Auditoria no Microsoft Purview: o que você não sabe pode custar caro (e já custou)
Conformidade na prática
Quando um incidente acontece, a primeira pergunta é "quem fez isso?". Se o Audit Log estava desativado ou mal configurado, a resposta é silêncio. Este artigo mostra como funciona a auditoria no Microsoft Purview, o que ela registra, o que ela não registra, e por que ignorar esse recurso é um dos erros mais caros que uma empresa pode cometer.
O Dia em que o Log Estava em Branco
Liguei para um cliente depois de um incidente. Um colaborador havia sido desligado na semana anterior, e a suspeita era de que ele tinha acessado e-mails de outros usuários antes de sair, possivelmente para levar informações comerciais. A diretoria queria provar, ou descartar.
Abri o portal de compliance, fui em Audit, filtrei pelo período, pelo usuário. Resultado: nada.
Não porque ele não tinha feito nada. Porque o log nunca havia sido ativado.
Esse cenário se repete em mais empresas do que parece. A auditoria do Microsoft Purview existe, é gratuita na maioria dos planos, mas está lá esperando. Quando a organização precisa dela, percebe que nunca configurou nada.
Já vi situação pior: um caso em que o próprio administrador do tenant usou permissões elevadas para acessar a caixa postal de um sócio, sem autorização. O Audit Log estava ativo. E foi exatamente ele que entregou a evidência.
O que é o Audit do Purview (e o que ele não é)
O Audit do Microsoft Purview é um registro unificado de atividades realizadas por usuários e administradores em dezenas de serviços do Microsoft 365: Exchange Online, SharePoint, OneDrive, Teams, Entra ID, Defender e outros.
Ele não é um sistema de monitoramento em tempo real. Não gera alertas por padrão. Não substitui um SIEM. É uma trilha de auditoria forense: você consulta quando precisa investigar o que aconteceu.
Existem dois níveis:
Audit Standard
- Habilitado por padrão em todos os planos M365 (Business Basic, Standard, Premium, E3, E5)
- Retém logs por 180 dias (antes de outubro de 2023, eram 90 dias; muitos clientes ainda operam com essa premissa incorreta)
- Cobre milhares de eventos: login, acesso a arquivos, alteração de políticas, envio de e-mail, exclusão de itens e muito mais
- Exportação para CSV inclusa
Audit Premium
- Requer licença Microsoft 365 E5, E5 Compliance add-on ou E5 eDiscovery and Audit
- Retém logs por 1 ano por padrão (extensível para 10 anos com add-on)
- Inclui eventos de alto valor que o Standard não registra, como
MailItemsAccessed - Acesso com maior largura de banda à Office 365 Management Activity API
- Suporte a políticas de retenção personalizadas por tipo de atividade
Tabela Comparativa: Standard vs. Premium
# | Recurso | Audit Standard | Audit Premium |
1 | Habilitado por padrão | Sim | Sim (para tenants E5) |
2 | Retenção padrão | 180 dias | 1 ano |
3 | Retenção máxima | 180 dias | 10 anos (add-on) |
4 | Ferramenta de busca no portal | Sim | Sim |
5 | Search-UnifiedAuditLog (PowerShell) | Sim | Sim |
6 | Exportação para CSV | Sim | Sim |
7 | MailItemsAccessed | Não | Sim |
8 | SearchQueryInitiatedExchange | Não | Sim (requer ativação manual) |
9 | SearchQueryInitiatedSharePoint | Não | Sim (requer ativação manual) |
10 | Políticas de retenção personalizadas | Não | Sim |
11 | Largura de banda alta (Management API) | Padrão | Aumentada |
12 | Licença mínima | Business Basic | E5 / E5 Compliance add-on |
Ativando a Auditoria: Não Basta Ter a Licença
Aqui está um detalhe que pega muita gente: o Audit Standard diz que é habilitado por padrão. Mas existem tenants antigos, migrados ou criados por parceiros de formas específicas onde ele não está ativo. Antes de assumir que está funcionando, verifique.
Verificação via PowerShell
Conecte ao Exchange Online PowerShell e execute:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Se o retorno for True, está ativo. Se for False, ative com:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueAtenção: este comando deve ser executado no Exchange Online PowerShell. Se executado no Security & Compliance PowerShell, o valor deUnifiedAuditLogIngestionEnabledsempre retornaFalse, mesmo que o log esteja ativo. Esse é um bug conhecido e documentado.
Verificação pelo portal
- Acesse compliance.microsoft.com
- No menu lateral, clique em Audit
- Se aparecer um banner "Start recording user and admin activity", o log está desativado. Clique no botão para ativar.
- A ativação pode levar até 24 horas para propagar
Permissões necessárias para consultar
Para buscar no log de auditoria, o usuário precisa de ualguma das seguintes roles no portal de compliance:
# | Roles | O que permite |
1 | Audit Manager | Buscar, exportar e gerenciar configurações de auditoria |
2 | Audit Reader | Buscar e exportar apenas (sem gerenciar configurações) |
Essas roles são atribuídos no Microsoft Purview portal > Configurações > Funções e escopos, e também requerem permissão equivalente no Exchange Admin Center para acesso via PowerShell.
Mapeando o que Importa: os Eventos Críticos para PMEs
O log registra milhares de tipos de evento. Na prática, para uma PME brasileira, existe um conjunto de atividades que merece atenção prioritária:
Exchange Online
# | Operação | O que indica |
1 | MailItemsAccessed | Acesso a itens do e-mail por qualquer protocolo (Premium only) |
2 | Add-MailboxPermission | Alguém recebeu acesso à caixa de e-mail de outro usuário |
3 | Set-Mailbox | Alteração de configuração de caixa postal |
4 | UpdateCalendarDelegation | Delegação de calendário adicionada ou removida |
5 | SendAs / SendOnBehalf | E-mail enviado como ou em nome de outro usuário |
SharePoint e OneDrive
# | Operação | O que indica |
1 | FileDeleted | Arquivo excluído |
2 | FileDownloaded | Arquivo baixado externamente |
3 | SharingInvitationCreated | Link de compartilhamento externo gerado |
4 | PermissionLevelModified | Permissão de site alterada |
Entra ID e Administração
# | Operação | O que indica |
1 | UserLoggedIn / UserLoginFailed | Tentativa de acesso, com IP e localização |
2 | Add member to role | Usuário adicionado a papel privilegiado (ex.: Global Admin) |
3 | Update user | Alteração em atributo de usuário |
4 | Delete user | Conta excluída |
Quando a Ameaça Vem de Dentro: o Caso da Diretoria
Este é o caso que mais me marcou. Um cliente descobriu que um dos diretores havia utilizado acesso administrativo ao tenant. Ele tinha esse acesso por ser o responsável técnico do contrato de TI, e o usou para conceder a si mesmo permissão de acesso à caixa postal de um dos sócios. A motivação era monitorar comunicações internas em meio a uma disputa societária. O Audit Log registrou tudo:
- A operação
Add-MailboxPermissioncom o usuário do diretor como executor - O horário exato da concessão de permissão
- As operações subsequentes de leitura de e-mails (
MailItemsAccessed, visível porque o tenant tinha E5) - A remoção da permissão dias depois, tentando apagar o rastro
Essa evidência foi usada em processo jurídico. Algo que surpreende quem nunca investigou um incidente: o Audit Log não faz distinção de cargo ou hierarquia. Um Global Admin que executa uma ação indevida deixa o mesmo rastro que um estagiário. A auditoria protege todos, inclusive a empresa de seus próprios administradores.
Realizando a Busca no Portal
Com o log ativo e as permissões corretas, a busca pelo portal é direta:
- Acesse compliance.microsoft.com > Audit
- Defina o período (máximo de 90 dias por busca no portal)
- Selecione as Atividades que quer investigar (ou deixe em branco para todas)
- Filtre por Usuário específico se necessário
- Clique em Search
O portal executa o job em background. Você pode fechar a janela e voltar depois. Os jobs ficam disponíveis por 30 dias. Cada usuário admin pode ter até 10 jobs simultâneos, com limite de 1 busca irrestrita por vez.
Via PowerShell (Search-UnifiedAuditLog)
Para buscas em volume ou automação, o PowerShell é mais eficiente:
# Buscar todos os eventos de um usuário nos últimos 7 diasSearch-UnifiedAuditLog
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "carlos.erutan@azurebrasil.cloud" -ResultSize 5000 | Export-Csv -Path "C:\Users\[select]\Downloads\auditoria.csv" -NoTypeInformation# Buscar concessões de permissão de caixa postalSearch-UnifiedAuditLog ` -
StartDate "2026-01-01" ` -EndDate "2026-05-20" ` -Operations "Add-MailboxPermission" ` -ResultSize 1000 | Export-Csv -Path "C:\Users\[select]\Downloads\auditoria.csv" -NoTypeInformation# Verificar quem acessou a caixa de um usuário específico (requer Audit Premium)
Search-UnifiedAuditLog ` -StartDate "2026-05-10" ` -EndDate "2026-05-20" ` -Operations "MailItemsAccessed" ` -UserIds "vitima@empresa.com.br" ` -ResultSize 5000 | Export-Csv -Path "C:\Users\[select]\Downloads\auditoria.csv" -NoTypeInformation
O cmdlet retorna no máximo 5.000 registros por chamada. Para períodos longos com alto volume, você precisa paginar usando loops com -SessionId e -SessionCommand ReturnNextPreviewPage.
O que o Microsoft Learn Não Deixa Claro
Alguns detalhes ficam escondidos na documentação técnica e só aparecem na prática:
MailItemsAccessed é exclusivo do Audit Premium: o que isso muda em casos de BEC(Business Email Compromise)
Esse evento registra toda vez que um item de e-mail é acessado, por qualquer protocolo (IMAP, EWS, REST, Outlook). É o principal evento para investigar Business Email Compromise. No Standard, você sabe que o e-mail foi enviado. Mas não sabe que a caixa foi lida por um atacante, silenciosamente.
O log não é instantâneo
Existe uma latência entre a ação e o registro no log: tipicamente alguns minutos, podendo chegar a horas em períodos de alta carga. Para investigações em tempo real, o Log de Auditoria não é a ferramenta certa.
Nem toda ação de admin é logada
Operações de infraestrutura do Microsoft 365, como replicações internas e rotinas automáticas de manutenção, não aparecem no log. O que está documentado como auditável é o que o cliente pode consultar; o restante é interno à Microsoft.
SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint precisam ser ativados manualmente
Mesmo com Audit Premium, esses dois eventos, que registram o que os usuários pesquisam no Outlook e no SharePoint, não são ativados automaticamente. Você precisa rodar o cmdlet abaixo para cada usuário:
Set-Mailbox "usuario@empresa.com.br" -AuditOwner @{Add="SearchQueryInitiated"}A retenção de 90 dias ainda assombra tenants antigos
A mudança para 180 dias ocorreu em outubro de 2023. Logs gerados antes disso, em tenants que não tinham Audit Premium, foram retidos por apenas 90 dias e já expiraram. Se o incidente que você está investigando ocorreu antes de outubro de 2023 e não havia Premium, os logs provavelmente não existem mais.
Erros que Destroem a Evidência Antes do Incidente
1. Nunca verificar se o log está ativo
O mais comum. Assumir que está habilitado sem conferir. Quando o incidente acontece, não há nada a consultar.
2. Não exportar antes do prazo expirar
180 dias parece muito, até a investigação começar 6 meses depois do evento. Organizações que passaram por disputas jurídicas ou auditorias sabem que o período de descoberta pode ser longo. Sem uma política de exportação periódica ou uso da Management API para retenção estendida, evidências desaparecem permanentemente.
3. Ninguém tem permissão para consultar
O log está ativo, mas na hora da crise ninguém além do Global Admin pode acessar. E o Global Admin está envolvido no incidente. Atribuir previamente o papel de Audit Reader a um colaborador de confiança (jurídico, compliance, parceiro técnico) é uma prática simples que evita esse impasse.
Checklist de Auditoria para Sua Empresa
Aplique esses pontos no seu tenant ou no do seu cliente:
- Verificar se
UnifiedAuditLogIngestionEnabledestá comoTrue - Confirmar a retenção atual (180 dias para Standard, 1 ano para Premium)
- Atribuir papel de Audit Reader a pelo menos um responsável não-admin
- Documentar quais operações serão monitoradas e com qual frequência
- Definir processo de exportação periódica de logs críticos (ex.:
Add-MailboxPermission, logins com falha) - Se tiver E5: ativar
SearchQueryInitiatedpara usuários em posições sensíveis - Avaliar se a retenção de 180 dias é suficiente para os requisitos jurídicos e regulatórios da empresa
