Microsoft Purview Audit (Premium)

Die Überwachungsfunktion in Microsoft Purview bietet Organisationen Einblick in viele Arten von überwachten Aktivitäten in vielen verschiedenen Diensten in Microsoft 365. Microsoft Purview Audit (Premium) hilft Organisationen bei der Durchführung forensischer und Compliance-Untersuchungen, indem die Aufbewahrung von Überwachungsprotokollen erhöht wird, die für die Durchführung einer Untersuchung erforderlich ist, und zugriff auf wichtige Ereignisse (mithilfe der Überwachungsprotokollsuche im Microsoft Purview-Complianceportal und der Office 365 Verwaltungsaktivitäts-API), mit deren Hilfe der Umfang der Gefährdung und schnellerer Zugriff auf Office 365 Verwaltungsaktivitäts-API ermittelt werden können.

Hinweis

Audit (Premium) ist für Organisationen mit einem Office 365 E5/A5/G5- oder Microsoft 365 Enterprise E5/A5/G5-Abonnement verfügbar. Benutzern sollte eine Microsoft 365 E5/A5/G5 Compliance- oder E5/A5/G5 eDiscovery- und Audit-Add-On-Lizenz für Features von Audit (Premium) zugewiesen werden, z. B. die langfristige Aufbewahrung von Überwachungsprotokollen und die Generierung erweiterter Ereignisse in Audit (Premium) für Untersuchungen. Weitere Informationen zur Lizenzierung finden Sie unter:
- Lizenzanforderungen für Audit (Premium)
- Microsoft 365-Lizenzierungsleitfaden zur Sicherheitskonformität&.

In diesem Artikel finden Sie eine Übersicht der Funktionen von Audit (Premium) und Anweisungen zum Einrichten von Benutzern für Audit (Premium).

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die Testversion von 90-tägigen Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Langfristige Aufbewahrung von Überwachungsprotokollen

Audit (Premium) bewahrt alle Exchange-, SharePoint- und Azure Active Directory-Überwachungsdatensätze für ein Jahr auf. Dies geschieht durch eine standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle, die jeden Überwachungsdatensatz ein Jahr lang aufbewahrt, der den Wert von Exchange, SharePoint oder AzureActiveDirectory für die Eigenschaft Workload aufweist (die den Dienst anzeigt, in dem die Aktivität aufgetreten ist). Das Aufbewahren von Überwachungsaufzeichnungen über einen längeren Zeitraum kann bei laufenden forensischen oder Compliance-Untersuchungen hilfreich sein. Weitere Informationen hierzu finden Sie im Abschnitt "Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle" in Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Zusätzlich zu den Ein-Jahres-Aufbewahrungsfunktionen von Audit (Premium) haben wir auch die Funktion zum Aufbewahren von Überwachungsprotokollen für 10 Jahre freigegeben. Die zehnjährige Aufbewahrung von Überwachungsprotokollen ist bei langfristigen Untersuchungen und zur Einhaltung behördlicher, rechtlicher und interner Vorgaben hilfreich.

Hinweis

Für die zehnjährige Aufbewahrung von Überwachungsprotokollen wird eine zusätzliche Lizenz pro Benutzer erforderlich sein. Nachdem diese Lizenz einem Benutzer zugewiesen und eine entsprechende zehnjährige Aufbewahrungsrichtlinie für das Überwachungsprotokoll für diesen Benutzer festgelegt wurde, werden die von dieser Richtlinie abgedeckten Überwachungsprotokolle für den Zeitraum von 10 Jahren aufbewahrt. Diese Richtlinie ist nicht rückwirkend und kann keine Überwachungsprotokolle aufbewahren, die vor der Erstellung der 10-Jahres-Aufbewahrungsrichtlinie für Überwachungsprotokolle generiert wurden. Weitere Informationen hierzu finden Sie im Abschnitt Häufig gestellte Fragen zu Audit (Premium) in diesem Artikel.

Aufbewahrungsrichtlinien für Überwachungsprotokolle

Alle Überwachungsdatensätze, die in anderen Diensten generiert wurden, die nicht unter die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle fallen (im vorherigen Abschnitt beschrieben), werden für 90 Tage aufbewahrt. Sie können jedoch benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um andere Überwachungsaufzeichnungen bis zu 10 Jahre lang aufzubewahren. Sie können eine Richtlinie erstellen, um Überwachungsaufzeichnungen auf der Grundlage eines oder mehrerer der folgenden Kriterien aufzubewahren:

  • Der Microsoft 365-Dienst, in dem die überwachten Aktivitäten ausgeführt werden
  • Bestimmte überwachte Aktivitäten
  • Der Benutzer, der eine überwachte Aktivität ausführt

Sie können auch festlegen, wie lange Überwachungsdatensätze, die der Richtlinie entsprechen, aufbewahrt werden, und eine Prioritätsstufe angeben, damit bestimmte Richtlinien Vorrang vor anderen Richtlinien haben. Beachten Sie außerdem, dass jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle Vorrang vor der Standardaufbewahrungsrichtlinie für Überwachungsprotokolle hat, wenn Sie für einige oder alle Benutzer in Ihrer Organisation Exchange-, SharePoint- oder Azure Active Directory-Überwachungsaufzeichnungen weniger als ein Jahr lang (oder für 10 Jahre) aufbewahren möchten. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Ereignisse in Audit (Premium)

Audit (Premium) unterstützt Organisationen bei forensischen und Compliance-Untersuchungen, indem Zugriff auf wichtige Ereignisse ermöglicht wird, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden und wann und wonach ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese Ereignisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu ermitteln. Zusätzlich zu diesen Ereignissen in Exchange und SharePoint gibt es Ereignisse in anderen Microsoft 365-Diensten, die als wichtige Ereignisse betrachtet werden und erfordern, dass Benutzern die entsprechende Lizenz für Audit (Premium) zugewiesen wird. Benutzern muss eine Lizenz für Audit (Premium) zugewiesen werden, damit Überwachungsprotokolle generiert werden, wenn Benutzer diese Ereignisse ausführen.

Audit (Premium) stellt die folgenden Ereignisse bereit:

MailItemsAccessed

Beim MailItemsAccessed-Ereignis handelt es sich um eine Postfachüberwachungsaktion, die ausgelöst wird, wenn E-Mail-Protokolle und E-Mail-Clients auf E-Mail-Daten zugreifen. Dieses Ereignis kann Ermittlern helfen, Datenschutzverletzungen zu identifizieren und den Umfang der Nachrichten zu ermitteln, die möglicherweise kompromittiert wurden. Wenn ein Angreifer Zugriff auf E-Mail-Nachrichten erlangt hat, wird die MailItemsAccessed-Aktion auch dann ausgelöst, wenn es kein explizites Signal gibt, dass Nachrichten tatsächlich gelesen wurden (mit anderen Worten, die Art des Zugriffs, z. B. eine Bindung oder Synchronisierung, wird im Überwachungsdatensatz aufgezeichnet).

Das MailItemsAccessed-Ereignis ersetzt „MessageBind“ in der Postfachüberwachungsprotokollierung in Exchange Online und bietet die folgenden Verbesserungen:

  • MessageBind war nur für den AuditAdmin-Benutzeranmeldungstyp konfigurierbar. sie gilt nicht für Stellvertretungs- oder Besitzeraktionen. "MailItemsAccessed" gilt für alle Anmeldetypen.
  • "MessageBind" betraf nur den Zugriff durch einen E-Mail-Client. Es galt nicht für Synchronisierungsaktivitäten. MailItemsAccessed-Ereignisse werden sowohl durch Bindungs als auch Synchronisierungszugriffstypen ausgelöst.
  • MessageBind-Aktionen löste beim mehrfachen Zugriff auf dieselbe E-Mail-Nachricht die Erstellung mehrerer Überwachungsdatensätze aus und führte dadurch zu überfüllten Überwachungsprotokollen. Im Gegensatz dazu werden MailItemsAccessed-Ereignisse in weniger Überwachungsdatensätzen aggregiert.

Informationen zu Überwachungsdatensätzen für MailItemsAccessed-Aktivitäten finden Sie unter Verwenden von Audit (Premium) zur Untersuchung kompromittierter Konten.

Um nach MailItemsAccessed-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal im Tool für die Überwachungsprotokollsuche in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Auf Postfachelemente zugegriffen suchen.

Suchen nach MailItemsAccessed-Aktionen im Überwachungsprotokoll-Suchtool.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations MailItemsAccessed oder Search-MailboxAuditLog -Operations MailItemsAccessed in Exchange Online PowerShell ausführen.

Send

Beim Send-Ereignis handelt es sich ebenfalls um eine Postfachüberwachungsaktion. Sie wird ausgelöst, wenn ein Benutzer eine der folgenden Aktionen ausführt:

  • Eine E-Mail sendet
  • Auf eine E-Mail-Nachricht antwortet
  • Eine E-Mail-Nachricht weiterleitet

Die mit der Untersuchung beauftragten Personen können das Send-Ereignis verwenden, um E-Mails zu identifizieren, die von einem kompromittierten Konto aus gesendet wurden. Die Überwachungsaufzeichnung für ein Send-Ereignis enthält Informationen zu der Nachricht, z. B. wann sie gesendet wurde, die InternetMessage-ID, die Betreffzeile und ob die Nachricht Anlagen enthielt. Anhand dieser Informationen können die mit der Untersuchung beauftragten Personen Informationen zu E-Mails ermitteln, die von einem kompromittierten Konto aus oder von einem Angreifer gesendet wurden. Darüber hinaus können sie ein Microsoft 365-eDiscovery-Tool verwenden, um nach der Nachricht (anhand der Betreffzeile oder der Nachrichten-ID) zu suchen, um deren Empfänger und ihren eigentlichen Inhalt zu ermitteln.

Um nach Send-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal im Tool für die Überwachungsprotokollsuche in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Nachricht gesendet suchen.

Suche nach „Nachricht gesendet“-Aktionen im Überwachungsprotokoll-Suchtool.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations Send oder Search-MailboxAuditLog -Operations Send in Exchange Online PowerShell ausführen.

SearchQueryInitiatedExchange

Das SearchQueryInitiatedExchange-Ereignis wird ausgelöst, wenn jemand Outlook verwendet, um in einem Postfach nach Elementen zu suchen. Ereignisse werden ausgelöst, wenn Suchvorgänge in den Outlook-Umgebungen durchgeführt werden:

  • Outlook (Desktopclient)
  • Outlook im Web (OWA)
  • Outlook für iOS
  • Outlook für Android
  • Mail-App für Windows 10

Die mit der Untersuchung beauftragten Personen können das SearchQueryInitiatedExchange-Ereignis verwenden, um festzustellen, ob ein Angreifer, der möglicherweise ein Konto manipuliert hat, nach vertraulichen Informationen im Postfach gesucht oder versucht hat, darauf zuzugreifen. Die Überwachungsaufzeichnung für ein SearchQueryInitiatedExchange-Ereignis enthält Informationen wie z. B. den tatsächlichen Suchabfragetext und ob die Suche im Outlook-Desktop-Client oder in Outlook im Web durchgeführt wurde. Der Überwachungsdatensatz gibt auch die Outlook-Umgebung an, in der die Suche ausgeführt wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser verstehen, warum nach den E-Mail-Daten gesucht wurde.

Um nach SearchQueryInitiatedExchange-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal in der Dropdownliste Suchaktivitätennach der Aktivität"E-Mail-Suche ausgeführt" suchen.

Suchen nach durchgeführten E-Mail-Suchaktionen im Überwachungsprotokoll-Suchtool.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange in Exchange Online PowerShell ausführen.

Hinweis

Sie müssen SearchQueryInitiatedExchange für die Anmeldung aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können. Anweisungen finden Sie unter Einrichten der Überwachung (Premium).

SearchQueryInitiatedSharePoint

Ähnlich wie bei der Suche nach Postfachelementen wird das SearchQueryInitiatedSharePoint-Ereignis ausgelöst, wenn jemand nach Elementen in SharePoint sucht. Ereignisse werden ausgelöst, wenn Suchen auf der Stamm- oder Standardseite der folgenden Typen von SharePoint-Websites ausgeführt werden:

  • Startsites
  • Kommunikationswebsites
  • Hubwebsites
  • Mit Microsoft Teams verknüpfte Websites

Die ermittelnden Personen können das SearchQueryInitiatedSharePoint-Ereignis verwenden, um festzustellen, ob ein Angreifer versucht hat, vertrauliche Informationen in SharePoint zu finden (und möglicherweise darauf zugegriffen). Die Überwachungsaufzeichnung für ein SearchQueryInitiatedSharePoint-Ereignis enthält außerdem den eigentlichen Text der Suchabfrage. Der Überwachungsdatensatz gibt auch den Typ der SharePoint-Website an, die durchsucht wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser den Zweck und den Umfang der Dateidaten nachvollziehen, nach denen gesucht wurde.

Um nach SearchQueryInitiatedSharePoint-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal in der Dropdownliste Suchaktivitätennach der Aktivität"Ausgeführte SharePoint-Suche" suchen.

Suche nach durchgeführten SharePoint-Suchaktionen im Überwachungsprotokoll-Suchtool.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint in Exchange Online PowerShell ausführen.

Hinweis

Sie müssen SearchQueryInitiatedSharePoint für die Anmeldung aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können. Anweisungen finden Sie unter Einrichten der Überwachung (Premium).

Andere Ereignisse in Audit (Premium) in Microsoft 365

Zusätzlich zu den Ereignissen in Exchange Online und SharePoint Online gibt es Ereignisse in anderen Microsoft 365-Diensten, die protokolliert werden, wenn Benutzern die entsprechende Lizenzierung von Audit (Premium) zugewiesen wird. Die folgenden Microsoft 365 Dienste bieten Ereignisse in Audit (Premium). Wählen Sie den entsprechenden Link aus, um zu einem Artikel zu wechseln, der diese Ereignisse identifiziert und beschreibt.

Zugriff mit hoher Bandbreite auf die Office 365-Verwaltungsaktivitäts-API

Organisationen, die über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsprotokolle zugreifen, waren durch Drosselungsgrenzwerte auf Herausgeberebene eingeschränkt. Dies bedeutete, dass der Grenzwert für einen Herausgeber, der Daten im Namen mehrerer Kunden per Pull abruft, für all diese Kunden zusammen galt.

Mit der Veröffentlichung von Audit (Premium) wechseln wir von einem Grenzwert auf Herausgeberebene zu einem Grenzwert auf Mandantenebene. Dadurch erhält jede Organisation ein eigenes, vollständig zugewiesenes Bandbreitenkontingent erhält für den Zugriff auf ihre Überwachungsdaten. Die Bandbreite ist kein statisches, vordefiniertes Limit, sondern basiert auf einer Kombination von Faktoren, einschließlich der Anzahl der Arbeitsplätze in der Organisation und dass E5/A5/G5-Organisationen mehr Bandbreite erhalten als Organisationen, die nicht E5/A5/G5 sind.

Allen Organisationen ist anfänglich eine Baseline von 2.000-Anforderungen pro Minute zugeordnet. Dieser Wert wird abhängig von der Anzahl der Arbeitsplätze und Lizenzabonnements in einer Organisation dynamisch erhöht. E5/A5/G5-Organisationen erhalten ungefähr doppelt so viel Bandbreite wie Nicht-E5/A5/G5-Organisationen. Zum Schutz des Diensts gibt es auch eine Obergrenze für die maximale Bandbreite.

Weitere Informationen finden Sie im Abschnitt "API-Drosselung" in der Referenz der Office 365-Verwaltungsaktivitäts-API.

Häufig gestellte Fragen zu Audit (Premium)

Benötigt jeder Benutzer eine E5/A5/G5-Lizenz, um von Audit (Premium) profitieren zu können?

Dem Benutzer muss eine E5/A5/G5-Lizenz zugewiesen werden, um von den Funktionen in Audit (Premium) auf Benutzerebene profitieren zu können. Es gibt einige Funktionen, die überprüfen, ob die entsprechende Lizenz vorliegt, bevor dem Benutzer das Feature bereitgestellt wird. Wenn Sie beispielsweise die Überwachungseinträge für einen Benutzer beibehalten möchten, dem keine passende Lizenz zugeordnet ist, die noch mindestens 90 Tage gültig ist, wird eine Fehlermeldung angezeigt.

Meine Organisation verfügt über ein E5/A5/G5-Abonnement. Muss ich etwas tun, um Zugriff auf Überwachungsdatensätze für Ereignisse in Audit (Premium) zu erhalten?

Für berechtigte Kunden und Benutzer, denen die entsprechende E5/A5/G5-Lizenz zugewiesen ist, ist keine Aktion erforderlich, um Zugriff auf Audit (Premium)-Ereignisse zu erhalten, mit Ausnahme der Aktivierung der Ereignisse SearchQueryInitiatedExchange und SearchQueryInitiatedSharePoint (wie zuvor in diesem Artikel beschrieben). Ereignisse in Audit (Premium) werden nur für Benutzer mit E5/A5/G5-Lizenzen generiert, nachdem diese Lizenzen zugewiesen wurden.

Sind die neuen Ereignisse in Audit (Premium) in der Office 365-Verwaltungsaktivitäts-API verfügbar?

Ja. Solange Überwachungsdatensätze für Benutzer mit der entsprechenden Lizenz generiert werden, können Sie auf diese Datensätze über die Office 365-Verwaltungsaktivitäts-API zugreifen.

Was passiert mit den Überwachungsprotokolldaten meiner Organisation, wenn ich eine zehnjährige Richtlinie zur Aufbewahrung von Überwachungsprotokollen erstellt habe, als die Funktion für die allgemeine Verfügbarkeit freigegeben wurde, aber bevor die erforderliche Zusatzlizenz verfügbar gemacht wurde?

Alle Überwachungsprotokolldaten, die durch eine 10-Jahres-Richtlinie zur Aufbewahrung von Überwachungsprotokollen abgedeckt sind, die Sie erstellt haben, nachdem die Funktion im letzten Quartal 2020 zur allgemeinen Verfügbarkeit freigegeben wurde, werden 10 Jahre lang aufbewahrt. Dies umfasst zehnjährige Richtlinien zur Aufbewahrung von Überwachungsprotokollen, die erstellt wurden, bevor die erforderliche Add-On-Lizenz im März 2021 zum Kauf freigegeben wurde. Da jedoch jetzt die Add-On-Lizenz für die zehnjährige Aufbewahrung von Überwachungsprotokollen verfügbar ist, müssen Sie diese Add-On-Lizenzen für alle Benutzer erwerben und zuweisen, deren Überwachungsdaten unter eine Richtlinie für die zehnjährige Aufbewahrung von Überwachungsdaten fallen.