52 lines
1.5 KiB
Markdown
52 lines
1.5 KiB
Markdown
# [Nível 3] Auditoria Administrativa e Logs de Segurança
|
|
|
|
**Público Alvo:** Segurança / Auditoria
|
|
**Objetivo:** Descobrir "Quem fez o que" no servidor.
|
|
|
|
## Introdução
|
|
|
|
O Exchange registra **cada comando PowerShell** executado, seja por um administrador via Shell ou via interface ECP (a interface web apenas roda comandos PowerShell por trás).
|
|
|
|
## Buscando Eventos (Search-AdminAuditLog)
|
|
|
|
### Exemplo 1: Quem mexeu na caixa do Diretor?
|
|
|
|
Procurar qualquer alteração feita na caixa "diretor@itguys.com.br" nos últimos 30 dias.
|
|
|
|
```powershell
|
|
Search-AdminAuditLog -StartDate (Get-Date).AddDays(-30) -ObjectIds "diretor"
|
|
```
|
|
|
|
### Exemplo 2: Quem deu permissão de "FullAccess"?
|
|
|
|
Procurar comandos específicos (`Add-MailboxPermission`).
|
|
|
|
```powershell
|
|
Search-AdminAuditLog -Cmdlets Add-MailboxPermission -StartDate (Get-Date).AddDays(-7)
|
|
```
|
|
|
|
### Exemplo 3: Quem apagou uma caixa?
|
|
|
|
Comandos de remoção (`Remove-Mailbox`).
|
|
|
|
```powershell
|
|
Search-AdminAuditLog -Cmdlets Remove-Mailbox
|
|
```
|
|
|
|
## Interpretando o Resultado
|
|
|
|
- **Caller:** O usuário (admin) que executou a ação.
|
|
- **CmdletName:** O comando rodado.
|
|
- **ObjectModified:** Qual objeto foi alterado.
|
|
- **CmdletParameters:** Os parâmetros usados (ex: qual permissão foi dada).
|
|
|
|
## Dica de Exportação
|
|
|
|
Para ler melhor, exporte para HTML ou CSV.
|
|
|
|
```powershell
|
|
Search-AdminAuditLog ... | New-AdminAuditLogSearch -Name "Auditoria_Diretor" -Emails "seu.email@itguys.com.br"
|
|
```
|
|
|
|
_(Isso enviará um relatório XML por e-mail para você)._
|