Como configurar o registro de auditoria do Office 365

O Microsoft Office 365 é um ecossistema robusto e diversificado que envolve múltiplos serviços, como Microsoft Teams, Exchange Online, Azure AD, SharePoint Online e OneDrive for Business. É muita coisa para acompanhar, e os administradores globais frequentemente precisam supervisionar múltiplos sub-administradores e às vezes milhares de usuários.

Os registros de auditoria do Office 365 ajudam você a rastrear atividades de administradores e usuários, incluindo quem está acessando, visualizando ou movendo documentos específicos e como os recursos estão sendo utilizados. Esses registros são essenciais para investigar incidentes de segurança e demonstrar conformidade. No entanto, os registros nativos têm várias limitações, então serviços adicionais são geralmente necessários para monitorar efetivamente a atividade, manter os sistemas seguros e garantir a conformidade regulatória.

Como configurar o registro de auditoria do Office 365

A auditoria nativa de logs não está ativada por padrão. Para ativar a auditoria nativa de logs:

1. Vá para o Office 365 Security & Compliance Center.
2. Vá para “Pesquisar” e depois “Pesquisa de log de auditoria.”
3. Clique em “Ativar auditoria.”

Alternativamente, você pode habilitar a auditoria de logs usando este comando PowerShell:

      Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
      

O registro de auditoria para Power BI e outras aplicações auxiliares também não está ativado por padrão; você terá que ativá-lo nos portais administrativos separados para obter esses registros de auditoria.

Verifique os requisitos de licenciamento para saber por quanto tempo seus dados de log podem ser armazenados. Por exemplo, atualmente o limite é de 90 dias para uma licença Office 365 E3 e de um ano para uma licença Office 365 E5.

Como Executar uma Pesquisa no Log de Auditoria

Pré-requisitos

Antes de poder executar uma pesquisa de log de auditoria, um administrador deve atribuir permissões à sua conta, seja “View-Only Audit Logs” ou “Audit Logs”.

Pode ser necessário esperar várias horas desde o momento em que você ativa a auditoria de logs até poder realizar uma pesquisa no registro de auditoria.

Observe que uma pesquisa unificada de log de auditoria consolida análises de múltiplos serviços do Office 365 em um único relatório de log, o que requer de 30 minutos a 24 horas para ser concluído.

Procedimento

Para realizar uma pesquisa no registro de auditoria, siga os seguintes passos:

1. Faça login.

Faça login em https://protection.office.com.

Dica: Para evitar que suas credenciais atuais sejam usadas automaticamente, abra uma sessão de navegação privada:

• No Internet Explorer ou Edge, pressione CTRL+SHIFT+P.
• Para a maioria dos outros navegadores, pressione CTRL+SHIFT+N.

2. Iniciar uma Nova Pesquisa.

No Security & Compliance Center, clique em “Search” no painel esquerdo. Em seguida, selecione “Audit log search”.

3. Configure os Seus Critérios de Pesquisa.

Os principais critérios a especificar são:

• Atividades — Veja a lista de atividades auditadas da Microsoft. Há mais de 100, então a Microsoft as agrupou em atividades relacionadas. Se você não especificar isso, seu relatório de auditoria incluirá todas as atividades realizadas durante o período especificado.
• Datas — O intervalo de tempo padrão são os últimos sete dias, mas você pode configurar sua busca para qualquer período dentro dos últimos 90 dias.
• Usuários — Especifique qual usuário ou grupo de usuários você deseja incluir no seu relatório.
• Localização — Se você quiser limitar a pesquisa a um arquivo, pasta ou site específico, insira um local ou palavra-chave.

Outros critérios de pesquisa incluem:

• Atividades relacionadas a um site — Adicione um asterisco após a URL para retornar todas as entradas para esse site. Por exemplo, “https://contoso-my.sharepoint.com/personal/*”.
• Atividades relacionadas a um determinado arquivo — Adicione um asterisco antes do nome do arquivo para retornar todas as entradas para esse arquivo. Por exemplo, “*Customer_Profitability_Sample.csv”.

4. Filtrar os Resultados da Pesquisa.

As opções de critérios de pesquisa são úteis para uma visão geral, mas filtrar os resultados da pesquisa ajudará você a examinar os dados de forma mais eficaz. Você pode inserir palavras-chave, datas específicas, usuários, itens ou outros detalhes.

Além disso, observe que a pesquisa é limitada aos 5.000 eventos mais recentes. Se a sua pesquisa retornar exatamente 5.000 itens, é provável que você tenha atingido o limite máximo dos resultados da pesquisa. Refine ainda mais a sua pesquisa para garantir que você veja todos os dados relevantes dentro do seu intervalo de datas e horários sem perder informações cruciais.

Alternativamente, você pode gerar um relatório de dados brutos que atendam aos seus critérios de pesquisa exportando os dados para csv. Isso permite que você baixe até 50.000 eventos em vez de 5.000. Para gerar mais de 50.000 eventos, trabalhe em lotes de intervalos de datas menores e combine os resultados manualmente.

5. Salve seus Resultados.

Para salvar seus resultados, clique em “Exportar resultados” e escolha “Salvar resultados carregados” para gerar um arquivo CSV com seus dados. Você pode usar o Microsoft Excel para acessar o arquivo ou compartilhar os resultados como um relatório.

Você verá uma coluna chamada “AuditData”, que consiste em um objeto JSON contendo múltiplas propriedades do registro de auditoria. Para habilitar a ordenação e filtragem nessas propriedades, utilize a ferramenta de transformação JSON no Editor de Consultas do Excel para dividir a coluna “AuditData” e atribuir a cada propriedade sua própria coluna.

Veja Exportar, configurar e visualizar registros de auditoria para mais informações.

Limitações das Pesquisas de Log de Auditoria Nativo no Office 365

Fazer a análise manual dos registros de auditoria no Office 365 é frequentemente difícil e consome muito tempo. As ferramentas de busca são úteis, mas considere as seguintes desvantagens ao decidir como lidar com a auditoria na sua organização:

• É difícil identificar atividades anormais — É necessário um olhar treinado para interpretar dados, especialmente se você ainda não está ciente de um problema com um usuário ou arquivo específico.
• É difícil manter seus dados de auditoria seguros — Informações detalhadas sobre cada evento dentro do seu sistema são informações altamente sensíveis. Embora as opções de exportação padrão sejam convenientes, elas tornam seus arquivos mais vulneráveis.
• Montar relatórios de fácil leitura é muito difícil — Para obter um relatório, você precisa exportar dados específicos de auditoria para um arquivo CSV, que depois precisa ser ordenado e interpretado antes de se tornar acionável.
• Você tem opções de filtragem limitadas — A pesquisa nativa do registro de auditoria não oferece opções de filtragem abrangentes, tornando mais difícil obter insights e encontrar o que você está procurando.
• Existem apenas alguns relatórios de logs predefinidos disponíveis — Se você deseja outros relatórios, terá que criá-los manualmente. Além disso, não há opção de assinatura de relatórios ou recurso nativo para salvar pesquisas personalizadas.
• A maioria das propriedades está agrupada em um único JSON — O JSON AuditData pode conter diferentes propriedades dependendo do evento de auditoria. Isso gera muito ruído desnecessário entre você e os detalhes importantes que está tentando obter dos seus dados de auditoria.
• Os dados de auditoria são armazenados por um tempo limitado — Como a assinatura padrão da Microsoft permite apenas um período de retenção de dados de 90 dias para logs de auditoria, você terá que baixar e salvar seus logs de auditoria regularmente e, em seguida, tentar mesclá-los para ver o quadro mais amplo da atividade a longo prazo. Se você esquecer de salvar os logs, terá lacunas no seu registro.

Outras formas de acessar dados do Audit Log

API de Atividade de Gerenciamento do Office 365

A API de Atividade de Gerenciamento do Office 365 permite que você visualize dados sobre eventos de sistema de administração, usuário e políticas a partir dos registros de atividade do Office 365 e Azure AD. A ferramenta ajuda você a monitorar, analisar e visualizar dados de auditoria.

Netwrix Auditor

Netwrix Auditor simplifica drasticamente a tarefa de se manter atualizado sobre as atividades no seu ambiente de TI, além de permitir que você previna proativamente problemas e mantenha os dados organizados. A solução oferece maior visibilidade sobre atividades e configurações nos seus ambientes OneDrive for Business, SharePoint Online e Exchange Online, bem como no Azure AD.