Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O log de auditoria ajuda a investigar atividades específicas nos serviços da Microsoft. As atividades do data lake e do gráfico do Microsoft Sentinel são auditadas e podem ser pesquisadas no log de auditoria. O log de auditoria fornece um registro das atividades executadas por usuários e administradores no data lake e no gráfico do Microsoft Sentinel, como:
- Acesso a dados no lago através de consultas KQL
- Executando blocos de anotações no data lake
- Criar/editar/executar/excluir trabalhos
- Executar consulta de gráfico
- Criar e executar ferramentas MCP
A auditoria é ativada automaticamente para o data lake e o gráfico do Microsoft Sentinel. As funcionalidades auditadas são registadas automaticamente no registo de auditoria.
Pré-requisitos
O data lake e o gráfico do Microsoft Sentinel usam a solução de auditoria Microsoft Purview. Antes de examinar os dados de auditoria, você precisa ativar a auditoria no portal Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria.
Para aceder ao registo de auditoria, tem de ter a função Registos de Auditoria Apenas de Visualização ou Registos de Auditoria no Exchange Online. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Conformidade e Gestão da Organização.
Observação
Os administradores globais no Office 365 e no Microsoft 365 são automaticamente adicionados como membros do grupo de funções Gestão da Organização no Exchange Online.
Importante
O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários em que não pode utilizar uma função existente. A Microsoft recomenda que utilize funções com o menor número de permissões. Utilizar contas com permissões mais baixas ajuda a melhorar a segurança da sua organização.
Atividades de data lake e gráfico do Microsoft Sentinel
Para obter uma lista de todos os eventos registrados para atividades de usuário e administrador no data lake do Microsoft Sentinel, consulte os seguintes artigos:
- Atividades de integração do lago de dados do Microsoft Sentinel
- Atividades do notebook de lago de dados do Microsoft Sentinel
- Atividades de trabalho do data lake do Microsoft Sentinel
- Atividades do Microsoft Sentinel data lake KQL
- Atividades da ferramenta Microsoft Sentinel AI
- Atividades do gráfico do Microsoft Sentinel
Para obter informações detalhadas sobre o esquema de registos de auditoria, consulte o esquema do lago de dados e grafos do Microsoft Sentinel.
Procurar no registo de autoria
Siga estes passos para procurar no registo de auditoria:
Navegue até o portal Microsoft Purview e selecione Auditoria.
Na página Nova Pesquisa , filtre as atividades, datas e utilizadores que pretende auditar.
Selecione Procurar
Exporte os resultados para o Excel para uma análise mais aprofundada.
Para obter instruções passo a passo, consulte Pesquisar o sinal de auditoria no portal Microsoft Purview.
A retenção do registo de auditoria baseia-se nas políticas de retenção do Microsoft Purview. Para obter mais informações, veja Gerir políticas de retenção de registos de auditoria.
Procurar eventos com um script do PowerShell
Pode utilizar o seguinte fragmento de código do PowerShell para consultar a API de Gestão de Office 365 para obter informações sobre Microsoft Defender XDR eventos:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Observação
Veja a coluna API em Atividades de auditoria incluídas para os valores de tipo de registo.
Para obter mais informações, veja Utilizar um script do PowerShell para procurar no registo de auditoria