Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O registo de auditoria ajuda-o a investigar atividades específicas em todos os serviços Microsoft. Microsoft Sentinel data lake e atividades de gráficos são auditadas e podem ser pesquisadas no registo de auditoria. O registo de auditoria fornece um registo das atividades que são realizadas por utilizadores e administradores no data lake e gráfico Microsoft Sentinel, tais como:
- Aceder a dados no Lake através de consultas KQL
- Executar blocos de notas no data lake
- Criar/editar/executar/eliminar tarefas
- Executar consulta de grafo
- Criar e executar ferramentas MCP
A auditoria é ativada automaticamente para Microsoft Sentinel data lake e gráfico. As funcionalidades auditadas são registadas automaticamente no registo de auditoria.
Pré-requisitos
Microsoft Sentinel data lake e grafo utiliza a solução de auditoria do Microsoft Purview. Antes de poder ver os dados de auditoria, tem de ativar a auditoria no portal do Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria.
Para aceder ao registo de auditoria, tem de ter a função Registos de Auditoria Apenas de Visualização ou Registos de Auditoria no Exchange Online. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Conformidade e Gestão da Organização.
Observação
Os administradores globais no Office 365 e Microsoft 365 são automaticamente adicionados como membros do grupo de funções de Gerenciamento da Organização no Exchange Online.
Importante
O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários em que não pode utilizar uma função existente. A Microsoft recomenda que você use funções com o menor número de permissões. Utilizar contas com permissões mais baixas ajuda a melhorar a segurança da sua organização.
Microsoft Sentinel atividades de data lake e grafos
Para obter uma lista de todos os eventos registados para atividades de utilizador e administrador no Microsoft Sentinel data lake, consulte os seguintes artigos:
- Microsoft Sentinel atividades de inclusão do Data Lake
- Microsoft Sentinel atividades do data lake notebook
- Microsoft Sentinel atividades de tarefas do data lake
- atividades KQL do data lake Microsoft Sentinel
- Microsoft Sentinel atividades da ferramenta de IA
- atividades de gráficos de Microsoft Sentinel
Para obter informações detalhadas sobre o esquema do registo de auditoria, veja Microsoft Sentinel esquema do data lake e do gráfico.
Pesquisar o log de auditoria
Siga estes passos para procurar no registo de auditoria:
Navegue para o portal do Microsoft Purview e selecione Auditoria.
Na página Nova Pesquisa , filtre as atividades, datas e utilizadores que pretende auditar.
Selecione Procurar
Exporte os resultados para o Excel para análise posterior.
Para obter instruções passo a passo, consulte Pesquisar o início de sessão de auditoria no portal do Microsoft Purview.
A retenção do registo de auditoria baseia-se nas políticas de retenção do Microsoft Purview. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Procurar eventos com um script do PowerShell
Pode utilizar o seguinte fragmento de código do PowerShell para consultar a API de Gestão de Office 365 para obter informações sobre Microsoft Defender XDR eventos:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Observação
Veja a coluna API em Atividades de auditoria incluídas para os valores de tipo de registo.
Para obter mais informações, veja Utilizar um script do PowerShell para procurar no registo de auditoria