Como monitorar logs de atividades do Office 365 para melhorar a segurança

Tutoriais

Como Monitorar Logs de Atividades do Office 365 para Melhorar a Segurança. Procurando melhorar a segurança do seu Office 365? É crucial monitorar os logs de atividades do Office 365, e o portal unificado de registro de auditoria do Office 365 da Microsoft fornece uma plataforma única para isso.

Neste artigo, exploramos uma visão geral do registro de auditoria unificada do Office 365

Em seguida, aprendemos os requisitos de licenciamento e permissão para usar o registro de auditoria unificado do Microsoft 365. Além disso, esta seção inclui etapas para verificar se você cumpre esses requisitos e o que fazer se não cumprir. Depois, examinamos como verificar se o registro de auditoria unificado está ativado para sua organização. Em seguida, discutimos as etapas para ativá-lo por meio do portal de conformidade da Microsoft ou do Windows PowerShell.

Em seguida, examinamos como verificar se o registro de auditoria unificado está habilitado para sua organização. Em seguida, discutimos os passos para ativá-lo através do portal de conformidade da Microsoft ou do Windows PowerShell.

Uma vez que o registro de auditoria esteja habilitado, abordamos como pesquisar, visualizar e exportar os logs de auditoria do Office 365 para CSV. Por fim, mostramos como monitorar e analisar os logs de atividade do 365 para melhorar a segurança da sua organização.

Leia também Como configurar os logs de atividade do Azure AD para monitoramento eficaz

Visão geral do registro de auditoria unificado do Office 365

Microsoft 365 (M365) é um conjunto de serviços baseados na nuvem. Alguns serviços incluídos no M365 são Azure Active Directory, Exchange Online e SharePoint Online.

Os serviços incluídos em sua assinatura M365 dependem de sua assinatura.

Agora, com tantos serviços Office 365, os administradores enfrentam o considerável desafio de monitorar os logs de atividade das várias serviços para melhorar a segurança da organização. A boa notícia é que o Microsoft Purview compliance portal oferece aos administradores do Microsoft 365 um local único para habilitar auditoria unificada.

Agora, você deve se perguntar quais dos serviços do Microsoft 365 suportam auditoria unificadaauditoria. Para ver todos os serviços que você monitora, consulte a lista na página Serviços do Microsoft 365 que suportam auditoria.

Leia também Como se conectar ao Office 365 usando o Powershell

Licenciamento e Permissões do Log de Auditoria do Microsoft 365

A Microsoft oferece duas versões do Microsoft Purview Audit, que permite habilitar, pesquisar e monitorar os logs de auditoria unificados do Microsoft 365.

Assim, você obtém o Microsoft Purview Audit (Standard) ou o (Premium), dependendo da sua organização assinatura e licenciamento do Microsoft 365

Além disso, os administradores que precisam executar a auditoria relatórios de logs devem ter as permissões necessárias concedidas.

Para configurar as exigências de licenciamento e permissões de usuário, siga estas etapas. 

Etapa 1: Verifique se a sua organização atende aos requisitos de assinatura / licenciamento de usuário

Para acessar o log de auditoria unificado do Microsoft 365, sua organização deve ter no mínimo assinaturas do Microsoft Business Basic/Standard. É o mesmo que a licença Azure AD Premium P1.

Por outro lado, para acessar o recurso de Auditoria (Premium), você precisa de pelo menos a assinatura Microsoft 365 Enterprise E5.

Siga os passos abaixo para verificar sua assinatura atribuída.

1. Siga as etapas em nosso artigo – Como se conectar ao Office 365 usando Powershell – para instalar o módulo MSOnline PowerShell. Em seguida, conecte-se ao Office 365.
2. Execute o comando Get-MsolAccountSku para listar as licenças do Microsoft 365 disponíveis em seu locatário. 

Get-MsolAccountSku

2. Em seguida, execute o comando abaixo para retornar a licença que o administrador atribuiu a você. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Substitua o License_AccountSkuId pelo AccountSkuId (o nome da licença) do último comando. Além disso, substitua [email protected] pelo seu UPN do Office 365.

Verifique o valor do último comando exibido na propriedade AccountSkuId. Em seguida, compare isso com os requisitos de licenciamento do Microsoft 365.


Finalmente, se a licença que seu administrador atribuiu a você estiver listada, verifique os requisitos de permissão do Microsoft 365 usando as etapas no seguinte subseção.

Leia também Get-AzureADAuditSignInLogs – Encontre Logs de Entrada dos Últimos 30 Dias no PowerShell

Etapa 2: Confirme se sua conta atende aos requisitos de permissão

Para visualizar e executar pesquisas unificadas no registro de auditoria do Office 365, os administradores ou usuários devem ser atribuídos ao Visualização de Registros de Auditoria ou ao Registros de Auditoria no Exchange Online. Os grupos de funções de Conformidade Gerenciamento e Gerenciamento de Organização têm as permissões necessárias por padrão.

Além disso, os membros do grupo de Administradores Globais do Office 365 são adicionados ao grupo de funções de Gerenciamento de Organização no Exchange Online por padrão.

Siga as etapas abaixo para verificar se uma conta tem a permissão necessária para habilitar e pesquisar os registros de auditoria. Se você for um Administrador Global para seu locatário do Office 365, ignore as etapas abaixo e prossiga para a próxima seção.

1. Abra o centro de administração do Exchange Online através de admin.exchange.microsoft.com. Em seguida, expanda Funções e clique em “Funções de Administração”.
2. Na caixa de pesquisa da página “Funções de administração”, digite “gerenciamento” para retornar apenas funções que incluem esse termo. Em seguida, clique na função Conformidade Gerenciamento.


3. Na janela pop-up da função Conformidade Gerenciamento, clique na guia “Atribuído”. Todos os usuários listados nesta guia têm permissão para visualizar logs de auditoria de pesquisa.

Para adicionar um usuário a esta função, clique no botão “Adicionar” – veja a segunda captura de tela.



4. Repita o passo 3 para a função Gerenciamento da Organização.


Leia tambémTop 15 Comandos do PowerShell do Office 365 (Usuários, Grupos, Licenciamento)

Verifique o status atual do registro de auditoria para sua organização.

Antes de usar o portal de conformidade da Microsoft para monitorar Office 365 logs de atividade para melhorar a segurança dos serviços de sua organização, você deve habilitar o monitoramento de auditoria. Habilitado por padrão nas organizações com assinaturas empresariais do Microsoft 365 e Office 365.

No entanto, a Microsoft pode não habilitar a auditoria por padrão em algumas assinaturas do Microsoft 365. Portanto, é uma boa ideia confirmar se a auditoria está habilitada em seu locatário do O365 antes de prosseguir.

Siga as etapas abaixo para verificar o status atual de auditoria.

1. Siga as etapas no nosso artigo Conectar ao Exchange Online usando o PowerShell para se conectar ao seu inquilino do Exchange Online.
2. Depois de conectar-se ao Exchange Online, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

A captura de tela abaixo mostra todos os comandos necessários para instalar o módulo do Exchange Online PowerShell. Em seguida, conecte-se e execute o Get-AdminAuditLogConfig para determinar se a auditoria está habilitada para sua organização.


Se o comando Get-AdminAuditLogConfig retornar a propriedade UnifiedAuditLogIngestionEnabled como Verdadeiro, isso indica que a auditoria unificada está ativada para sua organização. Se retornar um valor de Falso, significa que a auditoria está não ativada.

Então, a partir do resultado do meu comando Get-AdminAuditLogConfig , a auditoria não está ativada, já que o valor é Falso. Se este for o seu caso, prossiga para a próxima seção para habilitar a auditoria.

Leia também Como verificar se o MFA está habilitado no Office 365 para usuários

Habilite os Registros de Auditoria Unificados do Office 365.

A Microsoft oferece 2 métodos para habilitar os logs de auditoria do Office 365 para monitorar os logs de atividade do usuário para uma melhor segurança da organização . Especificamente, faça isso através do Portal de Conformidade ou PowerShell

Habilitar Auditoria Usando o Portal de Conformidade

1. Abra o compliance.microsoft.com
2. Navegue até a seção Soluções e clique em Auditoria. Alternativamente, abra a seção Auditoria diretamente clicando em compliance.microsoft.com/auditlogsearch.

3. Finalmente, habilite o log de auditoria unificado do Microsoft 365, clique em “Iniciar gravação de atividade de usuário e administrador”.

Por favor, note que pode levar até 60 minutos para que a mudança entre em vigor.

Leia também Implantar Relatórios de Contatos do Office 365

Habilitar Auditoria Usando o Windows PowerShell

Se você ainda tiver o PowerShell console, onde se conectou ao módulo do Exchange Online PowerShell, execute o comando abaixo para habilitar a auditoria unificada do M365. Você deve executar o primeiro comando antes do segundo.

Você pode receber uma mensagem de erro se executar o comando Set-AdminAuditLogConfig sem executar o comando Enable-OrganizationCustomization primeiro. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Note que o comando Enable-OrganizationCustomization leva algum tempo para ser concluído. Além disso, após a habilitação do registro em log de auditoria unificada, pode levar até 60 minutos para entrar em vigor.


Em seguida, execute novamente o comando Get-AdminAuditLogConfig para confirmar o status de login de auditoria. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Se você habilitou com sucesso a auditoria através do Portal de Conformidade ou Windows PowerShell, o último comando deve retornar o UnifiedAuditLogIngestionEnabled como Verdadeiro. Veja a captura de tela abaixo.


Por fim, você pode desativar o login de auditoria unificada para sua organização do Microsoft 365 executando o comando abaixo.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Leia também Office 365 vs Exchange Online — Qual é a Diferença?

Pesquise e Monitore os Registros de Atividade de Auditoria do Office 365 para Melhoria de Segurança

Vamos explorar como pesquisar por atividades relevantes de usuário e administrativas.

Nesta seção, mostramos como executar uma pesquisa no log de auditoria e exportar o resultado para CSV. Além disso, explicamos como analisar os registros de atividade do Office 365 exportados para melhoria de segurança.

Leia também Confira os Relatórios de Usuários do Office 365

Etapa 1 (Opção 1 de 2):

Execute uma Pesquisa no Log de Auditoria do Office 365 no Portal de Conformidade

1. Abra a página de Auditoria de Conformidade da Microsoft compliance.microsoft.com/auditlogsearch. Em seguida, defina os critérios de pesquisa seguindo a numeração na captura de tela abaixo:

(1) Intervalo de data e hora (UTC): A ferramenta de pesquisa de auditoria seleciona os últimos 7 dias por padrão.

No entanto, selecione seu intervalo de dados de até 90 dias a partir da data de início. Observe que a seleção de mais de 90 dias retorna uma mensagem de erro.

(2) Pesquisa por palavra-chave: se você precisar que a ferramenta unificada de auditoria do Office 365 encontre logs sobre uma palavra ou frase, insira-a neste campo.

(3) Atividades: uma lista suspensa com uma longa lista de caixas de seleção.

(4) Tipo de Registro: pesquise tipos de registros específicos como Azure Ativo Diretório.

(5) Carga de Trabalho: Para filtrar os critérios de pesquisa por carga de trabalho, clique na lista suspensa e marque o serviço do Office 365 do qual deseja visualizar os logs de auditoria.

(6) Usuários: para filtrar os registros de auditoria para usuários específicos, utilize o critério de pesquisa para inserir seus nomes. Se você deixar o campo do usuário em branco, a ferramenta de pesquisa do Portal de Conformidade retorna registros de auditoria para todos os usuários em seus serviços do Microsoft 365.

(7) Arquivos, pastas ou sites: pesquise atividade relacionada a um arquivo ou pasta contendo uma palavra-chave específica digitando parte ou todo o seu nome. Também permite especificar o URL de um arquivo ou pasta.

(8) Nome da pesquisa: dê um nome à pesquisa e clique em Pesquisar. Finalmente, para visualizar o status dos relatórios, clique em Atualizar.

Leia também Obter Membros de Grupo de Diretório Ativo e Exportar para CSV usando PowerShell

Etapa 1 (Opção 2 de 2):

Execute uma Pesquisa no Log de Auditoria do Office 365 Usando PowerShell

Use PowerShell para realizar pesquisas no log de auditoria do Office 365. Você não precisa usar o PowerShell se já usou o Portal de Conformidade

1. Conectar ao Exchange Online usando o PowerShell – executando os seguintes comandos em ordem:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Depois de conectado ao Exchange Online, execute o Search-UnifiedAuditLog para pesquisar o log de auditoria unificado do Microsoft 365.

Os parâmetros StartDate e EndDate são os únicos parâmetros obrigatórios para este cmdlet. No entanto, o cmdlet possui outros parâmetros.

Os comandos abaixo pesquisam todos os logs de auditoria nos últimos 30 dias. 

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

O comando retorna dados do log de auditoria para o intervalo de datas que você especificar com os parâmetros StartDate e EndDate. Observe que a data de início deve ser anterior à data de término.

Leia também Verifique os logs de auditoria do Azure AD para entradas de usuários (sucesso e falhas)

Passo 2: Visualizar e exportar os logs de atividade de auditoria do Office 365

Exporte o relatório para CSV a partir do Portal de Conformidade ou via PowerShell.

Clique em um relatório para exportá-lo a partir do Portal de Conformidade. Em seguida, clique no botão Exportar. 

O relatório de auditoria Nova Pesquisa não retornou resultados quando escrevemos este artigo em maio de 2023. Suspeito que houve um bug com ele. 

Então, usamos a Pesquisa Clássica em vez disso. Finalmente, para baixar os logs de auditoria, clique em “Exportar”, depois selecione “Baixar todos os resultados”

Alternativamente, se você preferir exportar o resultado do seu log de auditoria unificado do Microsoft 365 usando PowerShell, use o script abaixo. 

O script inclui alguns dos comandos no “Passo 1 (Opção 2 de 2): Execute uma Pesquisa no Log de Auditoria do Office 365 Usando PowerShell”.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Execute o cmdlet SearchUnifiedAuditLog e armazene os resultados em uma variável

# Converta a propriedade AuditData de cada objeto NoteProperty em um objeto PowerShell e selecione as propriedades desejadas

# Exiba a tabela resultante

# Exporte a tabela resultante para um arquivo CSV

O script exibe resultados no console do PowerShell e os exporta para um arquivo CSV. 

Leia também Como proteger o Azure AD contra ameaças cibernéticas

Etapa 3: Analise os logs de atividade do 365 e use-os para melhorar a segurança

Algumas organizações monitoram os logs de atividade do Office 365 para melhorar a segurança, enquanto outras o fazem por motivos de conformidade.
Após a exportação dos logs de auditoria do M365, a próxima etapa é analisá-los.

Incluímos um relatório de exemplo que exportamos usando o script do PowerShell acima.

  • Ao utilizar o relatório para melhorar a segurança, procure padrões e ações potenciais que possam levar a violações de segurança. Por outro lado, se você precisar dos logs de auditoria para fins de conformidade, pesquise instâncias de violações de conformidade.
  • Leia também Como usar Políticas de Acesso Condicional para Melhorar a Segurança do Office 365
  • Como Monitorar Logs de Atividade do Office 365 para Melhorar a Segurança Conclusão
  • Em conclusão, monitorando os logs de atividade do Office 365, você melhora a segurança de sua organização. Ao longo deste guia, abordamos o seguinte:
  • Uma visão geral do Registro de Auditoria Unificado do Office 365, incluindo os serviços do Microsoft 365 que ele suporta.

Licenciamento e permissões do Microsoft 365 Audit Log, que são necessárias para monitorar os logs de atividade do Office 365.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/