As equipes de segurança precisam ingerir eventos de auditoria do Copilot em seus SIEMs para monitorar acesso a dados e ações de usuários. Sem uma referência clara de esquema, analisar logs de auditoria do Copilot se torna um palpite. O Unified Audit Log expõe campos específicos para interações do Copilot, incluindo recuperação de dados de ancoragem e geração de respostas. Este artigo documenta os principais campos do esquema, seus tipos de dados e como mapeá-los para padrões de normalização de SIEM.
Principais Conclusões: Esquema de Auditoria do Copilot para Ingestão em SIEM
- Propriedade AuditLog.Query: Contém o prompt bruto do usuário enviado ao Copilot para análise e detecção de ameaças.
- AuditLog.GroundingDataSources: Lista as fontes de dados do Microsoft Graph acessadas pelo Copilot para gerar uma resposta.
- AuditLog.UserId e AuditLog.CopilotSessionId: Chaves de correlação primárias para vincular consultas a sessões e contas de usuário.
Visão Geral do Esquema de Log de Auditoria do Copilot
O Microsoft 365 gera registros de auditoria para cada interação do Copilot. Esses registros aparecem no Unified Audit Log e contêm um payload JSON com campos estruturados. O esquema inclui identidade do usuário, contexto da sessão, a consulta do usuário, as fontes de dados acessadas pelo Copilot e metadados do conteúdo da resposta. As equipes de segurança usam esses campos para criar regras de detecção, investigar atividades suspeitas e atender a requisitos de conformidade.
O esquema de auditoria segue o esquema de log de auditoria do Centro de Conformidade do Microsoft 365. Todos os eventos do Copilot usam o tipo de auditoria CopilotInteraction. A propriedade AuditData contém o objeto JSON aninhado com campos específicos do Copilot. Cada registro de evento também inclui campos de auditoria padrão, como CreationTime, UserId, ClientIP e Workload.
Pré-requisitos para Acesso ao Log de Auditoria
Antes de ingerir dados de auditoria do Copilot em um SIEM, você deve atender a estes requisitos:
- Uma licença Microsoft 365 E5 ou um complemento de conformidade E5 para a organização
- Registro de auditoria habilitado no centro de administração do Microsoft 365
- Um registro de aplicativo do Azure com a permissão
AuditLog.Read.Allpara ingestão baseada em API - Uma plataforma SIEM que suporte a API de Atividades de Gerenciamento do Office 365
Campos Principais do Esquema para Eventos de Auditoria do Copilot
A tabela a seguir lista os campos essenciais no objeto JSON AuditData para interações do Copilot. Use esses campos para mapear eventos do Copilot para o Common Event Format do seu SIEM ou esquema personalizado.
| Nome do Campo | Tipo de Dado | Descrição |
|---|---|---|
| Query | String | O texto exato do prompt do usuário enviado ao Copilot |
| Response | String | A resposta em texto gerada pelo Copilot |
| GroundingDataSources | Array de Strings | Lista de fontes de dados do Microsoft Graph acessadas, como Mail, Files ou Calendar |
| CopilotSessionId | GUID | Identificador único para toda a sessão do Copilot |
| ConversationId | GUID | Identificador para um par consulta-resposta dentro de uma sessão |
| ApplicationId | GUID | Identificador do aplicativo Microsoft 365 que hospeda o Copilot, como Word ou Teams |
| TenantId | GUID | Identificador do locatário do Microsoft 365 |
| UserId | String | Nome principal do usuário da pessoa que enviou a consulta |
| CreationTime | DateTime | Timestamp UTC de quando o evento de auditoria foi gerado |
| Operation | String | O valor é sempre CopilotInteraction |
| ClientIP | String | Endereço IP do dispositivo do usuário |
| Workload | String | Serviço do Microsoft 365 que hospeda a interação, como MicrosoftTeams ou WordOnline |
Detalhes dos Campos para Correlação em SIEM
O array GroundingDataSources é crítico para o monitoramento de segurança. Cada entrada descreve uma fonte de dados que o Copilot consultou para gerar a resposta. Valores comuns incluem Mail para e-mail, Files para documentos do SharePoint e OneDrive, Calendar para eventos de calendário e Chat para histórico de chat do Teams. Se este campo estiver vazio, o Copilot não acessou nenhum dado organizacional para a consulta.
O campo Query contém o prompt bruto do usuário. Este campo pode incluir informações confidenciais. Trate-o como dado confidencial em seu SIEM. Aplique mascaramento de dados ou controles de acesso com base na política de classificação de dados da sua organização.
Mapeando Campos de Auditoria do Copilot para Formatos Comuns de SIEM
Para integrar eventos de auditoria do Copilot ao seu SIEM, mapeie os campos do Microsoft 365 para o esquema padrão do seu SIEM. A tabela abaixo fornece mapeamentos para três plataformas SIEM comuns.
| Campo Microsoft 365 | Campo Splunk | Campo Azure Sentinel | Campo QRadar |
|---|---|---|---|
| Query | copilot_query | Query | message |
| Response | copilot_response | Response | payload |
| GroundingDataSources | copilot_sources | GroundingDataSources | customProperty |
| CopilotSessionId | copilot_session_id | CopilotSessionId | sessionid |
| UserId | user | UserId | username |
| CreationTime | _time | TimeGenerated | startTime |
| ClientIP | src_ip | ClientIP | sourceIP |
| Workload | app | Workload | applicationName |
Problemas Comuns com a Ingestão do Esquema de Auditoria do Copilot
Eventos de Auditoria do Copilot Ausentes do Unified Audit Log
Se as interações do Copilot não aparecerem no log de auditoria, verifique se o registro de auditoria está habilitado para a organização. Vá para o centro de administração do Microsoft 365, selecione Auditoria em Segurança e Conformidade e confirme se a auditoria está ativada. Verifique também se os usuários têm a licença E5 necessária. Sem a licença, as interações do Copilot não são auditadas.
Campo GroundingDataSources Vazio
Um campo GroundingDataSources vazio significa que o Copilot não acessou nenhum dado do Microsoft Graph para a consulta. Isso ocorre quando o usuário faz uma pergunta de conhecimento geral que não requer dados organizacionais. Também pode acontecer se o plugin do Copilot para Microsoft Graph estiver desabilitado. Verifique as configurações do Copilot no centro de administração do Microsoft 365 em Copilot > Fontes de dados para confirmar que o acesso a dados do Microsoft Graph está habilitado.
Falha na Ingestão do SIEM Devido a Mudanças no Esquema
A Microsoft pode adicionar ou renomear campos no esquema de auditoria do Copilot à medida que o serviço evolui. Monitore a documentação de conformidade do Microsoft 365 para atualizações de esquema. Construa seu pipeline de ingestão de SIEM para lidar com campos desconhecidos de forma flexível. Use um analisador de campo dinâmico que não quebre quando novos campos aparecerem.
Esquema de Auditoria do Copilot vs Esquema de Auditoria Padrão do Microsoft 365
| Característica | Esquema de Auditoria do Copilot | Esquema de Auditoria Padrão |
|---|---|---|
| Tipo de evento | CopilotInteraction | Varia por operação |
| Campo de consulta do usuário | AuditData.Query | Não presente |
| Campo de fontes de dados | AuditData.GroundingDataSources | Não presente |
| Rastreamento de sessão | AuditData.CopilotSessionId | Não presente |
| Conteúdo da resposta | AuditData.Response | Não presente |
| Campos padrão | UserId, ClientIP, CreationTime, Workload | UserId, ClientIP, CreationTime, Workload |
O esquema do Copilot estende o esquema de auditoria padrão com campos específicos para interações de IA generativa. Eventos de auditoria padrão não contêm os campos Query, Response ou GroundingDataSources. As equipes de segurança devem atualizar suas regras de análise de SIEM para extrair esses novos campos do objeto JSON AuditData.
Conclusão
Agora você pode mapear os campos de auditoria do Copilot para seu SIEM usando os nomes de campos e tipos de dados documentados nesta referência. Os campos Query e GroundingDataSources são as principais fontes para detectar acesso não autorizado a dados. Comece configurando a API de Atividades de Gerenciamento do Office 365 em seu SIEM para extrair eventos CopilotInteraction. Para monitoramento avançado, crie regras de correlação que sejam acionadas quando o Copilot acessar fontes de dados confidenciais como Mail ou Files de um usuário fora de seu padrão de trabalho regular.