Auditoria e Monitoramento de Atividades de Usuário no Microsoft 365

Auditoria e Monitoramento de Atividades de Usuário no Microsoft 365

08/06/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração, utilização e monitoramento das atividades de usuário no Microsoft 365. A capacidade de auditar e monitorar as ações dos usuários é fundamental para a segurança, conformidade regulatória e para a detecção e resposta a incidentes, permitindo que as organizações identifiquem atividades suspeitas, investiguem violações e mantenham um registro detalhado do que acontece em seu ambiente [1].

Introdução

No ambiente de trabalho moderno, onde os dados são acessados e compartilhados em diversas plataformas e dispositivos, a visibilidade sobre as atividades dos usuários é mais crítica do que nunca. O Microsoft 365 oferece um conjunto robusto de recursos de auditoria que registram uma vasta gama de ações realizadas por usuários e administradores em serviços como Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams e Azure AD. Esses logs de auditoria são uma fonte inestimável de informações para investigações forenses, verificações de conformidade e para entender como os dados estão sendo utilizados na organização [2].

Este guia prático abordará a ativação do log de auditoria unificado, a pesquisa de logs de auditoria no portal de conformidade do Microsoft Purview, a criação de alertas personalizados e as melhores práticas para o monitoramento contínuo. Serão fornecidas instruções passo a passo, exemplos de comandos PowerShell e descrições para que o leitor possa implementar uma estratégia eficaz de auditoria e monitoramento, fortalecendo a postura de segurança e garantindo a conformidade em seu ambiente Microsoft 365.

Por que Auditoria e Monitoramento são cruciais no Microsoft 365?

  • Detecção de Ameaças: Identifica atividades suspeitas, como tentativas de acesso não autorizadas, compartilhamento indevido de dados ou alterações em configurações críticas.
  • Conformidade Regulatória: Ajuda a atender a requisitos de auditoria e conformidade de diversas regulamentações (ex: GDPR, LGPD, HIPAA, ISO 27001) ao fornecer um registro imutável das ações.
  • Investigação de Incidentes: Fornece os dados necessários para investigar violações de segurança, vazamento de dados ou atividades maliciosas, permitindo uma resposta rápida e eficaz.
  • Visibilidade Operacional: Permite que os administradores entendam como os usuários estão interagindo com os serviços do Microsoft 365, otimizando o uso e identificando necessidades de treinamento.

Pré-requisitos

  1. Licenciamento: A auditoria básica está disponível na maioria das licenças Microsoft 365. Para recursos como retenção de longo prazo e eventos de maior valor (Auditoria Avançada), é necessária uma licença Microsoft 365 E5 ou um complemento de conformidade [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador Global, Administrador de Conformidade ou permissões de Logs de Auditoria no portal de conformidade do Microsoft Purview (https://compliance.microsoft.com).
  3. Log de Auditoria Ativado: O log de auditoria unificado deve estar ativado.

Passo a Passo: Configurando e Monitorando Atividades de Usuário

1. Verificando e Ativando o Log de Auditoria

Por padrão, a auditoria já vem ativada na maioria das organizações. Para verificar:

  1. Acesse o portal de conformidade do Microsoft Purview: https://compliance.microsoft.com.
  2. No menu, selecione Auditoria.
  3. Se a auditoria não estiver ativa, você verá um banner para iniciar a gravação. Clique nele.

2. Pesquisando o Log de Auditoria

A ferramenta de pesquisa de log de auditoria é o seu principal recurso para investigações.

  1. Na página de Auditoria do portal Purview, configure sua pesquisa:
    • Intervalo de datas e horas (UTC): Período da investigação.
    • Atividades: Filtre por ações específicas (ex: Accessed file, User logged in).
    • Usuários: Especifique um ou mais usuários.
    • Arquivo, pasta ou site: Refine a busca para um recurso específico.
  2. Clique em Pesquisar. Os resultados podem ser exportados para análise.

Usando PowerShell para Pesquisar Logs de Auditoria

Para automação e pesquisas complexas, o PowerShell é ideal.

  1. Conecte-se ao Exchange Online PowerShell. powershell Connect-ExchangeOnline
  2. Use o cmdlet Search-UnifiedAuditLog. Exemplo para buscar atividades de exclusão de arquivos por um usuário nos últimos 7 dias: powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Format-Table CreationDate, UserIds, Operations, AuditData

3. Criando Alertas sobre Atividades de Auditoria

Seja notificado proativamente quando atividades críticas ocorrerem.

  1. No portal de conformidade do Microsoft Purview, vá para Políticas > Políticas de alerta.
  2. Clique em Nova política de alerta.
  3. Nomeie a política: Dê um nome descritivo (ex: Alerta - Exclusão de Arquivos em Massa).
  4. Atividades: Selecione as atividades que devem disparar o alerta (ex: Deleted file).
  5. Condições: Defina os gatilhos, como o número de ocorrências em um determinado período de tempo para um único usuário.
  6. Destinatários: Especifique quem deve receber a notificação por e-mail.
  7. Revisar e criar a política.

Auditoria Avançada (Microsoft 365 E5)

Para organizações com requisitos rigorosos de conformidade e segurança, a Auditoria Avançada oferece capacidades aprimoradas:

  • Retenção de Longo Prazo: Retenha logs de auditoria por até 1 ano por padrão, com a opção de estender para 10 anos. Essencial para investigações forenses de longo prazo.
  • Eventos de Alto Valor: Acesso a eventos mais detalhados, como MailItemsAccessed (quando um e-mail foi lido) e SearchQueryInitiated (o que os usuários estão pesquisando no SharePoint e Exchange). Esses eventos são cruciais para investigar violações de dados e atividades de reconhecimento.
  • Maior Largura de Banda da API: Acesso mais rápido e com maior volume aos logs de auditoria através da API de Atividade de Gerenciamento do Office 365, facilitando a integração com sistemas SIEM.

Melhores Práticas para Auditoria e Monitoramento

  • Revise os Logs Regularmente: Não espere por um incidente. Agende revisões semanais ou mensais dos logs para identificar anomalias.
  • Foque em Atividades de Alto Risco: Priorize o monitoramento de atividades como acesso de não proprietários a caixas de correio, compartilhamento externo de arquivos e alterações de permissões de administrador.
  • Integre com um SIEM: Envie os logs de auditoria para uma solução SIEM como o Microsoft Sentinel para correlação com outras fontes de dados e detecção avançada.
  • Use o Princípio do Menor Privilégio: Limite o número de administradores com acesso aos logs de auditoria para evitar adulterações.
  • Documente sua Estratégia: Mantenha um documento que descreva quais atividades são monitoradas, por que, e qual é o procedimento de resposta para cada alerta.

Conclusão

A auditoria e o monitoramento de atividades de usuário no Microsoft 365 não são apenas uma formalidade de conformidade, mas um componente ativo e essencial da defesa de uma organização. Ao utilizar as ferramentas disponíveis no portal de conformidade do Microsoft Purview, automatizar pesquisas com o PowerShell e configurar alertas proativos, os administradores podem obter a visibilidade necessária para detectar, investigar e responder a ameaças de forma eficaz, protegendo os dados valiosos da empresa.

Referências

[1] Microsoft. (2023). Visão geral da Auditoria do Microsoft Purview. [2] Microsoft. (2023). Pesquisar o log de auditoria no portal de conformidade. [3] Microsoft. (2023). Auditoria Avançada do Microsoft Purview.