  propriedade AuditEnabled  em uma caixa de correio nova ou existente como  True  será ignorada.
• Quaisquer configurações de associação de desvio de auditoria de caixa de correio (configuradas usando o  cmdlet Set-MailboxAuditBypassAssociation  ) são ignoradas.
• Os registros de auditoria de caixa de correio existentes são retidos até que o limite de idade do log de auditoria do registro expire.

Registro de auditoria

Para conformidade no Microsoft 365, o log de auditoria é provavelmente a ferramenta mais importante de todas. Ele rastreia cada ação de usuário e conta em todos os serviços do Microsoft 365. Você pode executar relatórios sobre exclusões, compartilhamentos, downloads, edições, leituras etc., para todos os usuários e todos os produtos. Você também pode configurar alertas personalizados para receber notificações sempre que ocorrerem atividades específicas.

Por toda a sua utilidade, o mais incrível é que não está ativado por padrão.

Pode ser frustrante quando você se depara com uma consulta ou problema que poderia ser facilmente resolvido se você tivesse acesso aos logs, apenas para descobrir que eles nunca foram ativados em primeiro lugar. Veja como configurá-lo em sua própria organização.

Ativar a auditoria

Você (ou outro administrador) deve ativar o log de auditoria antes de começar a pesquisar o log de auditoria.

• Acesse o portal de conformidade do Microsoft Purview .
• No painel de navegação esquerdo do portal de conformidade, clique em  Auditoria .
• Se a auditoria não estiver ativada para sua organização, um banner será exibido solicitando que você comece a registrar a atividade do usuário e do administrador.

• Clique no   banner Iniciar a gravação do usuário e da atividade do administrador . Pode levar até 60 minutos para que a alteração entre em vigor.

Use o PowerShell para ativar a auditoria

• Conecte-se ao Exchange Online via PowerShell como administrador .
• Verifique se o locatário do Microsoft 365 está pronto para o log de auditoria unificado habilitando a personalização da organização:

Enable-OrganizationPersonalização

Execute o seguinte comando para habilitar o log de auditoria unificado:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Ativar auditoria de caixa de correio

Para habilitar a auditoria para uma única caixa de correio, use o comando do PowerShell:

Set-Mailbox -Identity "Test 12" -AuditEnabled $true

Para habilitar a auditoria para todas as caixas de correio em sua organização, use o comando do PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled$true

Para confirmar se você habilitou ou não a auditoria com sucesso, você deve executar o comando “ Get-Mailbox ” no Exchange Online. O valor “ True ” da propriedade AuditEnabled confirma que você habilitou com êxito o log de auditoria de caixa de correio.

Desabilitar a auditoria de caixa de correio para caixas de correio específicas

Atualmente, você não pode desabilitar a auditoria de caixa de correio para caixas de correio específicas quando a auditoria de caixa de correio por padrão está ativada em sua organização. Por exemplo, a configuração da   propriedade de caixa de correio  AuditEnabled como False  é ignorada.

No entanto, você ainda pode usar o  cmdlet Set-MailboxAuditBypassAssociation  no PowerShell do Exchange Online para impedir que  todas e quaisquer  ações de caixa de correio dos usuários especificados sejam registradas, independentemente de onde as ações ocorram. Por exemplo:

• As ações do proprietário da caixa de correio executadas pelos usuários ignorados não são registradas.
• As ações de delegado executadas pelos usuários ignorados nas caixas de correio de outros usuários (incluindo caixas de correio compartilhadas) não são registradas.
• As ações administrativas realizadas pelos usuários ignorados não são registradas.

Para ignorar o log de auditoria de caixa de correio para um usuário específico:

Set-MailboxAuditBypassAssociation -Identity “Mailbox” -AuditByPassEnabled $true

Para verificar se a auditoria foi ignorada para o usuário especificado, execute o seguinte comando:

Get-MailboxAuditBypassAssociation “Mailbox” | fl auditoriab*

O valor  True  indica que o log de auditoria de caixa de correio é ignorado para o usuário.

Relatórios de auditoria do Exchange Online

Os relatórios de auditoria do Exchange Online incluem detalhes sobre o acesso à caixa de correio e as alterações feitas pelos administradores no locatário do Exchange Online de uma organização.

• Executar um relatório de acesso à caixa de correio de não proprietário : exibe a lista de caixas de correio que foram acessadas por alguém que não seja o proprietário da caixa de correio. O relatório contém informações sobre quem acessou a caixa de correio, as ações realizadas na caixa de correio e se as ações foram bem-sucedidas ou não.
• Exportar logs de auditoria de caixa de correio : os logs de auditoria de caixa de correio contêm informações sobre acesso e ações em uma caixa de correio realizadas por um usuário que não seja o proprietário da caixa de correio. Os administradores podem especificar caixas de correio junto com um intervalo de datas para gerar relatórios. Os logs são exportados em XML, anexados a uma mensagem e enviados a usuários específicos conforme determinado pelo administrador.
• Executar um relatório de grupo de função de administrador : O grupo de função de administrador é usado para atribuir privilégios administrativos a usuários. Esses privilégios permitem que os usuários executem tarefas administrativas, como redefinir senhas, criar ou modificar caixas de correio e atribuir privilégios de administrador a outros usuários. O relatório do grupo de funções do administrador mostra as alterações nos grupos de funções, incluindo a adição ou remoção de membros.
• Exibir o log de auditoria do administrador : o relatório do log de auditoria do administrador lista todas as funções de criação, atualização e exclusão executadas por administradores no Exchange Online. As entradas de log fornecem informações sobre qual cmdlet foi executado, quais parâmetros foram usados, quem executou o cmdlet e quais objetos foram afetados.
• Exporte o log de auditoria do administrador : o log de auditoria do administrador registra ações administrativas específicas, como criar, atualizar e excluir no Exchange Online. Os resultados do log são exportados para XML e os administradores podem optar por enviar esse log para um conjunto de usuários.
• Exibir e exportar o log de auditoria do administrador externo : contém detalhes das ações executadas por administradores externos. As entradas fornecem informações sobre qual cmdlet foi executado, quais parâmetros foram usados ​​e quaisquer ações que criam, modificam ou excluem objetos no Exchange Online.

Powershell de logs de auditoria do O365

Para pesquisar uma auditoria de caixa de correio:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021

Para exportar os resultados para um arquivo csv:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Para visualizar e exportar logs com base em operações :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Para visualizar e exportar logs com base nos tipos de logon :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Para pesquisar o log de auditoria unificado:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

Para exportar determinadas propriedades do log de auditoria unificado para um arquivo CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Para visualizar as alterações nas regras de transporte :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 31/01/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

Para visualizar as alterações dos filtros de spam :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

Para verificar as alterações do filtro de conexão :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

Como exibir relatórios de log de auditoria no SharePoint Online?

A auditoria de seu ambiente do SharePoint Online ajuda você a se manter seguro e a atender aos requisitos das conformidades regulatórias. Para exibir os relatórios de auditoria que sua ferramenta nativa do SharePoint Online fornece:

• Faça logon no SharePoint Online.
• Clique no ícone de configuração de configurações e, em seguida, clique em configurações do site.
• Clique em Relatórios de log de auditoria na seção Administração do Conjunto de Sites.
• Selecione o relatório (como Exclusão) desejado na página Exibir relatórios de auditoria.
• Digite uma URL ou navegue até a biblioteca onde deseja salvar o relatório e clique em OK.
• Na página Operação Concluída com Êxito, selecione Clique aqui para visualizar este relatório.

Os relatórios de log de auditoria do SharePoint permitem que você analise todas as atividades em seu ambiente do SharePoint.

API de logs de auditoria do O365

A Microsoft fornece serviços de relatório que permitem que os administradores obtenham informações transacionais agregadas sobre seu locatário do Microsoft 365. A API de atividade de gerenciamento do Microsoft 365 usa um design RESTful padrão do setor e OAuth v2 para autenticação, o que facilita começar a experimentar a recuperação de dados e a ingestão em ferramentas e aplicativos de visualização.

A API fornece um feed de dados que inclui informações sobre usuário, administrador, operações e atividade de segurança no Microsoft 365. Os dados podem ser mantidos para fins regulatórios ou combinados com dados de log adquiridos de uma infraestrutura local ou de outras fontes para criar um solução de monitoramento para operações, segurança e conformidade em toda a empresa.

Atualmente, a API de atividade de gerenciamento fornece uma visão abrangente de mais de 150 tipos de transação do SharePoint Online, OneDrive for Business, Exchange Online e Azure AD. A API fornece um esquema de auditoria consistente com mais de 10 campos que são comuns em todos os serviços.

Isso permite que as organizações façam conexões fáceis entre eventos e permite novas maneiras de raciocinar sobre os dados. Dezenas de fornecedores de software independentes (ISVs) fizeram parceria com a Microsoft e criaram soluções baseadas na API. Algumas soluções são focadas exclusivamente nos dados do Microsoft 365, enquanto outras fornecem a capacidade de ingerir dados de vários provedores de nuvem e sistemas locais para criar uma visão unificada de todas as operações, segurança e atividades relacionadas à conformidade. Para obter mais informações, consulte a referência da API de atividade de gerenciamento do Microsoft 365 .

Leia também : Microsoft Cloud App Security: o guia definitivo

Resumo

O log de auditoria do O365 inclui vários recursos na Central de segurança e métodos programáticos para recuperar e analisar dados de log usando o PowerShell remoto e uma API REST de serviços Web. Os administradores podem usar os recursos de auditoria no Microsoft Microsoft 365 para rastrear as alterações feitas nos principais itens de configuração de locatário e serviço, documentos e outros itens.