Suchen nach dem Überwachungsprotokoll für Ereignisse in Microsoft Teams
Wichtig
Das Microsoft Teams Admin Center ersetzt schrittweise das Skype for Business Admin Center, und wir migrieren Teams-Einstellungen aus dem Microsoft 365 Admin Center dazu. Wenn eine Einstellung migriert wurde, wird eine Benachrichtigung angezeigt, und Sie werden dann zum Speicherort der Einstellung im Teams Admin Center weitergeleitet. Weitere Informationen finden Sie unter Verwalten von Teams während des Übergangs zum Teams Admin Center.
Das Überwachungsprotokoll kann Ihnen helfen, bestimmte Aktivitäten in Microsoft 365-Diensten zu untersuchen. Für Microsoft Teams finden Sie hier einige der Aktivitäten, die überwacht werden:
- Teamerstellung
- Löschung von Teams
- Hinzufügen von Kanälen
- Kanal gelöscht
- Kanaleinstellung geändert
Eine vollständige Liste der überwachten Teams-Aktivitäten finden Sie unter Teams-Aktivitäten und Schichten in Teams-Aktivitäten.
Hinweis
Überwachungsereignisse von privaten Kanälen werden ebenso wie für Teams und Standardkanäle protokolliert.
Aktivieren der Überwachung in Teams
Bevor Sie überwachungsdaten anzeigen können, müssen Sie zuerst die Überwachung im Microsoft Purview-Complianceportal aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
Wichtig
Überwachungsdaten sind nur ab dem Zeitpunkt verfügbar, an dem Sie die Überwachung aktiviert haben.
Abrufen von Microsoft Teams-Daten aus dem Überwachungsprotokoll
Um Überwachungsprotokolle für Teams-Aktivitäten abzurufen, wechseln Sie zu https://compliance.microsoft.com , und wählen Sie Überwachen aus.
Filtern Sie auf der Seite Suchen die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.
Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.
Eine schrittweise Anleitung finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.
Wichtig
Überwachungsdaten sind nur im Überwachungsprotokoll sichtbar, wenn die Überwachung aktiviert ist.
Die Dauer, in der ein Überwachungsdatensatz aufbewahrt und im Überwachungsprotokoll durchsuchbar ist, hängt von Ihrem Microsoft 365- oder Office 365-Abonnement ab, und insbesondere von der Art der Lizenz, die Benutzern zugewiesen ist. Weitere Informationen finden Sie in der Dienstbeschreibung des Security & Compliance Center.
Tipps zum Suchen im Überwachungsprotokoll
Hier finden Sie Tipps zum Suchen nach Teams-Aktivitäten im Überwachungsprotokoll.
Sie können bestimmte Aktivitäten auswählen, nach der gesucht werden soll, indem Sie auf das Kontrollkästchen neben einer oder mehreren Aktivitäten klicken. Wenn eine Aktivität ausgewählt ist, können Sie sie auswählen, um die Auswahl abzubrechen. Sie können auch das Suchfeld verwenden, um die Aktivitäten anzuzeigen, die das von Ihnen eingegebene Schlüsselwort enthalten.
Wählen Sie zum Anzeigen von Ereignissen für Aktivitäten, die mithilfe von Cmdlets ausgeführt werden, in der Liste Aktivitätendie Option Ergebnisse für alle Aktivitäten anzeigen aus. Wenn Sie den Namen des Vorgangs für diese Aktivitäten kennen, geben Sie ihn in das Suchfeld ein, um die Aktivität anzuzeigen, und wählen Sie ihn dann aus.
Um die aktuellen Suchkriterien zu löschen, wählen Sie Alle löschen aus. Der Datumsbereich wird auf die Standardeinstellung für die letzten sieben Tage zurückgesetzt.
Wenn 5,000 Ergebnisse gefunden werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 5.000 Ereignisse die Suchkriterien erfüllen. Sie können die Suchkriterien verfeinern und die Suche erneut ausführen, um weniger Ergebnisse zurückzugeben, oder Sie können alle Suchergebnisse exportieren, indem SieAlle Ergebnisse herunterladen> auswählen. Schritt-für-Schritt-Anweisungen zum Exportieren von Überwachungsprotokollen finden Sie unter Exportieren der Suchergebnisse in eine Datei.
Sehen Sie sich dieses Video zur Verwendung der Audioprotokollsuche an. Treten Sie Ansuman Acharya, Programmmanager für Teams, bei, während er zeigt, wie sie eine Überwachungsprotokollsuche für Teams durchführen.
Microsoft Teams-Aktivitäten
Hier ist eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Teams im Microsoft 365-Überwachungsprotokoll protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Bot zum Team hinzugefügt | BotAddedToTeam | Ein Benutzer fügt einem Team einen Bot hinzu. |
Kanal hinzugefügt | ChannelAdded | Ein Benutzer fügt einem Team einen Kanal hinzu. |
Connector hinzugefügt | ConnectorAdded | Ein Benutzer fügt einen Connector zu einem Kanal hinzu. |
Details zu Teams-Besprechung 2, 5 hinzugefügt | MeetingDetail | Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit und der URL für die Teilnahme an der Besprechung. |
Informationen zu Besprechungsteilnehmern hinzugefügt 2, 5 | MeetingParticipantDetail | Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt und die Zeit, zu der ein Teilnehmer die Besprechung verlassen hat. |
Mitglieder hinzugefügt 5, 6 | MemberAdded | Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu. |
Registerkarte hinzugefügt | TabAdded | Ein Benutzer fügt einem Kanal eine Registerkarte hinzu. |
Angewendete Vertraulichkeitsbezeichnung | SensitivityLabelApplied | Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet. |
Kanaleinstellung geändert | ChannelSettingChanged | Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern angezeigt) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
Organisationseinstellung geändert | TeamsTenantSettingChanged | Der Vorgang TeamsTenantSettingChanged wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich auf organisationsweite Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Teams-Einstellungen für Ihre organization. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
Rolle von Mitgliedern im Team geändert | MemberRoleChanged | Ein Teambesitzer ändert die Rolle der Mitglieder in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen ist. 1 – Gibt die Memberrolle an. 2 – Gibt die Rolle Besitzer an. 3 - Gibt die Gastrolle an. Die Members-Eigenschaft enthält auch den Namen Ihres organization und die E-Mail-Adresse des Mitglieds. |
Teameinstellung geändert | TeamSettingChanged | Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
Geänderte Vertraulichkeitsbezeichnung | SensitivityLabelChanged | Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert. |
Erstellen eines Chats 1, 2 | ChatCreated | Ein Teams-Chat wurde erstellt. |
Team erstellt | TeamCreated | Ein Benutzer erstellt ein Team. |
Nachricht gelöscht 2 | MessageDeleted | Eine Nachricht in einem Chat oder Kanal wurde gelöscht. |
Alle organization-Apps gelöscht | DeletedAllOrganizationApps | Alle organization Apps aus dem Katalog gelöscht. |
Gelöschte App | AppDeletedFromCatalog | Eine App wurde aus dem Katalog gelöscht. |
Kanal gelöscht | ChannelDeleted | Ein Benutzer löscht einen Kanal aus einem Team. |
Team gelöscht | TeamDeleted | Ein Teambesitzer löscht ein Team. |
Bearbeiten einer Nachricht mit einem URL-Link in Teams 5 | MessageEditedHasLink | Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu. |
Exportierte Nachrichten 1, 2 | MessagesExported | Chat- oder Kanalnachrichten wurden exportiert. |
Exportierte Aufzeichnungen | RecordingExported | Chataufzeichnungen wurden exportiert. |
Exportierte Transkripte | TranscriptsExported | Chattranskripte wurden exportiert. |
Fehler beim Überprüfen der Einladung an den freigegebenen Kanal 3 | FailedValidation | Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen. |
Abgerufener Chat 1, 2 | ChatRetrieved | Ein Microsoft Teams-Chat wurde abgerufen. |
Alle gehosteten Inhalte einer Nachricht abgerufen1, 2 | MessageHostedContentsListed | Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen. |
App installiert | AppInstalled | Eine App wurde installiert. |
Aktion für Karte ausgeführt | PerformenCardAction | Ein Benutzer hat eine Aktion für eine adaptive Karte innerhalb eines Chats ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die umfassende Anzeige von Informationen und Interaktionen in Chats zu ermöglichen. Hinweis: Nur Inlineeingabeaktionen für eine adaptive Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise, wenn ein Benutzer eine Umfrageantwort in einer Kanalunterhaltung auf einer adaptiven Karte übermittelt, die von einem Umfragebot generiert wird. Benutzeraktionen wie "Ergebnis anzeigen", durch die ein Dialogfeld geöffnet wird, oder Benutzeraktionen innerhalb von Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar. |
Neue Nachricht veröffentlicht 1, 2, 5, 6 | MessageSent | Eine neue Nachricht wurde in einem Chat oder Kanal veröffentlicht. |
Veröffentlichte App | AppPublishedToCatalog | Dem Katalog wurde eine App hinzugefügt. |
Lesen einer Nachricht 1, 2 | MessageRead | Eine Nachricht eines Chats oder Kanals wurde abgerufen. |
Lesen des gehosteten Inhalts einer Nachricht 1, 2 | MessageHostedContentRead | Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen. |
Bot aus Team entfernt | BotRemovedFromTeam | Ein Benutzer entfernt einen Bot aus einem Team. |
Connector entfernt | ConnectorRemoved | Ein Benutzer entfernt einen Connector aus einem Kanal. |
Entfernte Mitglieder | MemberRemoved | Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat. |
Vertraulichkeitsbezeichnung entfernt | SensitivityLabelRemoved | Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt. |
Freigabe von Teamkanal 3 entfernt | TerminatedSharing | Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert. |
Freigabe von Teamkanal 3 wiederhergestellt | SharingRestored | Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert. |
Registerkarte entfernt | TabRemoved | Ein Benutzer entfernt eine Registerkarte aus einem Kanal. |
Auf Einladung für den freigegebenen Kanal 3 geantwortet | EingeladeneAntworten | Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet. |
Antwort der eingeladenen Person auf freigegebenen Kanal 3 | ChannelOwnerResponded | Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat. |
Abgerufene Nachrichten 1, 2 | MessagesListed | Nachrichten aus einem Chat oder Kanal wurden abgerufen. |
Senden einer Nachricht mit einem URL-Link in Teams 5 | MessageCreatedHasLink | Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams. |
Änderungsbenachrichtigung zur Nachrichtenerstellung gesendet 1, 2 | MessageCreatedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen. |
Änderungsbenachrichtigung zum Löschen von Nachrichten gesendet 1, 2 | MessageDeletedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen. |
Änderungsbenachrichtigung für Meldungsupdate 1, 2 gesendet | MessageUpdatedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen. |
Gesendete Einladung für den freigegebenen Kanal 3 | InviteSent | Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihres organization gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist. |
Nachrichtenänderungsbenachrichtigungen abonniert 1, 2 | SubscribedToMessages | Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen. |
Deinstallierte App | AppUninstalled | Eine App wurde deinstalliert. |
Aktualisierte App | AppUpdatedInCatalog | Eine App wurde im Katalog aktualisiert. |
Chat aktualisiert 1, 2 | ChatUpdated | Ein Teams-Chat wurde aktualisiert. |
Meldung 1, 2 aktualisiert | MessageUpdated | Eine Nachricht eines Chats oder Kanals wurde aktualisiert. |
Connector aktualisiert | ConnectorUpdated | Ein Benutzer hat in einem Kanal einen Connector geändert. |
Registerkarte aktualisiert | TabUpdated | Ein Benutzer hat in einem Kanal eine Registerkarte geändert. |
Aktualisierte App | AppUpgradeed | Eine App wurde im Katalog auf die neueste Version aktualisiert. |
Benutzer bei Teams angemeldet | TeamsSessionStarted | Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten. |
Veröffentlicht Neue Nachricht 3, 4, 5, 6 | MessageSent | Eine neue Nachricht wurde in einem Chat oder Kanal gepostet. Dieses Ereignis ist ein Premium-Feature mit zu definierenden Lizenzierungsdetails. |
Hinweis
1 Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert.
2 Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
3 Dieses Ereignis befindet sich in der öffentlichen Vorschau.
4Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind.
5 Dieses Ereignis ist derzeit nicht in Den Organisationen Government Community Cloud (GCC), Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
6 Dieses Ereignis ist in allen teilnehmenden Mandanten für Verbundchats enthalten.
7 Dieses Ereignis enthält Domäneninformationen für 1:1-Verbundchats.
Schichten in Teams-Aktivitäten
Wenn Ihr organization die Schichten-App in Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Schichten-App durchsuchen. Hier ist eine Liste aller Ereignisse, die für Schichten-Aktivitäten in Teams im Microsoft 365-Überwachungsprotokoll protokolliert werden.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Planungsgruppe hinzugefügt | ScheduleGroupAdded | Ein Benutzer fügt dem Zeitplan erfolgreich eine neue Planungsgruppe hinzu. |
Bearbeitete Zeitplanungsgruppe | ScheduleGroupEdited | Ein Benutzer bearbeitet erfolgreich eine Planungsgruppe. |
Gelöschte Zeitplanungsgruppe | ScheduleGroupDeleted | Ein Benutzer löscht erfolgreich eine Zeitplanungsgruppe aus dem Zeitplan. |
Zeitplan zurückgezogen | ScheduleWithdrawn | Ein Benutzer zieht erfolgreich einen veröffentlichten Zeitplan zurück. |
Hinzugefügte Verschiebung | ShiftAdded | Ein Benutzer fügt erfolgreich eine Schicht hinzu. |
Bearbeitete Schicht | ShiftEdited | Ein Benutzer bearbeitet erfolgreich eine Schicht. |
Gelöschte Schicht | SHIFTDeleted | Ein Benutzer löscht erfolgreich eine Schicht. |
Hinzugefügte Freizeit | TimeOffAdded | Ein Benutzer fügt dem Zeitplan erfolgreich freizeitmäßige Zeit hinzu. |
Bearbeitete Freizeit | TimeOffEdited | Ein Benutzer bearbeitet die Freizeit erfolgreich. |
Löschzeit | TimeOffDeleted | Ein Benutzer löscht die Freizeit erfolgreich. |
Offene Schicht hinzugefügt | OpenShiftAdded | Ein Benutzer fügt einer Zeitplanungsgruppe erfolgreich eine offene Schicht hinzu. |
Bearbeitete offene Schicht | OpenShiftEdited | Ein Benutzer bearbeitet erfolgreich eine offene Schicht in einer Planungsgruppe. |
Geöffnete Schicht gelöscht | OpenShiftDeleted | Ein Benutzer löscht erfolgreich eine offene Schicht aus einer Zeitplanungsgruppe. |
Freigegebener Zeitplan | ScheduleShared | Ein Benutzer hat erfolgreich einen Teamzeitplan für einen Datumsbereich freigegeben. |
Getaktet mithilfe der Zeituhr | ClockedIn | Ein Benutzer hat erfolgreich zeitgesteuert die Zeituhr verwendet. |
Ausgetaktet mithilfe der Zeituhr | ClockedOut | Ein Benutzer hat die Zeituhr erfolgreich verwendet. |
Pause mithilfe der Zeituhr gestartet | BreakStarted | Ein Benutzer startet erfolgreich eine Pause während einer aktiven Time Clock-Sitzung. |
Beendigung der Pause mithilfe der Zeituhr | BreakEnded | Ein Benutzer beendet eine Pause während einer aktiven Time Clock-Sitzung erfolgreich. |
Zeituhreintrag hinzugefügt | TimeClockEntryAdded | Ein Benutzer fügt erfolgreich einen neuen manuellen Zeituhreintrag auf der Arbeitszeittabelle hinzu. |
Bearbeiteter Zeituhreintrag | TimeClockEntryEdited | Ein Benutzer bearbeitet erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle. |
Gelöschter Zeituhreintrag | TimeClockEntryDeleted | Ein Benutzer löscht erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle. |
Schichtanforderung hinzugefügt | RequestAdded | Ein Benutzer hat eine Schichtanforderung hinzugefügt. |
Antwort auf Schichtanforderung | RequestRespondedTo | Ein Benutzer hat auf eine Schichtanforderung geantwortet. |
Abgebrochene Schichtanforderung | RequestCancelled | Ein Benutzer hat eine Schichtanforderung abgebrochen. |
Geänderte Zeitplaneinstellung | ScheduleSettingChanged | Ein Benutzer ändert eine Einstellung in den Einstellungen für Schichten. |
Mitarbeiterintegration hinzugefügt | WorkforceIntegrationAdded | Die Schichten-App ist in ein Drittanbietersystem integriert. |
Meldung "Außerhalb der Schicht akzeptiert" | OffShiftDialogAccepted | Ein Benutzer bestätigt die Meldung außerhalb der Schicht, nach der Schicht auf Teams zuzugreifen. |
Updates App in Teams-Aktivitäten
Wenn Ihr organization die Updates-App in Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Updates-App durchsuchen. Hier ist eine Liste aller Ereignisse, die für Updates App-Aktivitäten in Teams im Microsoft 365-Überwachungsprotokoll protokolliert werden.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Erstellen einer Updateanforderung | CreateUpdateRequest | Ein Benutzer erstellt erfolgreich eine Updateanforderung. |
Bearbeiten einer Updateanforderung | EditUpdateRequest | Ein Benutzer öffnet den Assistenten für die Bearbeitung von Anforderungen und wählt Speichern aus, um Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt. |
Übermitteln eines Updates | SubmitUpdate | Ein Benutzer übermittelt erfolgreich ein Update. |
Anzeigen der Details eines Updates | ViewUpdate | Ein Benutzer zeigt die Details des Updates an. |
Office 365-Verwaltungsaktivitäts-API
Sie können die Office 365-Verwaltungsaktivitäts-API verwenden, um Informationen zu Teams-Ereignissen abzurufen. Weitere Informationen zum Schema der Verwaltungsaktivitäts-API für Teams finden Sie unter Teams-Schema.
Zuordnung in Teams-Überwachungsprotokollen
Mitgliedschaftsänderungen an Teams (z. B. hinzugefügte oder gelöschte Benutzer), die über Azure Active Directory (Azure AD), das Microsoft 365-Verwaltungsportal oder Microsoft 365-Gruppen Graph-API vorgenommen wurden, werden in Teams-Überwachungsnachrichten und im Kanal Allgemein mit einer Zuordnung zu einem vorhandenen Besitzer des Teams und nicht zum tatsächlichen Initiator der Aktion angezeigt. Lesen Sie in diesen Szenarien die Überwachungsprotokolle für Azure AD oder Microsoft 365-Gruppen , um die relevanten Informationen anzuzeigen.
Verwenden von Defender für Cloud-Apps zum Festlegen von Aktivitätsrichtlinien
Mithilfe Microsoft Defender for Cloud Apps Integration können Sie Aktivitätsrichtlinien festlegen, um mithilfe der APIs des App-Anbieters eine Vielzahl von automatisierten Prozessen zu erzwingen. Diese Richtlinien ermöglichen es Ihnen, bestimmte Aktivitäten zu überwachen, die von verschiedenen Benutzern ausgeführt werden, oder unerwartet hohe Raten einer bestimmten Art von Aktivität zu verfolgen.
Nachdem Sie eine Aktivitätserkennungsrichtlinie festgelegt haben, wird mit der Generierung von Warnungen begonnen. Warnungen werden nur für Aktivitäten generiert, die nach dem Erstellen der Richtlinie auftreten. Im Folgenden finden Sie einige Beispielszenarien für die Verwendung von Aktivitätsrichtlinien in Defender for Cloud Apps zum Überwachen von Teams-Aktivitäten.
Szenario für externe Benutzer
Ein Szenario, das Sie aus geschäftlicher Sicht im Auge behalten möchten, ist das Hinzufügen externer Benutzer zu Ihrer Teams-Umgebung. Wenn externe Benutzer aktiviert sind, empfiehlt es sich, deren Anwesenheit zu überwachen. Sie können Defender für Cloud Apps verwenden, um potenzielle Bedrohungen zu identifizieren.
Der Screenshot dieser Richtlinie zum Überwachen des Hinzufügens externer Benutzer ermöglicht es Ihnen, die Richtlinie zu benennen, den Schweregrad entsprechend Ihren Geschäftlichen Anforderungen festzulegen, sie (in diesem Fall) als einzelne Aktivität festzulegen und dann die Parameter festzulegen, die nur das Hinzufügen nicht interner Benutzer überwachen und diese Aktivität auf Teams beschränken.
Die Ergebnisse dieser Richtlinie können im Aktivitätsprotokoll angezeigt werden:
Hier können Sie Übereinstimmungen mit der von Ihnen festgelegten Richtlinie überprüfen und ggf. Anpassungen vornehmen oder die Ergebnisse exportieren, um sie an anderer Stelle zu verwenden.
Szenario für massenhaftes Löschen
Wie bereits erwähnt, können Sie Löschszenarien überwachen. Es ist möglich, eine Richtlinie zu erstellen, die das Massenlöschen von Teams-Websites überwacht. In diesem Beispiel wird eine warnungsbasierte Richtlinie eingerichtet, um das Massenlöschen von Teams innerhalb von 30 Minuten zu erkennen.
Wie der Screenshot zeigt, können Sie viele verschiedene Parameter für diese Richtlinie festlegen, um Teams-Löschungen zu überwachen, einschließlich Schweregrad, einzelne oder wiederholte Aktion und Parameter, die dies auf Teams und Websitelöschung beschränken. Dies kann unabhängig von einer Vorlage erfolgen, oder Sie haben eine Vorlage erstellt, auf der diese Richtlinie basiert, je nach den Anforderungen Ihrer Organisation.
Nachdem Sie eine Richtlinie festgelegt haben, die für Ihr Unternehmen funktioniert, können Sie die Ergebnisse im Aktivitätsprotokoll überprüfen, wenn Ereignisse ausgelöst werden:
Sie können nach der richtlinie filtern, die Sie festgelegt haben, um die Ergebnisse dieser Richtlinie anzuzeigen. Wenn die Ergebnisse, die Sie im Aktivitätsprotokoll erhalten, nicht zufriedenstellend sind (möglicherweise werden viele oder gar nichts angezeigt), kann dies Ihnen helfen, die Abfrage zu optimieren, um sie für die erforderlichen Aufgaben relevanter zu machen.
Warnungs- und Governanceszenario
Sie können Warnungen festlegen und E-Mails an Administratoren und andere Benutzer senden, wenn eine Aktivitätsrichtlinie ausgelöst wird. Sie können automatisierte Governanceaktionen festlegen, z. B. das Anhalten eines Benutzers oder die automatische Erneute Anmeldung eines Benutzers. Dieses Beispiel zeigt, wie ein Benutzerkonto ausgesetzt werden kann, wenn eine Aktivitätsrichtlinie ausgelöst wird und ein Benutzer bestimmt, der zwei oder mehr Teams in 30 Minuten gelöscht hat.
Verwenden von Defender für Cloud-Apps zum Festlegen von Richtlinien für die Anomalieerkennung
Richtlinien zur Anomalieerkennung in Defender for Cloud Apps bieten sofort einsatzbereite UEBA-Analysen (User and Entity Behavior Analytics) und Machine Learning (ML), sodass Sie die erweiterte Bedrohungserkennung sofort in Ihrer Cloudumgebung ausführen können. Da sie automatisch aktiviert werden, liefern die neuen Richtlinien für die Anomalieerkennung sofortige Ergebnisse, indem sie sofortige Erkennungen bereitstellen und auf zahlreiche Verhaltensanomalien für Ihre Benutzer und die Computer und Geräte abzielen, die mit Ihrem Netzwerk verbunden sind. Darüber hinaus machen die neuen Richtlinien mehr Daten aus der Defender for Cloud Apps-Erkennungs-Engine verfügbar, damit Sie den Untersuchungsprozess beschleunigen und laufende Bedrohungen eindämmen können.
Wir arbeiten daran, Teams-Ereignisse in Richtlinien zur Anomalieerkennung zu integrieren. Vorerst können Sie Richtlinien zur Anomalieerkennung für andere Office-Produkte einrichten und Aktionselemente für Benutzer ausführen, die diesen Richtlinien entsprechen.