Microsoft Purview Audit (Premium)

  • Artikel

Die Überwachungsfunktion in Microsoft Purview bietet Organisationen Einblick in viele Arten von überwachten Aktivitäten in vielen verschiedenen Diensten in Microsoft 365. Microsoft Purview Audit (Premium) unterstützt Organisationen bei der Durchführung forensischer und Compliance-Untersuchungen, indem die Aufbewahrung von Überwachungsprotokollen erhöht wird, die für die Durchführung einer Untersuchung erforderlich ist, und zugriff auf intelligente Erkenntnisse (mithilfe der Überwachungsprotokollsuche im Microsoft Purview-Complianceportal und der Office 365 Verwaltungsaktivitäts-API), mit deren Hilfe der Umfang der Gefährdung und schnellerer Zugriff auf Office 365 Verwaltungsaktivitäts-API ermittelt wird.

Hinweis

Audit (Premium) ist für Organisationen mit einem Office 365 E5/A5/G5- oder Microsoft 365 Enterprise E5/A5/G5-Abonnement verfügbar. Benutzern sollte eine Microsoft 365 E5/A5/G5 Compliance- oder E5/A5/G5 eDiscovery- und Audit-Add-On-Lizenz für Features von Audit (Premium) zugewiesen werden, z. B. die langfristige Aufbewahrung von Überwachungsprotokollen und die Generierung erweiterter Ereignisse in Audit (Premium) für Untersuchungen. Weitere Informationen zur Lizenzierung finden Sie in den Abonnementanforderungen für Audit (Premium) und eDiscovery.

In diesem Artikel finden Sie eine Übersicht der Funktionen von Audit (Premium) und Anweisungen zum Einrichten von Benutzern für Audit (Premium).

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Langfristige Aufbewahrung von Überwachungsprotokollen

Audit (Premium) behält alle Exchange-, SharePoint- und Microsoft Entra Überwachungsdatensätze für ein Jahr bei. Dies wird durch eine standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle erreicht, die alle Überwachungsdatensätze, die den Wert von AzureActiveDirectory, Exchange, OneDrive oder SharePoint für die Workload-Eigenschaft (die den Dienst angibt, in dem die Aktivität aufgetreten ist) für ein Jahr aufbewahrt. Das Aufbewahren von Überwachungsaufzeichnungen über einen längeren Zeitraum kann bei laufenden forensischen oder Compliance-Untersuchungen hilfreich sein. Weitere Informationen hierzu finden Sie im Abschnitt "Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle" in Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Zusätzlich zu den Ein-Jahres-Aufbewahrungsfunktionen von Audit (Premium) haben wir auch die Funktion zum Aufbewahren von Überwachungsprotokollen für 10 Jahre freigegeben. Die zehnjährige Aufbewahrung von Überwachungsprotokollen ist bei langfristigen Untersuchungen und zur Einhaltung behördlicher, rechtlicher und interner Vorgaben hilfreich.

Hinweis

Für die zehnjährige Aufbewahrung von Überwachungsprotokollen wird eine zusätzliche Lizenz pro Benutzer erforderlich sein. Nachdem diese Lizenz einem Benutzer zugewiesen und eine entsprechende zehnjährige Aufbewahrungsrichtlinie für das Überwachungsprotokoll für diesen Benutzer festgelegt wurde, werden die von dieser Richtlinie abgedeckten Überwachungsprotokolle für den Zeitraum von 10 Jahren aufbewahrt. Diese Richtlinie ist nicht rückwirkend und kann keine Überwachungsprotokolle aufbewahren, die vor der Erstellung der 10-Jahres-Aufbewahrungsrichtlinie für Überwachungsprotokolle generiert wurden. Weitere Informationen hierzu finden Sie im Abschnitt Häufig gestellte Fragen zu Audit (Premium) in diesem Artikel.

Aufbewahrungsrichtlinien für Überwachungsprotokolle

Alle Überwachungsdatensätze, die in anderen Diensten generiert werden, die nicht durch die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle abgedeckt sind (im vorherigen Abschnitt beschrieben), werden 180 Tage lang aufbewahrt. Sie können jedoch benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um andere Überwachungsaufzeichnungen bis zu 10 Jahre lang aufzubewahren. Sie können eine Richtlinie erstellen, um Überwachungsaufzeichnungen auf der Grundlage eines oder mehrerer der folgenden Kriterien aufzubewahren:

  • Der Microsoft 365-Dienst, in dem die überwachten Aktivitäten ausgeführt werden
  • Bestimmte überwachte Aktivitäten
  • Der Benutzer, der eine überwachte Aktivität ausführt

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Sie können auch angeben, wie lange Überwachungsdatensätze aufbewahrt werden sollen, die der Richtlinie entsprechen, und eine Prioritätsstufe, damit bestimmte Richtlinien Vorrang vor anderen Richtlinien haben. Beachten Sie außerdem, dass jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle Vorrang vor der Standardaufbewahrungsrichtlinie für Überwachungsprotokolle hat, falls Sie Exchange-, SharePoint- oder Azure Active Directory-Überwachungsdatensätze für weniger als ein Jahr (oder 10 Jahre) für einige oder alle Benutzer in Ihrem organization aufbewahren müssen. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Wichtig

Die Lebensdauer des Überwachungselements für Daten wird bestimmt, wenn sie der Überwachungspipeline hinzugefügt werden, und basiert auf den Lizenzierungsstandards oder anwendbaren Aufbewahrungsrichtlinien. Änderungen an der Lizenzierung oder anwendbaren Aufbewahrungsrichtlinien ändern die Ablaufzeit der Überwachungsdaten nach der Aktualisierung. Diese Änderungen ändern keine zuvor committeten Elemente.

Ereignisse in Audit (Premium)

Audit (Premium) unterstützt Organisationen bei forensischen und Compliance-Untersuchungen, indem Zugriff auf wichtige Ereignisse ermöglicht wird, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden und wann und wonach ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese Ereignisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu ermitteln. Zusätzlich zu diesen Ereignissen in Exchange und SharePoint gibt es Ereignisse in anderen Microsoft 365-Diensten, die als wichtige Ereignisse betrachtet werden und erfordern, dass Benutzern die entsprechende Lizenz für Audit (Premium) zugewiesen wird. Benutzern muss eine Überwachungslizenz (Premium) zugewiesen werden, damit Überwachungsprotokolle generiert werden, wenn Benutzer diese Ereignisse ausführen.

Audit (Premium) stellt die folgenden Ereignisse bereit:

MailItemsAccessed

Beim MailItemsAccessed-Ereignis handelt es sich um eine Postfachüberwachungsaktion, die ausgelöst wird, wenn E-Mail-Protokolle und E-Mail-Clients auf E-Mail-Daten zugreifen. Dieses Ereignis kann Ermittlern helfen, Datenschutzverletzungen zu identifizieren und den Umfang der Nachrichten zu ermitteln, die möglicherweise kompromittiert wurden. Wenn ein Angreifer Zugriff auf E-Mail-Nachrichten erlangt hat, wird die MailItemsAccessed-Aktion auch dann ausgelöst, wenn es kein explizites Signal gibt, dass Nachrichten tatsächlich gelesen wurden (mit anderen Worten, die Art des Zugriffs, z. B. eine Bindung oder Synchronisierung, wird im Überwachungsdatensatz aufgezeichnet).

Das MailItemsAccessed-Ereignis ersetzt „MessageBind“ in der Postfachüberwachungsprotokollierung in Exchange Online und bietet die folgenden Verbesserungen:

  • MessageBind war nur für den AuditAdmin-Benutzeranmeldungstyp konfigurierbar. sie gilt nicht für Stellvertretungs- oder Besitzeraktionen. "MailItemsAccessed" gilt für alle Anmeldetypen.
  • "MessageBind" betraf nur den Zugriff durch einen E-Mail-Client. Es galt nicht für Synchronisierungsaktivitäten. MailItemsAccessed-Ereignisse werden sowohl durch Bindungs als auch Synchronisierungszugriffstypen ausgelöst.
  • MessageBind-Aktionen löste beim mehrfachen Zugriff auf dieselbe E-Mail-Nachricht die Erstellung mehrerer Überwachungsdatensätze aus und führte dadurch zu überfüllten Überwachungsprotokollen. Im Gegensatz dazu werden MailItemsAccessed-Ereignisse in weniger Überwachungsdatensätzen aggregiert.

Informationen zu Überwachungsdatensätzen für MailItemsAccessed-Aktivitäten finden Sie unter Verwenden von Audit (Premium) zur Untersuchung kompromittierter Konten.

Um nach MailItemsAccessed-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal im Tool für die Überwachungsprotokollsuche in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Auf Postfachelemente zugegriffen suchen.

Suchen nach MailItemsAccessed-Aktionen im Überwachungsprotokoll-Suchtool.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations MailItemsAccessed oder Search-MailboxAuditLog -Operations MailItemsAccessed in Exchange Online PowerShell ausführen.

Send

Beim Send-Ereignis handelt es sich ebenfalls um eine Postfachüberwachungsaktion. Sie wird ausgelöst, wenn ein Benutzer eine der folgenden Aktionen ausführt:

  • Eine E-Mail sendet
  • Auf eine E-Mail-Nachricht antwortet
  • Eine E-Mail-Nachricht weiterleitet

Die mit der Untersuchung beauftragten Personen können das Send-Ereignis verwenden, um E-Mails zu identifizieren, die von einem kompromittierten Konto aus gesendet wurden. Die Überwachungsaufzeichnung für ein Send-Ereignis enthält Informationen zu der Nachricht, z. B. wann sie gesendet wurde, die InternetMessage-ID, die Betreffzeile und ob die Nachricht Anlagen enthielt. Anhand dieser Informationen können die mit der Untersuchung beauftragten Personen Informationen zu E-Mails ermitteln, die von einem kompromittierten Konto aus oder von einem Angreifer gesendet wurden. Darüber hinaus können sie ein Microsoft 365-eDiscovery-Tool verwenden, um nach der Nachricht (anhand der Betreffzeile oder der Nachrichten-ID) zu suchen, um deren Empfänger und ihren eigentlichen Inhalt zu ermitteln.

Um nach Send-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal im Tool für die Überwachungsprotokollsuche in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Nachricht gesendet suchen.

Suche nach „Nachricht gesendet“-Aktionen im Überwachungsprotokoll-Suchtool.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations Send oder Search-MailboxAuditLog -Operations Send in Exchange Online PowerShell ausführen.

SearchQueryInitiatedExchange

Das SearchQueryInitiatedExchange-Ereignis wird ausgelöst, wenn jemand Outlook verwendet, um in einem Postfach nach Elementen zu suchen. Ereignisse werden ausgelöst, wenn Suchvorgänge in den Outlook-Umgebungen durchgeführt werden:

  • Outlook (Desktopclient)
  • Outlook im Web (OWA)
  • Outlook für iOS
  • Outlook für Android
  • Mail-App für Windows 10

Die mit der Untersuchung beauftragten Personen können das SearchQueryInitiatedExchange-Ereignis verwenden, um festzustellen, ob ein Angreifer, der möglicherweise ein Konto manipuliert hat, nach vertraulichen Informationen im Postfach gesucht oder versucht hat, darauf zuzugreifen. Die Überwachungsaufzeichnung für ein SearchQueryInitiatedExchange-Ereignis enthält Informationen wie z. B. den tatsächlichen Suchabfragetext und ob die Suche im Outlook-Desktop-Client oder in Outlook im Web durchgeführt wurde. Der Überwachungsdatensatz gibt auch die Outlook-Umgebung an, in der die Suche ausgeführt wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser verstehen, warum nach den E-Mail-Daten gesucht wurde.

Um nach SearchQueryInitiatedExchange-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal in der Dropdownliste Suchaktivitäten nach der Aktivität "E-Mail-Suche ausgeführt" suchen.

Suchen nach durchgeführten E-Mail-Suchaktionen im Überwachungsprotokoll-Suchtool.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange in Exchange Online PowerShell ausführen.

Hinweis

Sie müssen SearchQueryInitiatedExchange für die Anmeldung aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können. Anweisungen finden Sie unter Einrichten der Überwachung (Premium).

SearchQueryInitiatedSharePoint

Ähnlich wie bei der Suche nach Postfachelementen wird das SearchQueryInitiatedSharePoint-Ereignis ausgelöst, wenn jemand nach Elementen in SharePoint sucht. Ereignisse werden ausgelöst, wenn Suchen auf der Stamm- oder Standardseite der folgenden Typen von SharePoint-Websites ausgeführt werden:

  • Startsites
  • Kommunikationswebsites
  • Hubwebsites
  • Mit Microsoft Teams verknüpfte Websites

Die ermittelnden Personen können das SearchQueryInitiatedSharePoint-Ereignis verwenden, um festzustellen, ob ein Angreifer versucht hat, vertrauliche Informationen in SharePoint zu finden (und möglicherweise darauf zugegriffen). Die Überwachungsaufzeichnung für ein SearchQueryInitiatedSharePoint-Ereignis enthält außerdem den eigentlichen Text der Suchabfrage. Der Überwachungsdatensatz gibt auch den Typ der SharePoint-Website an, die durchsucht wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser den Zweck und den Umfang der Dateidaten nachvollziehen, nach denen gesucht wurde.

Um nach SearchQueryInitiatedSharePoint-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal in der Dropdownliste Suchaktivitätennach der Aktivität"Ausgeführte SharePoint-Suche" suchen.

Suche nach durchgeführten SharePoint-Suchaktionen im Überwachungsprotokoll-Suchtool.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint in Exchange Online PowerShell ausführen.

Hinweis

Sie müssen SearchQueryInitiatedSharePoint für die Anmeldung aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können. Anweisungen finden Sie unter Einrichten der Überwachung (Premium).

Andere Ereignisse in Audit (Premium) in Microsoft 365

Zusätzlich zu den Ereignissen in Exchange Online und SharePoint Online gibt es Ereignisse in anderen Microsoft 365-Diensten, die protokolliert werden, wenn Benutzern die entsprechende Lizenzierung von Audit (Premium) zugewiesen wird. Die folgenden Microsoft 365 Dienste bieten Ereignisse in Audit (Premium). Wählen Sie den entsprechenden Link aus, um zu einem Artikel zu wechseln, der diese Ereignisse identifiziert und beschreibt.

Zugriff mit hoher Bandbreite auf die Office 365-Verwaltungsaktivitäts-API

Organisationen, die über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsprotokolle zugreifen, waren durch Drosselungsgrenzwerte auf Herausgeberebene eingeschränkt. Dies bedeutete, dass der Grenzwert für einen Herausgeber, der Daten im Namen mehrerer Kunden per Pull abruft, für all diese Kunden zusammen galt.

Mit der Veröffentlichung von Audit (Premium) wechseln wir von einem Grenzwert auf Herausgeberebene zu einem Grenzwert auf Mandantenebene. Das Ergebnis ist, dass jede organization ihr eigenes vollständig zugeordnetes Bandbreitenkontingent erhält, um auf ihre Überwachungsdaten zuzugreifen. Die Bandbreite ist kein statisches, vordefiniertes Limit, sondern basiert auf einer Kombination von Faktoren, einschließlich der Anzahl der Arbeitsplätze im organization und dass E5/A5/G5-Organisationen mehr Bandbreite erhalten als Nicht-E5/A5/G5-Organisationen.

Allen Organisationen ist anfänglich eine Baseline von 2.000-Anforderungen pro Minute zugeordnet. Dieser Wert wird abhängig von der Anzahl der Arbeitsplätze und Lizenzabonnements in einer Organisation dynamisch erhöht. E5/A5/G5-Organisationen erhalten etwa doppelt so viel Bandbreite wie Nicht-E5/A5/G5-Organisationen. Es gibt eine Obergrenze für die maximale Bandbreite, um die Integrität des Diensts zu schützen.

Weitere Informationen finden Sie im Abschnitt "API-Drosselung" in der Referenz der Office 365-Verwaltungsaktivitäts-API.

Häufig gestellte Fragen zu Audit (Premium)

Benötigt jeder Benutzer eine E5/A5/G5-Lizenz, um von Audit (Premium) profitieren zu können?

Dem Benutzer muss eine E5/A5/G5-Lizenz zugewiesen werden, um von den Funktionen in Audit (Premium) auf Benutzerebene profitieren zu können. Es gibt einige Funktionen, die nach der entsprechenden Lizenz suchen, um das Feature für den Benutzer verfügbar zu machen. Wenn Sie beispielsweise versuchen, die Überwachungsdatensätze für einen Benutzer beizubehalten, dem die entsprechende Lizenz nicht länger als 180 Tage zugewiesen ist, gibt das System eine Fehlermeldung zurück.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Meine Organisation verfügt über ein E5/A5/G5-Abonnement. Muss ich etwas tun, um Zugriff auf Überwachungsdatensätze für Ereignisse in Audit (Premium) zu erhalten?

Für berechtigte Kunden und Benutzer, denen die entsprechende E5/A5/G5-Lizenz zugewiesen ist, ist keine Aktion erforderlich, um Zugriff auf Audit (Premium)-Ereignisse zu erhalten, mit Ausnahme der Aktivierung der Ereignisse SearchQueryInitiatedExchange und SearchQueryInitiatedSharePoint (wie zuvor in diesem Artikel beschrieben). Ereignisse in Audit (Premium) werden nur für Benutzer mit E5/A5/G5-Lizenzen generiert, nachdem diese Lizenzen zugewiesen wurden.

Sind die neuen Ereignisse in Audit (Premium) in der Office 365-Verwaltungsaktivitäts-API verfügbar?

Ja. Solange Überwachungsdatensätze für Benutzer mit der entsprechenden Lizenz generiert werden, können Sie auf diese Datensätze über die Office 365-Verwaltungsaktivitäts-API zugreifen.

Was passiert mit den Überwachungsprotokolldaten meiner Organisation, wenn ich eine zehnjährige Richtlinie zur Aufbewahrung von Überwachungsprotokollen erstellt habe, als die Funktion für die allgemeine Verfügbarkeit freigegeben wurde, aber bevor die erforderliche Zusatzlizenz verfügbar gemacht wurde?

Alle Überwachungsprotokolldaten, die durch eine 10-Jahres-Richtlinie zur Aufbewahrung von Überwachungsprotokollen abgedeckt sind, die Sie erstellt haben, nachdem die Funktion im letzten Quartal 2020 zur allgemeinen Verfügbarkeit freigegeben wurde, werden 10 Jahre lang aufbewahrt. Dies umfasst zehnjährige Richtlinien zur Aufbewahrung von Überwachungsprotokollen, die erstellt wurden, bevor die erforderliche Add-On-Lizenz im März 2021 zum Kauf freigegeben wurde. Da jedoch jetzt die Add-On-Lizenz für die zehnjährige Aufbewahrung von Überwachungsprotokollen verfügbar ist, müssen Sie diese Add-On-Lizenzen für alle Benutzer erwerben und zuweisen, deren Überwachungsdaten unter eine Richtlinie für die zehnjährige Aufbewahrung von Überwachungsdaten fallen.