Como Monitorar Logs de Atividade do Office 365 para Melhorar a Segurança

Tutoriais

Como Monitorar Logs de Atividade do Office 365 para Melhorar a Segurança. Procurando melhorar a segurança do seu Office 365? É crucial monitorar os logs de atividade do Office 365, e o portal unificado de registro de auditoria do Office 365 da Microsoft fornece uma plataforma única para fazer isso.

Neste artigo, exploramos uma visão geral do registro de auditoria unificado do Office 365

Em seguida, aprendemos os requisitos de licenciamento e permissão para usar o registro de auditoria unificado do Microsoft 365. Além disso, esta seção inclui etapas para verificar se você cumpre esses requisitos e o que fazer se não cumprir. Depois, examinamos como verificar se o registro de auditoria unificado está ativado para sua organização. Em seguida, discutimos as etapas para ativá-lo através do portal de conformidade da Microsoft ou do PowerShell do Windows.

Em seguida, examinamos como verificar se o registro de auditoria unificado está habilitado para sua organização. Em seguida, discutimos os passos para habilitá-lo através do portal da Microsoft conformidade ou Windows PowerShell.

Uma vez habilitado o registro de auditoria, abordamos como pesquisar, visualizar e exportar os logs de auditoria do Office 365 para CSV. Por fim, mostramos como monitorar e analisar os logs de atividade do 365 activity logs para melhorar a segurança de sua organização.

Leia também Como Configurar Logs de Atividade do Azure AD para Monitoramento Eficiente

Visão geral do registro de auditoria unificado do Office 365

Microsoft 365 (M365) é um conjunto de serviços baseados em nuvem. Alguns serviços incluídos no M365 são Azure Active Directory, Exchange Online e SharePoint Online.

Os serviços incluídos em sua assinatura M365 dependem de sua assinatura.

Agora, com tantos serviços Office 365, os administradores enfrentam o considerável desafio de monitorar os logs de atividade das várias​​​ serviços para melhorar a segurança da organização. A boa notícia é que o Microsoft Purview compliance portal oferece aos administradores do Microsoft 365 um local único para habilitar auditoria unificada.

Agora, você deve se perguntar quais dos serviços do Microsoft 365 suportam auditoria unificadaauditoria. Para ver todos os serviços que você monitora, consulte a lista na página Serviços do Microsoft 365 que suportam auditoria.

Leia também Como se conectar ao Office 365 usando Powershell

Licenciamento e Permissões do Registro de Auditoria do Microsoft 365

A Microsoft oferece duas versões do Microsoft Purview Audit, que permite habilitar, pesquisar e monitorar os logs de auditoria unificados do Microsoft 365.

Assim, você obtém o Microsoft Purview Audit (Standard) ou (Premium), dependendo da sua organização possuir uma assinatura e licenciamento do Microsoft 365.

Além disso, administradores que precisam executar relatórios de log de auditoria devem receber as permissões necessárias.

Para configurar os requisitos de licenciamento e permissões de usuário, siga estas etapas.

Etapa 1: Verifique se a sua organização atende aos requisitos de assinatura / licenciamento de usuário

Para acessar o log de auditoria unificado do Microsoft 365, sua organização deve ter no mínimo as assinaturas do Microsoft Business Basic/Standard. É o mesmo que a licença Azure AD Premium P1.

Por outro lado, para acessar o recurso Audit (Premium), você precisa de pelo menos a assinatura Microsoft 365 Enterprise E5.

Siga os passos abaixo para verificar sua assinatura atribuída.

1. Siga as etapas no nosso artigo – Como se conectar ao Office 365 usando o Powershell – para instalar o módulo MSOnline PowerShell. Em seguida, conecte-se ao Office 365.
2. Execute o comando Get-MsolAccountSku para listar as licenças do Microsoft 365 disponíveis em seu locatário. 

Get-MsolAccountSku

2. Em seguida, execute o comando abaixo para retornar a licença que seu administrador atribuiu a você. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Substitua o License_AccountSkuId pelo AccountSkuId (o nome da licença) do último comando. Além disso, substitua o [email protected] pelo seu UPN do Office 365.

Verifique o valor da última linha exibida na propriedade AccountSkuId. Em seguida, compare-o com os requisitos de licenciamento do Microsoft 365.


Finalmente, se a licença que o seu administrador atribuiu a você estiver listada, verifique os requisitos de permissão do Microsoft 365 usando os passos no subseção a seguir.

Leia também Get-AzureADAuditSignInLogs – Encontre Registros de Entrada dos Últimos 30 Dias no PowerShell

Passo 2: Confirme se sua conta atende aos requisitos de permissão

Para visualizar e executar pesquisas unificadas no log de auditoria do Office 365, administradores ou usuários devem ser atribuídos ao Visualizar Apenas Auditoria Logs ou Logs de Auditoria no Exchange Online. Os grupos de funções de Conformidade Gerenciamento e Gerenciamento da Organização têm as permissões necessárias por padrão.

Além disso, os membros do grupo de Administradores Globais do Office 365 são adicionados ao grupo de funções Gerenciamento da Organização no Exchange Online por padrão.

Siga as etapas abaixo para verificar se uma conta tem a permissão necessária para habilitar e pesquisar os logs de auditoria. Se você for um Administrador Global para seu locatário do Office 365, ignore as etapas abaixo e prossiga para a próxima seção.

1. Abra o centro de administração do Exchange Online através de admin.exchange.microsoft.com. Em seguida, expanda Funções e clique em “Funções de Administração”.
2. Na caixa de pesquisa da página “Funções de administração”, digite “gerenciamento” para retornar apenas funções que incluem esse termo. Em seguida, clique na função de Conformidade Gerenciamento.


3. Na aba pop-up da função de Conformidade Gerenciamento, clique na guia “Atribuído”. Todos os usuários listados nesta guia têm permissão para visualizar logs de auditoria de pesquisa.

Para adicionar um usuário a essa função, clique no botão “Adicionar” – veja a segunda captura de tela.



4. Repita o passo 3 para a função de Gerenciamento da Organização.


Leia tambémTop 15 Comandos do PowerShell do Office 365 (Usuários, Grupos, Licenciamento)

Verifique o status atual do registro em log de auditoria para sua organização.

Antes de utilizar o portal de conformidade da Microsoft para monitorar Office 365 logs de atividade para melhorar a segurança dos serviços da sua organização, você deve habilitar o monitoramento de auditoria . Habilitado por padrão nas organizações com assinaturas empresariais do Microsoft 365 e Office 365.

No entanto, a Microsoft pode não habilitar a auditoria por padrão em algumas assinaturas do Microsoft 365. Portanto, é uma boa ideia confirmar se a auditoria está habilitada no seu locatário do O365 antes de prosseguir.

Siga as etapas abaixo para verificar o status atual de auditoria.

1. Siga as etapas no nosso artigo Conectar ao Exchange Online usando o PowerShell para se conectar ao seu locatário do Exchange Online.
2. Depois de conectar-se ao Exchange Online, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

A captura de tela abaixo mostra todos os comandos necessários para instalar o módulo do Exchange Online PowerShell. Em seguida, conecte-se e execute o Get-AdminAuditLogConfig para determinar se a auditoria está habilitada para sua organização.


Se o comando Get-AdminAuditLogConfig retornar a propriedade UnifiedAuditLogIngestionEnabled como Verdadeiro, isso indica que a auditoria unificada está ativada para sua organização. Se retornar um valor de Falso, significa que a auditoria está não ativada.

Então, a partir do resultado do meu comando Get-AdminAuditLogConfig , a auditoria não está ativada, já que o valor é Falso. Se esse for o seu caso, prossiga para a seção a seguir para habilitar a auditoria.

Leia também Como verificar se o MFA está habilitado no Office 365 para usuários

Habilitar Logs de Auditoria Unificados do Office 365

A Microsoft oferece 2 métodos para habilitar os logs de auditoria do Office 365 para monitorar os logs de atividade dos usuários com o objetivo de melhorar a segurança da organização. Especificamente, isso pode ser feito através do Portal de Conformidade ou do PowerShell

Habilitar Auditoria Usando o Portal de Conformidade

1. Abra o compliance.microsoft.com
2. Navegue até a seção Soluções e clique em Auditoria. Alternativamente, abra a seção de Auditoria diretamente clicando em compliance.microsoft.com/auditlogsearch.

3. Por fim, habilite o log de auditoria unificado do Microsoft 365, clique em “Iniciar gravação de atividade de usuário e administrador”.

Tenha em mente que pode levar até 60 minutos para que a alteração entre em vigor.

Leia também Implantar Relatórios de Contatos do Office 365

Habilitar Auditoria Usando o Windows PowerShell

Se você ainda tem o PowerShell console, onde você se conectou ao módulo do Exchange Online PowerShell, execute o comando abaixo para habilitar a auditoria unificada do M365. Você deve executar o primeiro comando antes do segundo. 

Você pode receber uma mensagem de erro se executar o comando Set-AdminAuditLogConfig sem executar o comando Enable-OrganizationCustomization primeiro. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Observe que o comando Enable-OrganizationCustomization leva algum tempo para ser concluído. Além disso, após habilitar o registro em log de auditoria unificado, pode levar até 60 minutos para entrar em vigor. 

Em seguida, execute novamente o comando Get-AdminAuditLogConfig para confirmar o status de login de auditoria. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Se você habilitou com sucesso a auditoria através do Portal de Conformidade ou Windows PowerShell, o último comando deve retornar o UnifiedAuditLogIngestionEnabled como Verdadeiro. Veja a captura de tela abaixo. 

Por fim, você pode desativar o login de auditoria unificada para sua organização do Microsoft 365 executando o comando abaixo.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Leia também Office 365 vs Exchange Online — Qual é a Diferença?

Pesquise e Monitore Registros de Atividade de Auditoria do Office 365 para Melhor Segurança

Vamos explorar como pesquisar por atividades relevantes de usuário e administrativas.

Nesta seção, mostramos como executar uma pesquisa no log de auditoria e exportar o resultado para CSV. Além disso, explicamos como analisar os Logs de Atividade do Office 365 exportados para melhorar a segurança.

Leia também Confira Relatórios de Usuários do Office 365

Etapa 1 (Opção 1 de 2):

Execute uma Pesquisa no Log de Auditoria do Office 365 no Portal de Conformidade

1. Abra a página de Auditoria de Conformidade da Microsoft compliance.microsoft.com/auditlogsearch. Em seguida, defina os critérios de pesquisa seguindo a numeração na captura de tela abaixo:

(1) Faixa de datas e horários (UTC): A ferramenta de pesquisa de auditoria seleciona os últimos 7 dias por padrão.

No entanto, escolha seu intervalo de dados de até 90 dias a partir da data de início. Observe que a seleção de mais de 90 dias retorna uma mensagem de erro.

(2) Pesquisa por palavra-chave: se você precisar que a ferramenta unificada de auditoria do Office 365 encontre logs sobre uma palavra ou frase, insira-a neste campo.

(3) Atividades: uma lista suspensa com uma longa lista de caixas de seleção.

(4) Tipo de registro: pesquise por tipos específicos de registros como Azure Active Directory.

(5) Carga de trabalho: Para filtrar os critérios de pesquisa por carga de trabalho, clique na lista suspensa e marque o serviço do Office 365 do qual deseja visualizar logs de auditoria.

(6) Usuários: para filtrar os registros de auditoria para usuários específicos, use o critério de pesquisa para inserir seus nomes. Se você deixar o campo do usuário em branco, a ferramenta de pesquisa do Portal de Conformidade retorna registros de auditoria para todos os usuários em seus serviços do Microsoft 365.

(7) Arquivos, pastas ou sites: pesquise atividade relacionada a um arquivo ou pasta contendo uma palavra-chave específica digitando parte ou todo o seu nome. Também permite especificar a URL de um arquivo ou pasta.

(8) Nome da pesquisa: dê um nome à pesquisa, depois clique em Pesquisar. Por fim, para visualizar o status dos relatórios, clique em Atualizar.

Leia também Obter Membros de Grupo de Diretório Ativo e Exportar para CSV usando PowerShell

Passo 1 (Opção 2 de 2):

Execute uma Pesquisa no Log de Auditoria do Office 365 Usando o PowerShell

Use PowerShell para realizar pesquisas no log de auditoria do Office 365. Você não precisa usar o PowerShell se já usou o Portal de Conformidade

1. Conectar ao Exchange Online usando o PowerShell – executando os seguintes comandos em ordem:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Depois de conectado ao Exchange Online, execute o Search-UnifiedAuditLog para pesquisar o log de auditoria unificado do Microsoft 365.

O StartDate e o EndDate são os únicos parâmetros obrigatórios para este cmdlet. No entanto, o cmdlet possui outros parâmetros.

Os comandos abaixo pesquisam todos os logs de auditoria nos últimos 30 dias. 

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

O comando retorna dados de log de auditoria para o intervalo de datas que você especificar com os parâmetros StartDate e EndDate. Observe que a data de início deve ser anterior à data de término.

Leia também Verifique os logs de auditoria do Azure AD para entrada de usuários (sucesso e falhas)

Passo 2: Visualizar e exportar os logs de atividade de auditoria do Office 365

Exporte o relatório para CSV a partir do Portal de Conformidade ou via PowerShell.

Clique em um relatório para exportá-lo a partir do Portal de Conformidade. Em seguida, clique no botão Exportar. 

O relatório de auditoria Nova Pesquisa não retornou resultados quando escrevemos este artigo em maio de 2023. Suspeito que havia um bug nele. 

Então, usamos a Pesquisa Clássica em vez disso. Finalmente, para baixar os logs de auditoria, clique em “Exportar”, depois selecione “Baixar todos os resultados”

Alternativamente, se você preferir exportar o resultado do seu log unificado do Microsoft 365 usando PowerShell, use o script abaixo. 

O script inclui alguns dos comandos no “Passo 1 (Opção 2 de 2): Execute uma Pesquisa no Log de Auditoria do Office 365 Usando PowerShell“.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Execute o cmdlet SearchUnifiedAuditLog e armazene os resultados em uma variável

# Converta a propriedade AuditData de cada objeto NoteProperty em um objeto PowerShell e selecione as propriedades desejadas

# Exiba a tabela resultante

# Exporte a tabela resultante para um arquivo CSV

O script exibe resultados no console do PowerShell e os exporta para um arquivo CSV. 

Leia também Como proteger o Azure AD contra ameaças cibernéticas

Etapa 3: Analise os logs de atividade do 365 e use-os para melhorar a segurança

Algumas organizações monitoram os logs de atividade do Office 365 para melhorar a segurança, enquanto outras o fazem para fins de conformidade.
Após exportar os logs de auditoria do M365, a próxima etapa é analisá-los.

Incluímos um relatório de exemplo que exportamos usando o script do PowerShell acima.

  • Ao utilizar o relatório para melhorar a segurança, procure padrões e ações potenciais que possam levar a violações de segurança. Por outro lado, se você precisar dos logs de auditoria para fins de conformidade, procure instâncias de violações de conformidade.
  • Leia também Como usar Políticas de Acesso Condicional para Melhorar a Segurança do Office 365
  • Como Monitorar Logs de Atividade do Office 365 para Melhorar a Segurança: Conclusão
  • Em conclusão, ao monitorar os logs de atividade do Office 365, você melhora a segurança de sua organização. Ao longo deste guia, abordamos o seguinte:
  • Uma visão geral do Registro de Auditoria Unificado do Office 365, incluindo os serviços do Microsoft 365 que ele suporta.

Licenciamento e permissões do Log de Auditoria do Microsoft 365, que são necessários para monitorar os logs de atividade do Office 365.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/