Auf Englisch lesen

Freigeben über


Überlegungen zum Überwachungsprotokoll für die Einhaltung von PSPF durch die australische Regierung

Dieser Artikel enthält Anleitungen für organisationen der australischen Regierung zum Microsoft 365-Überwachungsprotokoll. Es soll Regierungsorganisationen dabei helfen, ihre Sicherheits- und Compliancereife zu erhöhen und gleichzeitig die anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.

Das Microsoft 365-Überwachungsprotokoll ist ein einheitlicher Protokollierungsdienst, der Ereignisse von mehreren Diensten und Anwendungen auf der gesamten Microsoft 365-Plattform erfasst. Es bietet einen einzigen Speicherort zum Anzeigen von Überwachungsdaten für Microsoft 365-Dienste wie Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI und mehr.

Das Überwachungsprotokoll kann verwendet werden, um Benutzer- und Administratoraktivitäten in Ihrem organization zu verfolgen, einschließlich Aktivitäten im Zusammenhang mit der Vertraulichkeitsbezeichnung. Informationen zu den Microsoft Purview- und DLP-Ereignissen (Data Loss Prevention), die im Überwachungsprotokoll erfasst werden, finden Sie unter Microsoft Purview-Überwachungsprotokollaktivitäten über Microsoft 365 Management.

Das Überwachungsprotokoll ist für Microsoft Purview-Bereitstellungen wichtig:

  • Im Überwachungsprotokoll werden Entscheidungen darüber beibehalten, wer Bezeichnungen auf Elemente angewendet hat.
  • Das Überwachungsprotokoll speichert Informationen zu Bezeichnungsänderungen, einschließlich der Begründungen für Bezeichnungsänderungen.
  • Das Überwachungsprotokoll enthält Informationen zu ein- und ausgehenden Elementen.
  • Das Überwachungsprotokoll bietet Einblick in Ereignisse für längere Zeiträume als andere Berichtsspeicherorte, an denen Microsoft 365-Aktivitäten sichtbar sind (z. B. sind Ereignisse 30 Tage lang im Aktivitäts-Explorer sichtbar).

Aufbewahrungsanforderungen für Überwachungsprotokolle

Die Notwendigkeit einer erweiterten Aufbewahrung wird durch die folgende ISM-Anforderung abgedeckt:

Anforderung Detail
ISM-0859 (Juni 2024) Ereignisprotokolle, mit Ausnahme der Protokolle für Domain Name System-Dienste und Webproxys, werden mindestens sieben Jahre lang aufbewahrt.

Die Standarddauer, für die Überwachungsprotokolldaten aufbewahrt werden, ist an die Microsoft 365-Lizenzierungsebene gebunden. Organisationen mit E3-Lizenzen verfügen über eine Überwachungsprotokollaufbewahrung für 90 Tage. Organisationen mit E5-Lizenzierung verfügen über eine Aufbewahrungsdauer für Entra, Exchange Online, OneDrive und SharePoint sind ein Jahr lang.

Aufbewahrungsrichtlinien für Überwachungsprotokolle erweitern die Aufbewahrung von Überwachungsinformationen für eine Reihe von Aktivitäten. Überwachungsrichtlinien können so konfiguriert werden, dass Überwachungsinformationen bis zu 10 Jahre lang aufbewahrt werden.

Für die langfristige Aufbewahrung von Überwachungsinformationen sind Überwachungslizenzen (Premium) erforderlich. Weitere Informationen zur Aufbewahrung von Überwachungsprotokollen finden Sie unter Überwachungslösungen in Microsoft Purview.

SIEM-Integration

Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEMs) sollen organization dabei helfen, Sicherheitsbedrohungen zu erkennen, zu analysieren und darauf zu reagieren, bevor sie den Geschäftsbetrieb beeinträchtigen. SIEMs erfassen Protokollinformationen und ermöglichen die Analyse von Ereignissen. SIEMs werden verwendet, um die Geschwindigkeit der Bedrohungserkennung zu erhöhen, Sicherheitsvorfälle, Ereignisverwaltung und Compliance zu unterstützen.

Microsoft Sentinel ist eine skalierbare, cloudnative SIEM-Lösung, die eine intelligente und umfassende Lösung für SIEM und Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) bereitstellt. Dies bedeutet, dass Microsoft Purview-Ereignisse, die in Sentinel (oder einem gleichwertigen SIEM) erfasst werden, einfach analysiert werden können und erweiterte Berichte erstellen können.

Weitere Informationen dazu, wie Sentinel für die Erfassung von Microsoft 365-Überwachungsprotokolldaten konfiguriert werden können, finden Sie unter Verwenden von Office 365 Überwachungsdaten mit Microsoft Sentinel..