Saiba mais sobre soluções de auditoria no Microsoft Purview

As soluções de auditoria do Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder com eficácia a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Milhares de operações de usuário e de administrador realizadas em dezenas de serviços e soluções do Microsoft 365 são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os registros de auditoria para esses eventos podem ser pesquisados em sua organização por operadores de segurança, administradores de TI, equipes de risco internas e investigadores legais e de conformidade. Esse recurso fornece visibilidade das atividades realizadas em sua organização Microsoft 365.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Comparação dos principais recursos

A tabela a seguir compara os principais recursos disponíveis na Auditoria (Padrão) e Auditoria (Premium). Todas as funcionalidades da Auditoria (Padrão) estão incluídas na Auditoria (Premium).

Recursos Auditoria (Padrão) Auditoria (Premium)
Habilitada por padrão Suportado. Suportado.
Milhares de eventos de auditoria pesquisáveis Suportado. Suportado.
Ferramenta de pesquisa de auditoria no portal e no portal de conformidade do Microsoft Purview Suportado. Suportado.
cmdlet Search-UnifiedAuditLog Suportado. Suportado.
Exportar registros de auditoria para arquivo CSV Suportado. Suportado.
Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365 1 Suportado. Suportado.
Retenção de log de auditoria de 180 dias Suportado. Suportado.
Retenção de log de auditoria por 1 ano Suportado.
Retenção de log de auditoria por 10 ano 2 Compatível
Políticas de retenção de log de Auditoria Compatível
Insights inteligentes Suportado

Observação

1 A Auditoria (Premium) inclui maior largura de banda de acesso à API da Atividade de Gestão do Office 365, que fornece acesso mais rápido aos dados de auditoria.
2 Além do licenciamento necessário para Auditoria (Premium) (descrito na próxima seção), um usuário deve receber uma licença de complemento de retenção de log de auditoria de 10 anos para manter seus registros de auditoria por 10 anos.

Auditoria (Padrão)

A Auditoria do Microsoft Purview (Padrão) fornece a você a capacidade de registrar e pesquisar atividades auditadas e potencializar suas investigações forenses, de TI, de conformidade e legais.

  • Habilitada por padrão. A Auditoria (Padrão) é ativada por padrão para todas as organizações com a assinatura apropriada. Isso significa que os registros de atividades auditadas são capturados e pesquisáveis. A única configuração necessária é atribuir as permissões necessárias para acessar a ferramenta de pesquisa de log de auditoria (e o cmdlet correspondente) e garantir que o usuário tenha a licença correta para os recursos de Auditoria do Microsoft Purview (Premium).

  • Milhares de eventos de auditoria pesquisáveis. Você pode pesquisar uma ampla variedade de atividades auditadas que ocorrem na maioria dos serviços do Microsoft 365 em sua organização. Para obter uma lista das atividades que você pode pesquisar, confira Atividades de log de auditoria. Para obter uma lista dos serviços e recursos que oferecem suporte às atividades auditadas, consulte Tipo de registro de log de Auditoria.

  • Ferramenta de pesquisa de auditoria no portal do Microsoft Purview ou no portal de conformidade. Use a ferramenta de pesquisa de log de auditoria nos portais para pesquisar registros de auditoria. Você pode pesquisar atividades específicas, atividades realizadas por usuários específicos e atividades que ocorreram em um intervalo de datas.

  • Search-UnifiedAuditLog cmdlet. Você também pode usar o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online (o cmdlet subjacente para a ferramenta de pesquisa) para pesquisar eventos de auditoria ou para usar em um script. Para mais informações, confira:

  • Exportar registros de auditoria para um arquivo CSV. Depois de executar a ferramenta de pesquisa de log de auditoria no portal do Microsoft Purview ou no portal de conformidade, você pode exportar os registros de auditoria retornados pela pesquisa para um arquivo CSV. Isso permite que você use a classificação e o filtro do Microsoft Excel em diferentes propriedades do registro de auditoria. Você também pode usar a funcionalidade de transformação do Power Query para Excel para dividir cada propriedade no objeto JSON AuditData em sua própria coluna. Isso permite que você exiba e compare com eficácia dados semelhantes para eventos diferentes. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.

  • Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365. Um terceiro método para acessar e recuperar registros de auditoria é usar a API da Atividade de Gestão do Office 365. Isso permite que as organizações mantenham dados de auditoria por períodos mais longos do que os 180 dias padrão e permite importar seus dados de auditoria para uma solução SIEM. Para mais informações, confira referência da API da Atividade de Gestão do Office 365.

  • Retenção de log de auditoria de 180 dias. Quando uma atividade auditada é realizada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria para a sua organização. Em Auditoria (Standard), os registros são mantidos por 180 dias, o que significa que você pode pesquisar atividades que ocorreram nos últimos seis meses.

Importante

O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.

Auditoria (Premium)

Importante

Classic Pesquisa foi aposentado a partir de 30 de novembro de 2023. Novas Pesquisa incluem aprimoramentos como tempos de pesquisa mais rápidos, opções de pesquisa adicionais, capacidade de salvar pesquisas e muito mais.

A auditoria (Premium) baseia-se nos recursos de Auditoria (Standard) fornecendo políticas de retenção de log de auditoria, retenção mais longa de registros de auditoria, insights inteligentes de alto valor e maior acesso de largura de banda à API de Atividade de Gerenciamento Office 365.

  • Políticas de retenção de log de Auditoria. Você pode criar políticas de retenção de logs de auditoria personalizadas para manter registros de auditoria por períodos mais longos de até um ano (e até 10 anos para usuários com a licença complementar necessária). Você pode criar uma política para manter registros de auditoria com base no serviço onde ocorrem as atividades auditadas, em atividades auditadas específicas ou no usuário que executa uma atividade auditada.
  • Retenção mais longa de registros de auditoria. os registros de auditoria Microsoft Entra ID, Exchange, OneDrive e SharePoint são mantidos por um ano por padrão. Os registros de auditoria de todas as outras atividades são mantidos por 180 dias por padrão ou você pode usar políticas de retenção de log de auditoria para configurar períodos de retenção mais longos.
  • Auditar insights inteligentes (Premium). Registros de auditoria para insights inteligentes podem ajudar sua organização a realizar investigações forenses e de conformidade fornecendo visibilidade para eventos como quando itens de email foram acessados ou quando itens de email foram respondidos e encaminhados, ou quando e o que um usuário pesquisou em Exchange Online e no SharePoint Online. Esses insights inteligentes podem ajudá-lo a investigar possíveis violações e determinar o escopo do compromisso.
  • Maior largura de banda para a API da Atividade de Gestão do Office 365. A Auditoria (Premium) fornece às organizações mais largura de banda para acessar os logs de auditoria por meio da API da Atividade de Gestão do Office 365. Embora todas as organizações que possuam Auditoria (Padrão) ou Auditoria (Premium) tenham inicialmente alocadas uma linha de base de 2.000 solicitações por minuto, esse limite aumentará dinamicamente dependendo da contagem de estações de uma organização e da sua assinatura de licenciamento. Isso faz com que as organizações com Auditoria (Premium) obtenham cerca de duas vezes a largura de banda das organizações com Auditoria (Padrão).

Retenção a longo prazo de logs de auditoria

A auditoria (Premium) mantém todos os registros de auditoria do Exchange, SharePoint e Microsoft Entra por um ano. Isso é realizado por uma política de retenção de log de auditoria padrão que retém qualquer registro de auditoria que contenha o valor de AzureActiveDirectory, Exchange, OneDrive ou SharePoint, para a propriedade Workload (que indica o serviço em que a atividade ocorreu) por um ano. Manter os registros de auditoria por períodos mais longos pode ajudar com investigações de conformidade ou perícia contínua. Para saber mais, confira a seção "Política de retenção de log de auditoria padrão" em Gerenciar políticas de retenção de log de auditoria.

Além dos recursos de retenção de um ano da Auditoria (Premium), também liberamos a funcionalidade para manter logs de auditoria por 10 anos. A retenção de logs de auditoria por dez anos ajuda a dar suporte às investigações longas e a responder às obrigações normativas e legais.

Observação

Manter logs de auditoria por 10 anos requer uma licença adicional de complemento por usuário. Depois que esta licença for atribuída a um usuário e uma política de retenção de dez anos apropriada for definida para esse usuário, os logs de auditoria cobertos por esta política começarão a ser retidos por um período de dez anos. Esta política não é retroativa e não pode reter logs de auditoria gerados antes da criação da política de retenção de dez anos.

Políticas de retenção de log de Auditoria

Todos os registros de auditoria gerados em outros serviços que não são cobertos pela política de retenção de log de auditoria padrão (descrita na seção anterior) são mantidos por 180 dias. Mas agora você pode criar políticas de retenção de logs de auditoria personalizadas para manter outros registros de auditoria por períodos mais longos de até dez anos. Você pode criar uma política para manter registros de auditoria com base em um ou mais dos seguintes critérios:

  • O serviço do Microsoft 365 em que as atividades auditadas ocorrem.
  • Atividades auditadas específicas.
  • O usuário que executa uma atividade auditada.

Importante

O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.

Você também pode especificar quanto tempo manter registros de auditoria que correspondam à política e a um nível de prioridade para que políticas específicas tenham prioridade sobre outras políticas. Observe também que qualquer política de retenção de log de auditoria personalizada tem precedência sobre a política de retenção de auditoria padrão caso você precise manter registros de auditoria do Exchange, SharePoint ou Azure Active Directory por menos de um ano (ou por 10 anos) para alguns ou todos os usuários da sua organização. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Importante

O tempo de vida do item de auditoria para dados é determinado quando ele é adicionado ao pipeline de auditoria e se baseia nos padrões de licenciamento ou nas políticas de retenção aplicáveis. Qualquer alteração nas políticas de licenciamento ou retenção aplicável altera o tempo de validade dos dados de auditoria após a atualização. Essas alterações não alteram nenhum item confirmado anteriormente.

Propriedades de atividade de auditoria (Premium)

A Auditoria (Premium) ajuda as organizações a conduzirem investigações forenses e de conformidade, fornecendo acesso a eventos importantes, como quando os itens de email foram acessados, quando os itens de email foram respondidos e encaminhados, e quando e o que um usuário pesquisava no Exchange Online e no Microsoft Office SharePoint Online. Esses eventos podem ajudá-lo a investigar possíveis violações e a determinar o escopo dos comprometimentos. Além desses eventos no Exchange e no Microsoft Office SharePoint Online, há eventos em outros serviços do Microsoft 365 que são considerados eventos importantes e exigem que os usuários sejam atribuídos a uma licença de Auditoria (Premium) apropriada. Os usuários devem receber uma licença de Auditoria (Premium) para que os logs de auditoria sejam gerados quando os usuários executam esses eventos.

Essas atividades exigem que os usuários sejam atribuídos à licença de Auditoria (Premium) apropriada. Os usuários devem receber uma licença de Auditoria (Premium) para que os logs de auditoria sejam gerados quando os usuários executam essas atividades e propriedades.

A auditoria (Premium) fornece acesso às seguintes propriedades de atividade:

Exchange Online

Atividades Propriedade
MailItemsAccessed SensitivityLabel

Microsoft Teams

Atividades Propriedade
ChatCreated AppAccessContext
ChatRetrieved AppAccessContext
ChatUpdated AppAccessContext
MeetingParticipantDetail Artefato IsJoinedFromLobbyShared
MessageCreatedNotification AppAccessContext
MessageDeletedNotification AppAccessContext
MessageHostedContentsListed AppAccessContext
MessageHostedContentRead AppAccessContext
MessagesListed AppAccessContext
MessageRead AppAccessContext
MessageSent Participante do AppAccessContext
ParticipatingDomainInformationInfo
MessageUpdated ParticipantInfo
AppAccessContext
MessageUpdatedNotification AppAccessContext
SubscribedToMessages AppAccessContext

Acesso de alta largura de banda à API da Atividade de Gerenciamento do Office 365

As organizações que acessam logs de auditoria por meio da API da Atividade de Gestão do Office 365 foram restritas pelos limites no nível do editor. Isso significa que, para um Publisher obter dados em nome de vários clientes, o limite foi compartilhado por todos esses clientes.

Com Auditoria (Premium), isso mudou de um limite no nível do editor para um limite no nível do locatário. O resultado é que cada organização obtém sua própria cota de largura de banda totalmente alocada para acessar seus dados de auditoria. A largura de banda não é um limite estático e predefinido, mas é modelada em uma combinação de fatores, incluindo o número de assentos na organização e que as organizações E5/A5/G5 obtêm mais largura de banda do que organizações não E5/A5/G5.

Todas as organizações alocam inicialmente uma linha de base de 2.000 solicitações por minuto. Esse limite aumenta dinamicamente dependendo da contagem de assentos e da assinatura de licenciamento de uma organização. As organizações E5/A5/G5 obtêm cerca de duas vezes mais largura de banda do que organizações que não são E5/A5/G5. Há um limite na largura de banda máxima para proteger a integridade do serviço.

Para obter mais informações, consulte a seção limitação de API na referência da API de Atividade de Gerenciamento Office 365.

Requisitos de licenciamento

Antes de começar, examine os requisitos de assinatura para Auditoria (Standard) e Auditoria (Premium).

Treinamento

Treinar sua equipe de operações de segurança, administradores de TI e equipe de investigadores de conformidade nos conceitos base de Auditoria (Básica) e Auditoria (Premium) pode ajudar sua organização a começar mais rapidamente a usar a auditoria para ajudar em suas investigações. O Microsoft Purview fornece o seguinte recurso para ajudar esses usuários em sua organização na introdução com a auditoria: Descrever os recursos de descoberta eletrônica e auditoria no Microsoft Purview.