Auditoria Admin Office 365: Rastreio de Mudanças Críticas
OFFICE 365
O Desafio
Ações administrativas indevidas — intencionais ou acidentais — são uma das maiores causas de incidentes de segurança. Saber quem fez o quê e quando é crucial. No entanto, o Log de Auditoria Unificado do Office 365 mistura milhares de eventos irrelevantes (leitura de arquivos, login de usuário) com eventos críticos (mudança de senha, alteração de permissão), tornando a detecção manual de incidentes lenta e complexa.
O objetivo era:
- Auditar as últimas ações executadas por administradores
- Filtrar apenas eventos de alto impacto (permissões, grupos, segurança)
- Obter uma linha do tempo clara para investigação forense ou conformidade
- Identificar padrões de comportamento anômalo
O Prompt Enviado ao Myrmex
Usando a integração com o tenant Office 365, enviamos:
Audite as últimas 10 ações administrativas no Log de Auditoria Unificado do Office 365.
Foque em mudanças de alto impacto, como modificações em regras de transporte,
permissões de caixa de correio ou atualizações de políticas de segurança.
Apresente uma lista cronológica incluindo a identidade do usuário,
a mudança específica feita e o carimbo de data/hora.
Nota: O Myrmex atua como um investigador digital, filtrando o "ruído" dos logs para apresentar apenas as evidências relevantes.
O Que o Myrmex Fez
O Myrmex consultou o Office 365 Unified Audit Log, aplicando filtros específicos para categorias de eventos administrativos (como UserManagement, GroupManagement e RoleAdministration), ignorando eventos de usuário final.
Linha do Tempo de Ações de Alto Impacto
| Timestamp (UTC) | Identidade / Ator | Ação Realizada | Categoria |
|---|---|---|---|
| 04:06:18 | System/Admin | Group Lifecycle Policies Get | Política |
| 18:37:43 | Larissa Faustino | Alterar senha (self-service) | Gestão de Usuários |
| 18:33:57 | Vinicius Silva (Admin) | Redefinir senha (Alvo: Larissa) | ⚠️ Gestão de Usuários |
| 05:18:31 | MS Teams Services | Adicionar membro (Joao → Myrmex) | Gestão de Grupos |
| 05:13:17 | MS Approval Mgmt | Adicionar membro (Joao → Todos) | Gestão de Grupos |
| 05:07:32 | Myrmex Service | Criar Grupo (Legal Ainext) | Gestão de Grupos |
| 05:07:32 | Myrmex Service | Add Owner (SP → Legal Ainext) | Gestão de Grupos |
Análise e Observações
1. Operações de Privilégio Elevado
O log destacou uma ação crítica às 18:33:57: o administrador vinicius.silva redefiniu manualmente a senha de larissa.faustino.
Implicação: Embora pareça uma ação de suporte legítima, em um contexto de invasão, isso poderia indicar um atacante assumindo o controle de uma conta de usuário. O registro claro permite validação rápida ("Vinicius, você atendeu a Larissa nesse horário?").
2. Governança Automática de Grupos
Vários eventos automatizados (pelo Myrmex Service e MS Teams Services) mostram a criação e população de grupos.
Implicação: Valida que as automações de onboarding estão funcionando corretamente, adicionando usuários aos grupos certos sem intervenção humana.
3. Ausência de Mudanças Estruturais
A análise confirmou que nenhuma regra de transporte (Exchange) ou política de segurança global foi alterada no período, garantindo a integridade do ambiente.
Benefícios da Abordagem
🕵️ Rastreabilidade Total
Cada ação fica registrada e associada a uma identidade real, eliminando o "eu não fiz isso".
⚡ Filtro de Relevância
O Myrmex ignorou milhares de eventos de "leitura de e-mail" ou "acesso a arquivo" para entregar apenas as 10 ações que realmente impactam a configuração do tenant.
Resultado
Com a auditoria do Myrmex:
- ✅ Transparência: Histórico claro de quem alterou o quê.
- ✅ Segurança: Detecção de redefinições de senha manuais (potencial risco).
- ✅ Controle: Confirmação de que as configurações globais de segurança permaneceram intactas.
Variações do Prompt
O mesmo padrão pode ser usado para investigações específicas:
Para investigar um usuário suspeito:
Audite todas as ações administrativas realizadas pelo usuário 'admin@empresa.com'
nos últimos 7 dias. Foque em deleção de dados ou alteração de permissões.
Para auditoria de e-mail:
Liste todas as alterações em 'Mailbox Permissions' (FullAccess ou SendAs)
feitas nas últimas 48 horas em qualquer caixa de correio executiva.