Se você suspeita que um usuário ou invasor baixou centenas de arquivos do OneDrive em um curto período, precisa de um método para confirmar. O Microsoft Purview fornece logs de auditoria que capturam cada evento de download de arquivo, incluindo o usuário, nome do arquivo, data e IP do cliente. Este artigo explica como pesquisar no Purview por atividade de download em massa, interpretar os resultados e configurar alertas para incidentes futuros.
Principais Conclusões: Investigando Downloads em Massa do OneDrive no Purview
- Portal de conformidade do Microsoft Purview > Auditoria > Pesquisar: O local principal para consultar eventos de download de arquivos usando a operação “FileDownloaded”.
- Exportar logs de auditoria para CSV: Permite classificar por usuário, data e contagem de arquivos no Excel ou em um script para análise de padrões.
- Criar uma política de alerta: Notifica automaticamente as equipes de segurança quando um único usuário baixa mais de um limite de arquivos em uma janela de tempo.
O que Dispara um Evento de Download em Massa no OneDrive
Quando um usuário baixa vários arquivos do OneDrive, cada arquivo gera um evento de auditoria separado com o nome de operação FileDownloaded. Um download em massa é definido por um número anormalmente alto desses eventos de uma única conta de usuário em um curto espaço de tempo, como 100 arquivos em 10 minutos. A causa pode ser uma exportação legítima em massa por um analista de dados, mas também pode indicar exfiltração de dados por uma conta comprometida ou um insider malicioso. O Microsoft Purview captura o endereço IP de origem, a string do user agent e o caminho exato do arquivo para cada download, o que ajuda a distinguir o uso normal de comportamento suspeito.
Pré-requisitos para Acessar os Logs de Auditoria do Purview
Antes de pesquisar logs de auditoria, sua organização deve ter uma das seguintes assinaturas: Microsoft 365 E5, Microsoft 365 E5 Conformidade ou complemento de Auditoria e Descoberta Eletrônica do Microsoft 365 E5. Os usuários que realizam a pesquisa devem ter a função de Logs de Auditoria atribuída no portal de conformidade do Microsoft Purview. Além disso, o registro em log de auditoria deve estar habilitado para seu locatário. Para verificar, vá para Portal de conformidade do Microsoft Purview > Auditoria > Políticas de retenção de auditoria e confirme que o status mostra Pesquisa de log de auditoria ativada.
Etapas para Pesquisar Downloads em Massa nos Logs de Auditoria do Purview
- Abra o portal de conformidade do Microsoft Purview
Entre em compliance.microsoft.com com uma conta que tenha a função de Logs de Auditoria. Na navegação à esquerda, selecione Auditoria em Soluções. - Defina o intervalo de datas e o filtro de usuário
Na página de pesquisa de auditoria, defina a Data inicial e a Data final para cobrir a janela do incidente suspeito. No campo Usuário, insira o nome principal do usuário da conta que deseja investigar. Deixe o campo Arquivo, pasta ou site em branco para capturar todas as atividades. - Filtre pela atividade FileDownloaded
Em Atividades, clique em Mostrar atividades para todas as atividades. Na caixa de pesquisa, digite FileDownloaded. Marque a caixa ao lado de FileDownloaded e clique em Aplicar. Isso restringe os resultados apenas a eventos de download. - Execute a pesquisa
Clique em Pesquisar na parte inferior da página. O Purview exibirá uma lista de registros de auditoria correspondentes. Os resultados mostram a data, o usuário, o endereço IP e o nome de cada arquivo baixado. Para ver mais detalhes, selecione qualquer registro e clique em Mais informações no painel de detalhes. - Exporte os resultados para CSV
Clique em Exportar na parte superior da página de resultados da pesquisa. Escolha Exportar todos os resultados. Um arquivo CSV será baixado. Abra-o no Excel ou em um editor de texto para classificar e contar o número de downloads por usuário, por hora ou por endereço IP.
Analisando os Dados Exportados para Padrões de Download em Massa
Após exportar o CSV, use as seguintes técnicas para identificar comportamento de download em massa:
- Contar downloads por usuário: No Excel, use uma tabela dinâmica com o campo Usuário nas linhas e a contagem de Item ou Nome do arquivo nos valores. Uma contagem superior a 50 arquivos em um único dia merece investigação adicional.
- Verificar downloads sequenciais rápidos: Classifique o CSV pela coluna CreationTime. Se o mesmo usuário baixou 20 arquivos em 60 segundos, esse padrão sugere download em massa via script ou cliente de sincronização.
- Revisar endereços IP do cliente: Se o endereço IP for diferente do local habitual do usuário ou vier de uma região geográfica inesperada, trate como um sinal de alerta. Faça referência cruzada com logs de VPN ou proxy, se disponíveis.
- Procurar downloads de uma única pasta: Agrupe pela coluna Caminho do item. Downloads em massa geralmente visam uma pasta de projeto compartilhada ou uma biblioteca de documentos contendo dados confidenciais.
Se o Log de Auditoria Mostrar Atividade Suspeita
Contagem de downloads do OneDrive excede 100 arquivos em uma hora
Se o CSV exportado mostrar mais de 100 eventos de download de um único usuário em 60 minutos, tome medidas imediatas. Primeiro, entre em contato com o usuário para verificar se os downloads foram intencionais. Se o usuário confirmar a atividade, verifique se ele usou uma ferramenta de terceiros ou o aplicativo de sincronização do OneDrive. Se o usuário não reconhecer os downloads, presuma que a conta está comprometida. Redefina a senha do usuário, revogue as sessões ativas e habilite a MFA se ainda não estiver ativa.
Downloads originados de um endereço IP desconhecido
Quando o endereço IP no log de auditoria não corresponde aos intervalos de IP públicos conhecidos da organização ou ao local típico do usuário, a conta pode estar sendo acessada por um invasor. Use o endereço IP para consultar o Microsoft Defender para Aplicativos de Nuvem ou seus logs de firewall para obter mais contexto. Bloqueie o endereço IP no nível de rede, se possível, e solicite que o usuário se autentique novamente.
Downloads ocorreram fora do horário comercial
Registros de auditoria com carimbos de data/hora entre 22h e 6h (horário local) devem ser revisados com cuidado. Mesmo que a contagem de downloads seja moderada, o horário do dia por si só pode indicar exfiltração automatizada. Habilite políticas de acesso condicional no Entra ID que restrinjam o acesso ao OneDrive com base em horário e localização.
Configurando uma Política de Alerta para Futuros Downloads em Massa
Para receber notificações automáticas quando ocorrerem downloads em massa, crie uma política de alerta no portal de conformidade do Microsoft Purview:
- Navegue até Políticas de alerta
No portal de conformidade do Purview, vá para Políticas > Alerta > Políticas de alerta. Clique em + Nova política de alerta. - Nomeie a política e selecione a atividade
Insira um nome como Alerta de download em massa do OneDrive. Em Atividade, escolha FileDownloaded na lista. Deixe os campos de usuário e arquivo em branco para cobrir todos os usuários. - Defina o limite
Em Disparar alerta quando, selecione Número de vezes que a atividade ocorre. Defina o valor como 50 e a janela de tempo como 30 minutos. Isso dispara um alerta quando um único usuário baixa 50 arquivos em meia hora. - Atribua destinatários e salve
Em Enviar alerta para, insira os endereços de e-mail da sua equipe de segurança. Clique em Salvar para ativar a política.
Pesquisa Manual de Log de Auditoria vs Política de Alerta: Comparação
| Item | Pesquisa Manual de Log de Auditoria | Política de Alerta |
|---|---|---|
| Finalidade | Investigar um incidente passado específico | Detectar incidentes em andamento ou futuros em tempo real |
| Esforço de configuração | Nenhum, a pesquisa está disponível imediatamente | Requer criar uma política com valores de limite |
| Granularidade dos dados | Exporta cada evento de download com detalhes completos | Fornece apenas notificação de alerta e um resumo do gatilho |
| Melhor para | Análise forense e relatórios de conformidade | Monitoramento proativo de segurança |
Use a pesquisa manual quando precisar de um registro completo de downloads para fins legais ou de conformidade. Use a política de alerta quando sua equipe de segurança precisar de notificação imediata de downloads suspeitos em massa.
Agora você pode pesquisar logs de auditoria do Purview para downloads em massa do OneDrive, analisar os dados exportados em busca de padrões suspeitos e criar uma política de alerta para capturar incidentes futuros automaticamente. Como próximo passo, revise suas políticas de acesso condicional no Entra ID para restringir o acesso ao OneDrive com base na conformidade do dispositivo e na localização. Para monitoramento avançado, integre os alertas do Purview com o Microsoft Sentinel usando o conector de dados do Purview para automatizar a resposta a incidentes.