Log de Auditoria Não Mostra Eventos de Download de Arquivos: Causas e Soluções Alternativas
🔍 WiseChecker

Log de Auditoria Não Mostra Eventos de Download de Arquivos: Causas e Soluções Alternativas

Ao pesquisar no log de auditoria do Microsoft 365 por atividades de download de arquivos, os eventos esperados podem estar ausentes. Isso deixa as equipes de segurança sem visibilidade sobre quem acessou documentos confidenciais. A causa raiz é que o SharePoint Online registra downloads de arquivos de forma diferente de outras operações. Este artigo explica por que os eventos de download estão ausentes do log de auditoria e fornece soluções alternativas para capturar essa atividade.

Os eventos de download de arquivos no SharePoint são registrados apenas em condições específicas. A configuração padrão de auditoria registra downloads quando um usuário abre ou baixa um arquivo pelo navegador. No entanto, downloads acionados pelo cliente de sincronização do OneDrive, aplicativos de terceiros ou certas chamadas de API não são capturados. Essa lacuna pode fazer parecer que ninguém baixou um arquivo, quando na verdade o fez.

Este artigo aborda os motivos técnicos por trás da ausência de eventos de download e oferece soluções alternativas práticas. Você aprenderá a ajustar as configurações do log de auditoria, usar métodos de registro alternativos e revisar eventos relacionados que podem confirmar o acesso ao arquivo.

Principais Conclusões: Como Lidar com Eventos de Download Ausentes no Log de Auditoria

  • Microsoft 365 Defender > Auditoria > Pesquisa de log de auditoria: A ferramenta principal para revisar eventos de auditoria, mas não registra todos os tipos de download.
  • Central de administração do SharePoint > Controle de acesso > Políticas de acesso a dispositivos: Permite o registro de acesso condicional que pode capturar tentativas de download.
  • Evento de arquivo visualizado (ID do evento 16): Um evento relacionado que geralmente aparece quando um arquivo é aberto no navegador, podendo servir como proxy para atividade de download.

ADVERTISEMENT

Por que os Logs de Auditoria do SharePoint Não Capturam Todos os Downloads de Arquivos

O log de auditoria do Microsoft 365 registra muitas atividades de usuários no SharePoint e OneDrive. No entanto, os eventos de download de arquivos não são tão abrangentes quanto outras operações, como upload, exclusão ou renomeação de arquivos. Isso acontece porque o SharePoint trata downloads de arquivos como uma operação de leitura em vez de um evento distinto em muitos cenários.

Eventos de Download que São Registrados

Quando um usuário clica em um link de arquivo em uma biblioteca de documentos do SharePoint e escolhe Download no navegador, o log de auditoria registra um evento Arquivo baixado. Esse evento aparece com o nome de operação FileDownloaded e inclui o usuário, nome do arquivo e URL do site. Este é o único cenário em que um evento de download direto é registrado.

Eventos de Download que Não São Registrados

Várias ações comuns não geram um evento Arquivo baixado:

  • Cliente de sincronização do OneDrive: Quando um arquivo é sincronizado para o dispositivo local do usuário, o cliente de sincronização baixa o arquivo. Essa atividade não é registrada como um evento de download porque o cliente de sincronização usa um protocolo de API diferente.
  • Aplicativos de terceiros e chamadas de API: Aplicativos que acessam o SharePoint via Microsoft Graph ou APIs REST podem baixar arquivos sem acionar um evento de auditoria. O tipo de chamada de API determina se o registro ocorre.
  • Download de vários arquivos em um zip: Quando um usuário seleciona vários arquivos e os baixa como um único arquivo zip, o log de auditoria registra um evento Arquivo baixado para o arquivo zip, não para cada arquivo individual dentro dele.
  • Impressão ou abertura em aplicativo cliente: Se um usuário abre um arquivo no Microsoft Office desktop a partir do SharePoint, o arquivo é baixado para o cache local. Essa ação pode não aparecer como um evento de download, a menos que o usuário salve explicitamente uma cópia.

Retenção e Licenciamento do Log de Auditoria

A retenção do log de auditoria depende da licença do Microsoft 365. Usuários com licença E5 retêm registros de auditoria por um ano. Licenças E3 retêm registros por 90 dias. Se você estiver procurando eventos mais antigos que o período de retenção, eles não aparecerão. Além disso, o log de auditoria deve estar ativado para seu locatário. Por padrão, o registro de auditoria está habilitado para todas as organizações do Microsoft 365, mas um administrador pode tê-lo desabilitado.

Soluções Alternativas para Capturar ou Verificar Atividade de Download de Arquivos

Como os eventos de download direto são limitados, use as seguintes soluções alternativas para monitorar o acesso a arquivos.

Use o Evento de Arquivo Visualizado como Proxy

  1. Abra o portal do Microsoft 365 Defender
    Vá para Microsoft 365 Defender > Auditoria > Pesquisa de log de auditoria. Faça login com uma conta que tenha a função de Log de Auditoria ou Leitor de Segurança.
  2. Pesquise por eventos de Arquivo visualizado
    Em Atividades, selecione Atividades de arquivo e página e escolha Arquivo visualizado. Esse evento é acionado quando um usuário abre um arquivo no navegador. Não garante um download, mas indica que o arquivo foi acessado. Para muitas revisões de segurança, isso é suficiente.
  3. Revise os detalhes do evento
    Nos resultados da pesquisa, clique em cada evento para ver o usuário, nome do arquivo, URL do site e carimbo de data/hora. Use esses dados para identificar quem acessou um arquivo e quando.

Habilite o Registro de Controle de Aplicativo de Acesso Condicional

  1. Vá para a Central de administração do SharePoint
    Faça login no Centro de administração do Microsoft 365 > SharePoint. Em Políticas, selecione Controle de acesso.
  2. Configure políticas de acesso a dispositivos
    Escolha Políticas de acesso a dispositivos. Defina Permitir acesso apenas de dispositivos que estejam em conformidade com a política ou Bloquear acesso de dispositivos não gerenciados. Essas políticas geram logs adicionais nos logs de entrada do Azure AD e nos relatórios de Acesso Condicional. Esses logs incluem tentativas de download que o log de auditoria padrão não captura.
  3. Revise os logs de entrada
    Vá para Azure AD > Logs de entrada. Filtre pelo usuário e aplicativo. Procure por eventos de Acesso condicional que mostrem quando um usuário acessou o SharePoint. Embora não seja um evento de download direto, confirma que o usuário se conectou ao site.

Use as Configurações de Auditoria do Conjunto de Sites do SharePoint

  1. Abra as configurações do site
    Navegue até o site do SharePoint. Clique no ícone de engrenagem e selecione Configurações do site. Em Administração do conjunto de sites, clique em Configurações de auditoria do conjunto de sites.
  2. Habilite a auditoria para download de documentos
    Marque a caixa para Exibição de itens ou download de itens. Essa configuração registra eventos no log de auditoria do conjunto de sites, que é separado do log de auditoria do Microsoft 365. Você pode visualizar esses logs em Relatórios de log de auditoria do conjunto de sites na mesma área de configurações.
  3. Gere um relatório
    Em Relatórios de log de auditoria do conjunto de sites, selecione Exibir relatórios de auditoria. Escolha Relatório de exibição de conteúdo para ver eventos de download e visualização para esse site. Esse relatório inclui downloads do cliente de sincronização do OneDrive e algumas chamadas de API.

Monitore por meio de Alertas do Microsoft 365 Defender

  1. Crie uma política de alerta personalizada
    Em Microsoft 365 Defender > Políticas e regras > Política de alerta. Clique em Nova política de alerta. Nomeie como Atividade de download de arquivo.
  2. Defina a condição como FileDownloaded
    Em Condições, escolha A atividade é e selecione FileDownloaded. Defina o limite para disparar após uma ocorrência. Esse alerta notificará você quando um evento de download direto for registrado.
  3. Revise os alertas
    Quando um alerta for disparado, investigue o evento no log de auditoria. Esse método não captura todos os downloads, mas garante que você seja notificado para aqueles que são registrados.

ADVERTISEMENT

Equívocos e Limitações Comuns

O Cliente de Sincronização do OneDrive Registra Downloads?

Não. O cliente de sincronização do OneDrive não gera um evento de auditoria Arquivo baixado. O cliente de sincronização usa a operação FileSyncWrite, que é registrada como uma atualização de arquivo, não um download. Para ver a atividade de sincronização, revise os eventos FileSyncWrite no log de auditoria, mas eles não indicam um download manual pelo usuário.

Posso Habilitar o Registro de Download para Todos os Usuários?

Não há uma configuração no SharePoint ou Microsoft 365 para registrar todos os downloads de arquivos. O log de auditoria foi projetado para capturar eventos significativos, não todas as operações de leitura. A Microsoft considera um download do navegador como um evento significativo, mas uma sincronização ou download por API é tratado como uma operação em segundo plano. As soluções alternativas acima são as únicas maneiras de aumentar a visibilidade.

E os Downloads de Arquivos por Usuários Externos?

Usuários externos que acessam o SharePoint por meio de links de compartilhamento anônimo não geram eventos de auditoria para downloads. O log de auditoria registra apenas atividades de usuários autenticados. Se você precisar rastrear downloads externos, desabilite links de compartilhamento anônimo e exija que usuários externos façam login com uma conta Microsoft ou conta de convidado do Azure AD.

Item Evento de Download Direto Registrado Solução Alternativa Disponível
Download pelo navegador do SharePoint Sim Não necessário
Download pelo cliente de sincronização do OneDrive Não Relatório de auditoria do conjunto de sites
Aplicativo de terceiros via API Depende da chamada de API Logs de Acesso Condicional
Download como arquivo zip Apenas evento do arquivo zip Evento de arquivo visualizado para cada arquivo
Usuário externo via link anônimo Não Exigir acesso autenticado

Agora você entende por que os eventos de download de arquivos estão ausentes do log de auditoria do Microsoft 365. A principal causa é que o SharePoint registra apenas downloads iniciados pelo navegador, não downloads do cliente de sincronização ou API. Use o evento Arquivo visualizado como proxy, habilite as configurações de auditoria do conjunto de sites e revise os logs de Acesso Condicional para capturar mais atividades. Para o rastreamento mais preciso, desabilite links de compartilhamento anônimo e exija acesso autenticado para usuários externos. Essa abordagem fornecerá a melhor visibilidade sobre a atividade de download de arquivos em seu locatário.

ADVERTISEMENT