Das Microsoft 365-Überwachungsprotokoll ist ein einheitlicher Protokollierungsdienst, der Ereignisse von mehreren Diensten und Anwendungen auf der gesamten Microsoft 365-Plattform erfasst. Es bietet einen einzigen Speicherort zum Anzeigen von Überwachungsdaten für Microsoft 365-Dienste wie Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI und mehr.
Das Überwachungsprotokoll kann verwendet werden, um Benutzer- und Administratoraktivitäten in Ihrem organization zu verfolgen, einschließlich Aktivitäten im Zusammenhang mit der Vertraulichkeitsbezeichnung. Informationen zu den Microsoft Purview- und DLP-Ereignissen (Data Loss Prevention), die im Überwachungsprotokoll erfasst werden, finden Sie unter Microsoft Purview-Überwachungsprotokollaktivitäten über Microsoft 365 Management.
Das Überwachungsprotokoll ist für Microsoft Purview-Bereitstellungen wichtig:
Im Überwachungsprotokoll werden Entscheidungen darüber beibehalten, wer Bezeichnungen auf Elemente angewendet hat.
Das Überwachungsprotokoll speichert Informationen zu Bezeichnungsänderungen, einschließlich der Begründungen für Bezeichnungsänderungen.
Das Überwachungsprotokoll enthält Informationen zu ein- und ausgehenden Elementen.
Das Überwachungsprotokoll bietet Einblick in Ereignisse für längere Zeiträume als andere Berichtsspeicherorte, an denen Microsoft 365-Aktivitäten sichtbar sind (z. B. sind Ereignisse 30 Tage lang im Aktivitäts-Explorer sichtbar).
Aufbewahrungsanforderungen für Überwachungsprotokolle
Die Notwendigkeit einer erweiterten Aufbewahrung wird durch die folgende ISM-Anforderung abgedeckt:
Anforderung
Detail
ISM-0859 (Juni 2024)
Ereignisprotokolle, mit Ausnahme der Protokolle für Domain Name System-Dienste und Webproxys, werden mindestens sieben Jahre lang aufbewahrt.
Die Standarddauer, für die Überwachungsprotokolldaten aufbewahrt werden, ist an die Microsoft 365-Lizenzierungsebene gebunden. Organisationen mit E3-Lizenzen verfügen über eine Überwachungsprotokollaufbewahrung für 90 Tage. Organisationen mit E5-Lizenzierung verfügen über eine Aufbewahrungsdauer für Entra, Exchange Online, OneDrive und SharePoint sind ein Jahr lang.
Aufbewahrungsrichtlinien für Überwachungsprotokolle erweitern die Aufbewahrung von Überwachungsinformationen für eine Reihe von Aktivitäten. Überwachungsrichtlinien können so konfiguriert werden, dass Überwachungsinformationen bis zu 10 Jahre lang aufbewahrt werden.
Für die langfristige Aufbewahrung von Überwachungsinformationen sind Überwachungslizenzen (Premium) erforderlich. Weitere Informationen zur Aufbewahrung von Überwachungsprotokollen finden Sie unter Überwachungslösungen in Microsoft Purview.
SIEM-Integration
Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEMs) sollen organization dabei helfen, Sicherheitsbedrohungen zu erkennen, zu analysieren und darauf zu reagieren, bevor sie den Geschäftsbetrieb beeinträchtigen. SIEMs erfassen Protokollinformationen und ermöglichen die Analyse von Ereignissen. SIEMs werden verwendet, um die Geschwindigkeit der Bedrohungserkennung zu erhöhen, Sicherheitsvorfälle, Ereignisverwaltung und Compliance zu unterstützen.