Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As soluções de auditoria do Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder com eficácia a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. O registo de auditoria unificado da sua organização captura, regista e retém milhares de operações de utilizadores e administradores realizadas em dezenas de serviços e soluções da Microsoft. As operações de segurança, os administradores de TI, as equipas de risco interno e os investigadores legais e de conformidade na sua organização podem procurar registos de auditoria para estes eventos. Esta capacidade fornece visibilidade sobre as atividades realizadas em toda a sua organização.
Comparação dos principais recursos
A tabela a seguir compara os principais recursos disponíveis na Auditoria (Padrão) e Auditoria (Premium). A auditoria (Premium) inclui todas as funcionalidades de Auditoria (Standard).
| Recursos | Auditoria (Padrão) | Auditoria (Premium) |
|---|---|---|
| Habilitada por padrão |
|
|
| Milhares de eventos de auditoria pesquisáveis |
|
|
| Ferramenta de pesquisa de auditoria no portal do Microsoft Purview |
|
|
| API do Graph de Pesquisa de Auditoria |
|
|
| cmdlet Search-UnifiedAuditLog |
|
|
| Exportar registros de auditoria para arquivo CSV |
|
|
| Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365 1 |
|
|
| Retenção do registo de auditoria de 180 dias |
|
|
| Retenção de registo de auditoria até 1 ano |
|
|
| Retenção de log de auditoria por 10 ano 2 |
|
|
| Políticas de retenção de log de Auditoria |
|
|
| Informações inteligentes |
|
Observação
1 A Auditoria (Premium) inclui maior largura de banda de acesso à API da Atividade de Gestão do Office 365, que fornece acesso mais rápido aos dados de auditoria.
2 Para além do licenciamento necessário para Auditoria (Premium) (descrito na secção seguinte), tem de ser atribuída a um utilizador uma licença de suplemento retenção de registo de auditoria de 10 anos para manter os registos de auditoria durante 10 anos.
Auditoria (Padrão)
Auditoria do Microsoft Purview (Standard) permite-lhe registar e procurar atividades auditadas para apoiar as suas investigações forenses, de TI, de conformidade e legais.
Habilitada por padrão. A auditoria (Standard) está ativada por predefinição para todas as organizações com a subscrição adequada. Essa configuração captura e faz registos pesquisáveis para atividades auditadas. Só tem de atribuir as permissões necessárias para aceder à ferramenta de pesquisa de registos de auditoria (e ao cmdlet correspondente) e garantir que os utilizadores têm a licença certa para as funcionalidades Auditoria do Microsoft Purview (Premium).
Milhares de eventos de auditoria pesquisáveis. Pode procurar uma vasta gama de atividades auditadas que ocorrem na maioria dos serviços Microsoft na sua organização. Para obter uma lista das atividades que pode procurar, veja Atividades de registo de auditoria. Para obter uma lista dos serviços e recursos que oferecem suporte às atividades auditadas, consulte Tipo de registro de log de Auditoria.
Ferramenta de pesquisa de auditoria no portal do Microsoft Purview. Utilize a ferramenta pesquisa de registos de auditoria no portal para procurar registos de auditoria. Pode procurar atividades específicas, atividades realizadas por utilizadores específicos e atividades que ocorreram dentro de um intervalo de datas.
Auditar API do Graph de Pesquisa. O Microsoft Graph oferece um ponto final de API unificado para aceder a dados de vários serviços cloud da Microsoft numa única resposta. O API do Graph pesquisa de auditoria permite-lhe aceder programaticamente à experiência de pesquisa de auditoria através do Microsoft Graph.
Search-UnifiedAuditLog cmdlet. Você também pode usar o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online (o cmdlet subjacente para a ferramenta de pesquisa) para pesquisar eventos de auditoria ou para usar em um script. Para mais informações, confira:
Exportar registros de auditoria para um arquivo CSV. Depois de executar a ferramenta de pesquisa de registos de auditoria no portal do Microsoft Purview, pode exportar os registos de auditoria devolvidos pela pesquisa para um ficheiro CSV. Este processo permite-lhe utilizar o Microsoft Excel para ordenar e filtrar propriedades de registo de auditoria diferentes. Você também pode usar a funcionalidade de transformação do Power Query para Excel para dividir cada propriedade no objeto JSON AuditData em sua própria coluna. Este processo permite-lhe ver e comparar dados semelhantes de forma eficaz para eventos diferentes. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.
Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365. Um terceiro método para acessar e recuperar registros de auditoria é usar a API da Atividade de Gestão do Office 365. Este método permite que as organizações retenham os dados de auditoria por períodos mais longos do que os 180 dias predefinidos e permite-lhes importar os dados de auditoria para uma solução SIEM. Para mais informações, confira referência da API da Atividade de Gestão do Office 365.
Retenção do registo de auditoria de 180 dias. Quando um utilizador ou administrador executa uma atividade auditada, o sistema gera um registo de auditoria e armazena-o no registo de auditoria da sua organização. Em Auditoria (Standard), o sistema retém registos durante 180 dias, o que significa que pode procurar atividades que ocorreram nos últimos seis meses.
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.
Auditoria (Premium)
Importante
A Pesquisa Clássica foi descontinuada a 30 de novembro de 2023. A Nova Pesquisa inclui melhoramentos, como tempos de pesquisa mais rápidos, opções de pesquisa adicionais, capacidade de guardar pesquisas e muito mais.
A auditoria (Premium) baseia-se nas capacidades da Auditoria (Standard) ao fornecer políticas de retenção de registos de auditoria, retenção mais longa de registos de auditoria, informações inteligentes de alto valor e acesso de largura de banda superior à API de Atividade de Gestão de Office 365.
- Políticas de retenção de log de Auditoria. Crie políticas de retenção de registos de auditoria personalizadas para reter registos de auditoria por períodos mais longos, até um ano (e até 10 anos para os utilizadores com a licença de suplemento necessária). Crie uma política para reter registos de auditoria com base no serviço onde ocorrem as atividades auditadas, atividades auditadas específicas ou o utilizador que realiza uma atividade auditada.
- Retenção mais longa de registros de auditoria. Microsoft Entra registos de auditoria do ID, Exchange, OneDrive e SharePoint são retidos por um ano por predefinição. Por predefinição, os registos de auditoria de todas as outras atividades são retidos durante 180 dias ou pode utilizar políticas de retenção de registos de auditoria para configurar períodos de retenção mais longos.
- Informações inteligentes de auditoria (Premium). Os registos de auditoria de informações inteligentes podem ajudar a sua organização a realizar investigações forenses e de conformidade ao fornecer visibilidade para eventos como quando os itens de correio foram acedidos ou quando os itens de correio foram respondidos e reencaminhados, ou quando e o que um utilizador procurou no Exchange Online e no SharePoint Online. Estas informações inteligentes podem ajudá-lo a investigar possíveis violações e a determinar o âmbito do compromisso.
- Maior largura de banda para a API da Atividade de Gestão do Office 365. A Auditoria (Premium) fornece às organizações mais largura de banda para acessar os logs de auditoria por meio da API da Atividade de Gestão do Office 365. Apesar de todas as organizações (que têm Auditoria (Standard) ou Auditoria (Premium)) receberem inicialmente uma linha de base de 2000 pedidos por minuto, este limite aumenta dinamicamente consoante a contagem de lugares de uma organização e a respetiva subscrição de licenciamento. Esta alteração faz com que as organizações com Auditoria (Premium) obtenham cerca do dobro da largura de banda que as organizações com Auditoria (Standard).
Retenção a longo prazo de logs de auditoria
A auditoria (Premium) retém todos os registos de auditoria do Exchange, SharePoint e Microsoft Entra durante um ano. Esta retenção ocorre através de uma política de retenção de registo de auditoria predefinida que retém qualquer registo de auditoria que contenha o valor de AzureActiveDirectory, Exchange, OneDrive ou SharePoint, para a propriedade Carga de Trabalho (que indica o serviço em que a atividade ocorreu) durante um ano. Manter registos de auditoria por períodos mais longos pode ajudar nas investigações forenses ou de conformidade em curso. Para saber mais, confira a seção "Política de retenção de log de auditoria padrão" em Gerenciar políticas de retenção de log de auditoria.
Além das capacidades de retenção de um ano da Auditoria (Premium), também lançámos a capacidade de reter registos de auditoria durante 10 anos. A retenção de logs de auditoria por dez anos ajuda a dar suporte às investigações longas e a responder às obrigações normativas e legais.
Observação
Manter os registos de auditoria durante 10 anos requer uma licença adicional por suplemento por utilizador. Depois de atribuir esta licença a um utilizador e definir uma política de retenção de registo de auditoria de 10 anos adequada para esse utilizador, os registos de auditoria abrangidos por essa política começam a ser retidos durante o período de 10 anos. Esta política não é retroativa e não pode reter registos de auditoria que foram gerados antes da criação da política de retenção de registos de auditoria de 10 anos.
Políticas de retenção de log de Auditoria
Todos os registos de auditoria gerados por outros serviços e que a política de retenção de registo de auditoria predefinida não abrange são retidos durante 180 dias. Pode criar políticas de retenção de registos de auditoria personalizadas para reter outros registos de auditoria por períodos mais longos, até 10 anos. Você pode criar uma política para manter registros de auditoria com base em um ou mais dos seguintes critérios:
O serviço Microsoft onde ocorrem as atividades auditadas.
Atividades auditadas específicas.
O usuário que executa uma atividade auditada.
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias. Também pode especificar quanto tempo deve manter os registos de auditoria que correspondem à política e um nível de prioridade para que políticas específicas assumam prioridade sobre outras políticas. Qualquer política de retenção de registo de auditoria personalizada tem precedência sobre a política de retenção de auditoria predefinida se precisar de reter registos de auditoria do Exchange, sharePoint ou Microsoft Entra ID durante menos de um ano ou durante 10 anos para alguns ou todos os utilizadores na sua organização. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Importante
A duração do item de auditoria dos dados é determinada quando o pipeline de auditoria adiciona os dados e se baseia nas predefinições de licenciamento ou nas políticas de retenção aplicáveis. Quaisquer alterações às políticas de licenciamento ou retenção aplicáveis alteram o tempo de expiração dos dados de auditoria após a atualização. Estas alterações não afetam itens consolidados anteriormente.
Auditar propriedades da atividade (Premium)
A auditoria (Premium) ajuda as organizações a realizar investigações forenses e de conformidade ao fornecer acesso a eventos importantes, como quando os utilizadores acedem a itens de correio, respondem e reencaminham itens de correio e pesquisam no Exchange Online e no SharePoint Online. Esses eventos podem ajudá-lo a investigar possíveis violações e a determinar o escopo dos comprometimentos. Além destes eventos no Exchange e no SharePoint, outros serviços Microsoft incluem eventos importantes que exigem a atribuição de licenças de Auditoria (Premium) adequadas aos utilizadores. Atribua uma licença de Auditoria (Premium) aos utilizadores para que o sistema gere registos de auditoria quando efetuam estes eventos.
Estas atividades exigem que atribua aos utilizadores a licença de Auditoria (Premium) adequada. Atribua uma licença de Auditoria (Premium) aos utilizadores para que o sistema gere registos de auditoria quando efetuam estas atividades e propriedades.
A auditoria (Premium) fornece acesso às seguintes propriedades de atividade:
Exchange Online
| Atividade | Propriedade |
|---|---|
| MailItemsAccessed | SensitivityLabel |
Microsoft Teams
| Atividade | Propriedade |
|---|---|
| ChatCreated | AppAccessContext |
| ChatRetrieved | AppAccessContext |
| ChatUpdated | AppAccessContext |
| MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
| MessageCreatedNotification | AppAccessContext |
| MessageDeletedNotification | AppAccessContext |
| MessageHostedContentsListed | AppAccessContext |
| MessageHostedContentRead | AppAccessContext |
| Mensagens Listadas | AppAccessContext |
| MessageRead | AppAccessContext |
| MessageSent | AppAccessContext ParticipantingDomainInformation ParticipantInfo |
| MessageUpdated | ParticipantInfo AppAccessContext |
| MessageUpdatedNotification | AppAccessContext |
| SubscribedToMessages | AppAccessContext |
Acesso de alta largura de banda à API da Atividade de Gerenciamento do Office 365
As organizações que acedem aos registos de auditoria através da API de Atividade de Gestão de Office 365 enfrentaram limites de limitação ao nível do publicador. Este limite de limitação significava que, se um fabricante extraísse dados para vários clientes, todos esses clientes partilhavam o mesmo limite.
Com a Auditoria (Premium), este limite foi alterado de um limite ao nível do publicador para um limite ao nível do inquilino. Cada organização obtém agora a sua própria quota de largura de banda totalmente alocada para aceder aos respetivos dados de auditoria. A largura de banda não é um limite estático predefinido. Em vez disso, é modelado numa combinação de fatores, incluindo o número de lugares na organização. As organizações E5, A5 e G5 obtêm mais largura de banda do que as organizações não E5, não A5 e não G5.
Inicialmente, todas as organizações obtêm uma linha de base de 2000 pedidos por minuto. Este limite aumenta dinamicamente com base na contagem de lugares e na subscrição de licenciamento de uma organização. As organizações E5, A5 e G5 obtêm cerca do dobro da largura de banda que as organizações não E5, não A5 e não G5. Uma tampa na largura de banda máxima protege o estado de funcionamento do serviço.
Para obter mais informações, veja a secção Limitação da API na referência da API de Atividade de Gestão de Office 365.
Requisitos de licenciamento
Antes de começar, reveja os requisitos de subscrição para Auditoria (Standard) e Auditoria (Premium).
Treinamento
A formação da sua equipa de operações de segurança, administradores de TI e investigadores de conformidade nos conceitos básicos de Auditoria (Standard) e Auditoria (Premium) pode ajudar a sua organização a começar mais rapidamente a utilizar a auditoria para ajudar nas suas investigações. O Microsoft Purview fornece o seguinte recurso para ajudar estes utilizadores na sua organização a começar a auditar: Descrever as capacidades de Deteção de Dados Eletrónicos e auditoria do Microsoft Purview.