Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Nutzen des Mandantenadministrators – Complianceadministrator/Sicherheitsadministrator/Überwachungsleser
Überprüfen Sie die SharePoint Embedded-Überwachungsaktivität in der Microsoft Purview-Überwachung, wenn Sie Benutzer-, Administrator-, Datei- oder Containeraktivitäten untersuchen.
SharePoint Embedded-Überwachungsfunktionen Spiegel vorhandenen SharePoint-Überwachungsfunktionen, und Benutzer- und Administratorvorgänge, die in SharePoint Embedded-Anwendungen ausgeführt werden, werden im einheitlichen Überwachungsprotokoll des organization erfasst.
Wichtig
Verwenden Sie die Microsoft Purview-Überwachung als autoritative Untersuchungsoberfläche für Überwachungsdatensätze. Verwenden Sie SharePoint Embedded-App- und Containerbezeichner, um Ergebnisse auf eingebettete Inhalte einzugrenzen.
Bevor Sie beginnen
Bestätigen Sie diese Voraussetzungen.
- Die Überwachung ist für Ihre Microsoft 365-organization verfügbar.
- Sie können mit den erforderlichen Complianceberechtigungen auf die Microsoft Purview-Überwachung zugreifen.
- Sie kennen den Datumsbereich für die Untersuchung.
- Sie kennen die betroffene SharePoint Embedded-Anwendung, den Container, den Benutzer oder die Datei von SharePoint Embedded.
- Sie können containerdetails bei Bedarf aus dem SharePoint Admin Center oder PowerShell abrufen.
Informationen zu unterstützten SharePoint Embedded-Kompatibilitätsfunktionen finden Sie unter Sicherheit und Kompatibilität.
Grundlegendes zur SharePoint Embedded-Überwachungsabdeckung
Überwachungsfunktionen in SharePoint Embedded Spiegel vorhandenen SharePoint-Überwachungsfunktionen.
Benutzer- und Administratorvorgänge, die in in SharePoint Embedded gehosteten Anwendungen ausgeführt werden, werden im einheitlichen Überwachungsprotokoll erfasst, aufgezeichnet und aufbewahrt.
Die Überwachung kann ihnen dabei helfen, Fragen wie die folgenden zu beantworten:
- Wer hat auf eine Datei zugegriffen?
- Wer hat Inhalte geändert?
- Wer hat Inhalte gelöscht oder wiederhergestellt?
- Welcher Administrator hat die Containereinstellungen geändert?
- Welcher Container war an einem Ereignis beteiligt?
- Welcher Containertyp war an einem Ereignis beteiligt?
Aufbewahrung und Verfügbarkeit hängen von der Lizenzierung und Konfiguration Ihrer Microsoft Purview-Überwachung ab.
Details zur Überwachungsplattform finden Sie unter Überwachungslösungen in Microsoft Purview.
Identifizieren von SharePoint Embedded-Feldern
Zusätzlich zu vorhandenen SharePoint-Dateieigenschaften enthalten SharePoint Embedded-Überwachungsereignisse zusätzliche Daten, mit denen SharePoint Embedded-Inhalte isoliert werden können.
SharePoint Embedded-Überwachungsereignisse umfassen die folgenden Felder:
| Feld | Verwenden Sie es für |
|---|---|
ContainerInstanceId |
Identifizieren Sie den spezifischen SharePoint Embedded-Container instance, der an dem Ereignis beteiligt ist. |
ContainerTypeId |
Identifizieren Sie den SharePoint Embedded-Containertyp, der am Ereignis beteiligt ist. |
Verwenden Sie diese Felder mit App- und Benutzerkontext, um eine Untersuchung einzugrenzen.
Wenn ein Resultset reguläre SharePoint- und SharePoint Embedded-Aktivitäten enthält, filtern oder überprüfen Sie diese Felder, um eingebettete Inhalte zu isolieren.
SharePoint Embedded-Überwachungsaktivitäten
Informationen zum Anzeigen aller SharePoint Embedded-Überwachungsprotokollaktivitäten finden Sie unter Überwachen von Ereignissen.
Containertypereignisse umfassen die ContainerTypeId -Eigenschaft. Im Gegensatz zu Dateiereignissen auf Containerebene sind sie nicht enthaltenContainerInstanceId, da sie auf Typebene und nicht auf einen einzelnen Container instance.
Sie können diese Ereignisse mit dem Search-UnifiedAuditLog Cmdlet durchsuchen. Zum Beispiel:
Search-UnifiedAuditLog -Operations ContainerTypeCreated,ContainerTypeDeleted,ContainerTypeUpdated,ContainerTypeOwnersUpdated -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)
Containerkontext abrufen
Erfassen Sie vor dem Durchsuchen der Überwachung den Kontext, den Sie haben.
- Identifizieren Sie den Namen der SharePoint Embedded-Anwendung.
- Identifizieren Sie die id der besitzenden Anwendung, sofern verfügbar.
- Identifizieren Sie den Containernamen oder die Container-ID.
- Identifizieren Sie die URL der Containerwebsite, sofern verfügbar.
- Identifizieren Sie die beteiligten Benutzer, Gruppen oder App-Identitäten.
- Identifizieren Sie den Zeitraum.
- Identifizieren Sie den verdächtigen Vorgang, z. B. Lesen, Aktualisieren, Löschen, Wiederherstellen, Freigeben oder Bezeichnungsänderung.
Verwenden Sie Container verwalten im SharePoint Admin Center , um Containerdetails zu überprüfen.
Verwenden Sie Container mit PowerShell verwalten , um Container-IDs und URLs für wiederholbare Untersuchungen abzurufen.
Suchen in Microsoft Purview-Überwachung
Verwenden Sie die Microsoft Purview-Überwachung, um Aktivitäten zu durchsuchen.
- Öffnen Sie das Microsoft Purview-Portal.
- Wechseln Sie zur Überwachungslösung.
- Wählen Sie den Datums- und Uhrzeitbereich aus.
- Fügen Sie Benutzer oder App-Identitäten hinzu, sofern bekannt.
- Fügen Sie Aktivitäten hinzu, die der Untersuchung entsprechen.
- Durchsuchen von SharePoint-bezogenen Aktivitäten beim Untersuchen von Datei- und Containerinhalten.
- Verwenden Sie SharePoint Embedded Container Type-Aktivitäten oder SharePoint Embedded Container Type Registration-Aktivitäten , wenn Sie wissen, dass es sich bei der Untersuchung um App-Setup oder Containertypverwaltung handelt.
- Führen Sie die Suche aus.
- Öffnen Sie relevante Ergebnisse.
- Überprüfen Sie ereignisdetails für SharePoint Embedded-Felder wie
ContainerInstanceIdundContainerTypeId.
Verwenden Sie die restriktivsten Filter, die den Incident weiterhin erfassen.
Erweitern Sie dann die Suche, wenn die Ergebnisse unvollständig sind.
Tipp
Beginnen Sie mit einem begrenzten Zeitbereich und bekannten Benutzern. Erweitern Sie containerbezeichner oder eine breitere SharePoint-Aktivität, wenn die erste Suche nicht genügend Kontext zurückgibt.
Interpretieren von Ereignisdetails
Erfassen Sie beim Überprüfen eines Ereignisses die felder, die für den Untersuchungsdatensatz erforderlich sind.
| Ereignisdetails | Warum dies wichtig ist |
|---|---|
| Vorgang oder Aktivität | Beschreibt, was passiert ist. |
| Benutzer oder Akteur | Gibt an, wer die Aktion ausgeführt hat. |
| Zeitstempel | Places das Ereignis für die Untersuchung Zeitleiste. |
| Objekt- oder Dateipfad | Identifiziert das betroffene Element. |
| Website- oder Container-URL | Hilft beim Zuordnen des Elements zu einem Container. |
ContainerInstanceId |
Verknüpft das Ereignis mit einem bestimmten SharePoint Embedded-Container. |
ContainerTypeId |
Verknüpft das Ereignis mit einem SharePoint Embedded-Containertyp. |
| Client- oder App-Kontext | Hilft dabei, zwischen Benutzeraktionen und App-Aktionen zu unterscheiden, sofern verfügbar. |
Exportieren oder Beibehalten von Ergebnissen gemäß Ihrem Compliance-Untersuchungsprozess.
Häufige Überwachungsszenarien
Verwenden Sie Überwachungsdatensätze für allgemeine SharePoint Embedded-Untersuchungen.
Inhaltszugriffsüberprüfung
Suchen Sie nach Dateizugriff oder Leseaktivität nach Benutzer, Datumsbereich und Containerkontext.
Verwenden Sie ContainerInstanceId , um zu bestätigen, dass die Aktivität im erwarteten SharePoint Embedded-Container aufgetreten ist.
Überprüfung von Inhaltsänderungen
Suchen Sie nach Aktivitäten zum Erstellen, Ändern, Umbenennen, Verschieben oder Löschen.
Überprüfen Sie die Reihenfolge der Vorgänge, um zu ermitteln, ob Inhalte von einem Benutzer, einer App oder einem Administratorprozess geändert wurden.
Überprüfung des Containerlebenszyklus
Suchen Sie nach Administratorvorgängen im Zusammenhang mit dem Löschen, Wiederherstellen oder dauerhaften Löschen.
Korrelieren Sie Überwachungsdatensätze mit SharePoint Admin Center oder PowerShell-Änderungsdatensätzen.
Überprüfung der Vertraulichkeitsbezeichnung
Suchen Sie beim Untersuchen von Datenklassifizierungsänderungen nach bezeichnungsbezogenen Aktivitäten.
Korrelieren Sie Überwachungsdatensätze mit der aktuellen Vertraulichkeitsbezeichnung des Containers und allen Richtlinienänderungen in Microsoft Purview.
Überprüfung der externen Freigabe
Suchen Sie nach SharePoint-Aktivitäten im Zusammenhang mit der Freigabe, wenn Sie den Zugriff außerhalb des organization untersuchen.
Überprüfen Sie auch die Freigabeeinstellungen auf Anwendungsebene, wenn die App die externe Freigabe unterstützt.
Korrelieren mit eDiscovery und DLP
Überwachung zeigt Aktivität an.
Andere Microsoft Purview-Tools helfen bei der Untersuchung von Inhalten und bei der Durchsetzung von Richtlinien.
- Verwenden Sie eDiscovery zum Suchen, Speichern und Exportieren von Inhalten in SharePoint Embedded-Containern.
- Verwenden Sie DLP, um vertrauliche Informationen zu identifizieren und zu schützen.
- Verwenden Sie Aufbewahrungsrichtlinien, um Inhalte gemäß der Richtlinie beizubehalten oder zu löschen.
- Verwenden Sie Vertraulichkeitsbezeichnungen, um Container zu klassifizieren und zu schützen.
Umfassendere Kontrollen finden Sie unter Anwenden von Sicherheits- und Konformitätskontrollen.
Problembehandlung bei fehlenden Überwachungsergebnissen
Verwenden Sie diese Überprüfungen, wenn die erwarteten Ergebnisse fehlen.
- Vergewissern Sie sich, dass der Datumsbereich die Aktivitätszeit enthält.
- Vergewissern Sie sich, dass die richtige Benutzer- oder App-Identität durchsucht wurde.
- Vergewissern Sie sich, dass die Überwachung für den Mandanten und die Workload verfügbar ist.
- Vergewissern Sie sich, dass der Vorgang sharePoint oder der Dateiaktivität in der Purview-Überwachung zugeordnet ist.
- Vergewissern Sie sich, dass sich der Inhalt in einem SharePoint Embedded-Container und nicht an einem anderen Speicherort befindet.
- Suchen Sie mit weniger Filtern, und überprüfen Sie
ContainerInstanceIdContainerTypeIdund . - Vergewissern Sie sich, dass Ihr Konto über Berechtigungen zum Durchsuchen von Überwachungsdatensätzen verfügt.
- Informationen zur Aufbewahrung und Suchlatenz finden Sie in der Dokumentation zur Purview-Überwachung.
Hinweis
Überwachungsdatensätze können einige Zeit in Anspruch nehmen.
Wenn ein Ereignis vor kurzem ist, wiederholen Sie den Vorgang nach der normalen Überwachungserfassungsverzögerung für Ihre Umgebung.
Beibehalten des Untersuchungskontexts
Zeichnen Sie für jede Untersuchung Folgendes auf:
- Suchdatum.
- Suchfilter.
- Exportierter Ergebnisspeicherort.
- Containerbezeichner.
- App-Bezeichner.
- Benutzer oder App-Identitäten überprüft.
- Aktionen, die nach der Überprüfung ausgeführt werden.
Führen Sie Aufzeichnungen gemäß Ihrem Compliance- und Rechtlichen Prozess.
Verwandte Inhalte
- Anwenden von Sicherheits- und Compliancekontrollen
- Verwalten von Containern im SharePoint Admin Center
- Verwalten von Containern mit PowerShell
- Sicherheit und Compliance
- Überwachungslösungen in Microsoft Purview
Nächste Schritte
Wenden Sie umfassendere Steuerelemente unter Anwenden von Sicherheits- und Konformitätskontrollen an.