Überwachungslösungen in Microsoft Purview

  • Artikel
  • 7 Minuten Lesedauer

Die Überwachungslösungen von Microsoft Purview bieten eine integrierte Lösung, mit der Unternehmen effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Compliance-Verpflichtungen reagieren können. Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen durchgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll Ihrer Organisation gespeichert. Überwachungsdatensätze für diese Ereignisse können von Sicherheitsbeauftragten, IT-Administratoren, Insider-Risiko-Teams sowie Compliance- und Rechtsermittlern in Ihrem Unternehmen durchsucht werden. Diese Funktion bietet einen Einblick in die Aktivitäten, die in Ihrer Microsoft 365-Organisation durchgeführt werden.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Überwachung (Standard)

Microsoft Purview Audit (Standard) bietet Ihnen die Möglichkeit, überwachte Aktivitäten zu protokollieren und zu suchen und Ihre forensischen, IT-, Compliance- und rechtlichen Untersuchungen zu unterstützen.

  • Standardmäßig aktiviert. Audit (Standard) ist standardmäßig für alle Organisationen mit dem entsprechenden Abonnement aktiviert. Das bedeutet, dass Aufzeichnungen für überwachte Aktivitäten erfasst werden und durchsuchbar sind. Das einzige erforderliche Setup besteht darin, die erforderlichen Berechtigungen für den Zugriff auf das Überwachungsprotokoll-Suchtool (und das entsprechende Cmdlet) zuzuweisen und sicherzustellen, dass den Benutzern die richtige Lizenz für Microsoft Purview Audit (Premium)-Features zugewiesen ist.

  • Tausende von durchsuchbaren Überwachungsereignissen. Sie können nach einer breiten Palette von überwachten Aktivitäten suchen, die bei den meisten Microsoft 365-Diensten in Ihrer Organisation auftreten. Eine Liste der Aktivitäten, nach den Sie suchen können, finden Sie unter Überwachungsprotokollaktivitäten. Eine Liste der Dienste und Funktionen, die überwachte Aktivitäten unterstützen, finden Sie unter Überwachungsprotokoll-Datensatztyp.

  • Audit-Suchtool im Microsoft Purview-Complianceportal. Verwenden Sie das Audit-Protokoll-Suchtool im Complianceportal, um nach Überwachungsdatensätzen zu suchen. Sie können nach bestimmten Aktivitäten suchen, nach Aktivitäten, die von bestimmten Benutzern ausgeführt wurden, und nach Aktivitäten, die in einem bestimmten Datumsbereich aufgetreten sind.

  • Search-UnifiedAuditLog Cmdlet. Sie können auch das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell (das zugrunde liegende Cmdlet für das Suchtool) verwenden, um nach Überwachungsereignissen zu suchen oder um es in einem Skript zu verwenden. Weitere Informationen finden Sie unter:

  • Exportieren von Überwachungsdatensätzen in eine CSV-Datei. Nach der Ausführung des Suchtools für das Überwachungsprotokoll im Complianceportal können Sie die von der Suche zurückgegebenen Überwachungsdatensätze in eine CSV-Datei exportieren. Damit können Sie in Microsoft Excel nach verschiedenen Eigenschaften von Überwachungsdatensätzen sortieren und filtern. Sie können auch die Transformationsfunktion in Microsoft Power Query für Excel verwenden, um jede Eigenschaft im AuditData JSON-Objekt in eine eigene Spalte aufzuteilen. So können Sie ähnliche Daten für verschiedene Ereignisse effektiv anzeigen und vergleichen. Weitere Informationen finden Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.

  • Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API. Eine dritte Methode für den Zugriff auf und das Abrufen von Überwachungsdatensätzen ist die Verwendung der Office 365-Verwaltungsaktivitäts-API. Damit können Unternehmen Überwachungsdaten für längere Zeiträume als die standardmäßigen 90 Tage aufbewahren und ihre Überwachungsdaten in eine SIEM-Lösung importieren. Weitere Informationen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.

  • 90-Tage-Aufbewahrung des Überwachungsprotokolls. Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll Ihrer Organisation gespeichert. Bei Audit (Standard) werden die Aufzeichnungen 90 Tage lang aufbewahrt, d. h. Sie können nach Aktivitäten suchen, die innerhalb der letzten drei Monate stattgefunden haben.

Audit (Premium)

Audit (Premium) baut auf den Funktionen von Audit (Standard) auf, indem es Richtlinien für die Aufbewahrung von Überwachungsprotokollen, eine längere Aufbewahrung von Überwachungsdatensätzen, wichtige Ereignisse mit hohem Wert und einen Zugriff mit größerer Bandbreite auf die Office 365-Verwaltungsaktivitäts-API bietet.

  • Aufbewahrungsrichtlinien für Überwachungsprotokolle. Sie können benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um Überwachungsdatensätze für längere Zeiträume bis zu einem Jahr (und bis zu 10 Jahren für Benutzer mit der erforderlichen Zusatzlizenz) aufzubewahren. Sie können die Aufbewahrungsrichtlinie für Überwachungsdatensätze basierend auf dem Dienst, in dem die Überwachungsaktivitäten stattfinden, auf bestimmten Überwachungsaktivitäten oder auf dem Benutzer, der eine Überwachungsaktivität durchführt, erstellen.
  • Längere Aufbewahrung von Überwachungsdatensätzen. Azure Active Directory-, Exchange-, OneDrive- und SharePoint-Überwachungsdatensätze werden standardmäßig ein Jahr lang aufbewahrt. Überwachungsdatensätze für alle anderen Aktivitäten werden standardmäßig 90 Tage lang aufbewahrt. Sie können jedoch mithilfe von Richtlinien zur Aufbewahrung von Überwachungsprotokollen auch längere Aufbewahrungszeiträume konfigurieren.
  • Hochwertige, wichtige Überwachungsereignisse (Premium). Überwachungsdatensätze für wichtige Ereignisse können Ihrem Unternehmen helfen, forensische und Compliance-Untersuchungen durchzuführen, da sie Einblick in Ereignisse geben wie z. B. wann auf E-Mail-Elemente zugegriffen wurde oder wann E-Mail-Elemente beantwortet und weitergeleitet wurden, wann und wonach ein Benutzer in Exchange Online und SharePoint Online gesucht hat usw. Diese wichtigen Ereignisse können Ihnen dabei helfen, mögliche Verstöße zu untersuchen und das Ausmaß der Kompromittierung zu ermitteln.
  • Höhere Bandbreite zur Office 365-Verwaltungsaktivitäts-API. Audit (Premium) bietet Organisationen mehr Bandbreite für den Zugriff auf Überwachungsprotokolle über die Office 365-Verwaltungsaktivitäts-API. Obwohl allen Organisationen (mit Audit (Standard) oder Audit (Premium)) anfänglich einen Basisplan von 2.000 Anforderungen pro Minute zugewiesen wird, wird dieser Grenzwert je nach Anzahl der Arbeitsplätze und ihrem Lizenzierungsabonnement dynamisch erhöht. Dies führt dazu, dass Organisationen mit Audit (Premium) etwa doppelt so viele Bandbreiten wie Organisationen mit Audit (Standard) erhalten.

Ausführlichere Informationen zu den Funktionen von Audit (Premium) finden Sie unter Audit (Premium) in Microsoft 365.

Vergleich der wichtigsten Funktionen

In der folgenden Tabelle werden die wichtigsten Funktionen von Audit (Standard) und Audit (Premium) verglichen. Alle Funktionen von Audit (Standard) sind in Audit (Premium) enthalten.

Funktion Überwachung (Standard) Audit (Premium)
Standardmäßig aktiviert Unterstützt. Unterstützt.
Tausende von durchsuchbaren Überwachungsereignissen Unterstützt. Unterstützt.
Audit-Suchtool im Complianceportal Unterstützt. Unterstützt.
Search-UnifiedAuditLog-Cmdlet Unterstützt. Unterstützt.
Exportieren von Überwachungsdatensätzen in eine CSV-Datei Unterstützt. Unterstützt.
Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API 1 Unterstützt. Unterstützt.
90-Tage-Aufbewahrung des Überwachungsprotokolls Unterstützt. Unterstützt.
1-jährige Aufbewahrung des Überwachungsprotokolls Unterstützt.
10-jährige Aufbewahrung des Überwachungsprotokolls 2 Unterstützt
Aufbewahrungsrichtlinien für Überwachungsprotokolle Unterstützt
Hochwertige, wichtige Ereignisse Unterstützt

Hinweis

1 Audit (Premium) bietet zugriff auf die Office 365-Verwaltungsaktivitäts-API mit höherer Bandbreite, wodurch schneller auf Überwachungsdaten zugegriffen werden kann.
2 Zusätzlich zur erforderlichen Lizenzierung für Audit (Premium) (im nächsten Abschnitt beschrieben) muss einem Benutzer eine Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen für 10 Jahre zugewiesen werden, um seine Überwachungsdatensätze 10 Jahre lang aufzubewahren.

Lizenzierungsanforderungen

In den folgenden Abschnitten werden die Lizenzierungsanforderungen für Audit (Standard) und Audit (Premium) beschrieben. Die Funktionen von Audit (Standard) sind in Audit (Premium) enthalten.

Überwachung (Standard)

  • Microsoft Business Basic/Standard-Abonnements
  • Microsoft 365 Apps for Business-Abonnement
  • Microsoft 365 Enterprise E3-Abonnement
  • Microsoft 365 Business Premium
  • Microsoft 365 Education A3-Abonnement
  • Microsoft 365 Government G1/G3-Abonnements
  • Microsoft 365 Frontline F1- oder F3-Abonnement oder F5-Sicherheits-Add-On
  • Office 365 Enterprise E1/E3-Abonnement
  • Office 365 Education A1/A3-Abonnements

Audit (Premium)

  • Microsoft 365 Enterprise E5-Abonnement
  • Microsoft 365 Enterprise E3-Abonnement mit dem Microsoft 365 E5 Compliance-Add-On
  • Microsoft 365 Enterprise E3-Abonnement mit dem Microsoft 365 E5 eDiscovery- und Überwachungs-Add-On
  • Microsoft 365 Education A5-Abonnement
  • Microsoft 365 Education A3-Abonnement mit dem Microsoft 365 A5-Compliance-Add-On
  • Microsoft 365 Education A3-Abonnement mit dem Microsoft 365 A5 eDiscovery- und Überwachungs-Add-On
  • Microsoft 365 Government G5-Abonnement
  • Microsoft 365 Government G3-Abonnement mit dem Microsoft 365 G5-Compliance-Add-On
  • Microsoft 365 Government G3-Abonnement mit dem Microsoft 365 G5 eDiscovery- und Überwachungs-Add-On
  • Microsoft 365 Frontline F5 Compliance- oder F5 Security & Compliance-Add-On
  • Office 365 Enterprise A5/E5-Abonnements

Einrichten von Microsoft Purview-Überwachungslösungen

Um mit der Verwendung der Überwachungslösungen in Microsoft Purview zu beginnen, lesen Sie die folgende Anleitung zur Einrichtung.

Audit (Standard) einrichten

Der erste Schritt besteht darin, Audit (Standard) einzurichten und dann mit der Suche im Überwachungsprotokoll zu beginnen.

Workflow zur Einrichtung von Audit (Standard).

  1. Vergewissern Sie sich, dass Ihr Unternehmen ein Abonnement hat, das Audit (Standard) unterstützt, und gegebenenfalls ein Abonnement, das Audit (Premium) unterstützt.

  2. Weisen Sie Personen in Ihrer Organisation Berechtigungen in Exchange Online zu, die das Überwachungsprotokoll-Suchtool im Complianceportal oder das Cmdlet Search-UnifiedAuditLog verwenden. Insbesondere muss Benutzern die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle in Exchange Online zugewiesen werden.

  3. Durchsuchen des Überwachungsprotokolls. Nach Abschluss von Schritt 1 und Schritt 2 können Benutzer in Ihrer Organisation mit dem Suchtool des Überwachungsprotokolls (oder dem entsprechenden Cmdlet) nach geprüften Aktivitäten suchen.

Ausführlichere Anweisungen finden Sie unter Audit (Standard) einrichten.

Audit (Premium) einrichten

Wenn Ihre Organisation über ein Abonnement verfügt, das Audit (Premium) unterstützt, führen Sie die folgenden Schritte aus, um die zusätzlichen Funktionen in Audit (Premium) einzurichten und zu verwenden.

Workflow zur Einrichtung von Audit (Premium).

  1. Audit (Premium) für Benutzer einrichten. Dieser Schritt besteht aus den folgenden Aufgaben:

    • Es wird überprüft, ob Benutzern die entsprechende Lizenz oder Add-On-Lizenz für Audit (Premium) zugewiesen ist.
    • Die Aktivierung der App/des Serviceplans Audit (Premium) muss für diese Nutzer erfolgen.
    • Aktivieren Sie die Überwachung wichtiger Ereignisse und schalten Sie dann die Überwachungs-App (Premium) bzw. den Serviceplan für diese Benutzer ein.

  2. Aktivieren Sie die Protokollierung von Audit (Premium)-Ereignissen, wenn Benutzer in Exchange Online und SharePoint Online Suchen durchführen.

  3. Einrichten von Aufbewahrungsrichtlinien für Überwachungsprotokolle. Zusätzlich zur Standardrichtlinie, die Exchange-, SharePoint- und Azure AD-Überwachungsdatensätze für ein Jahr aufbewahrt, können Sie zusätzliche Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um die Anforderungen der Sicherheits-, IT- und Complianceteams Ihrer Organisation zu erfüllen.

  4. Suchen Sie bei der Durchführung forensischer Untersuchungen nach wichtigen Überwachungsereignissen (Premium) und anderen Aktivitäten. Nach Abschluss von Schritt 1 und Schritt 2 können Sie das Überwachungsprotokoll nach Überwachungsereignissen (Premium) und anderen Aktivitäten während forensischer Untersuchungen von kompromittierten Konten und anderen Arten von Sicherheits- oder Complianceuntersuchungen durchsuchen.

Ausführlichere Anweisungen finden Sie unter Audit (Premium) einrichten.

Schulungen

Die Schulung Ihres Teams für Sicherheitsvorgänge, IT-Administratoren und Compliance-Ermittler in den Grundlagen für Audit (Standard) und Audit (Premium) kann Ihrer Organisation helfen, schneller mithilfe der Überwachung zu beginnen, um Ihre Untersuchungen zu unterstützen. Microsoft Purview stellt die folgende Ressource zur Verfügung, um diesen Benutzern in Ihrer Organisation den Einstieg in die Überwachung zu erleichtern: eDiscovery-Funktionen und Überwachungsfunktionen von Microsoft Purview beschreiben.