Freigeben über

Überwachen der Benutzeraktivität

  • Artikel

Nachdem Sie Ihren Benutzerzugriff für das Azure-Portal eingerichtet haben, sollten Sie alle Benutzeraktivitäten in Microsoft Defender for IoT auf Ihren OT-Netzwerksensoren und über eine lokale Verwaltungskonsole nachverfolgen und überwachen.

Überwachen der Azure-Benutzeraktivität

Verwenden Sie Microsoft Entra-Benutzerüberwachungsressourcen, um Azure-Benutzeraktivitäten in Defender für IoT zu überwachen. Weitere Informationen finden Sie unter:

Überwachen der Benutzeraktivität auf einem OT-Netzwerksensor

Über die Ereigniszeitachse eines Sensors können Sie Benutzeraktivität überwachen und nachverfolgen. Die Ereigniszeitachse zeigt Ereignisse an, die auf dem Sensor aufgetreten sind, betroffene Geräte für jedes Ereignis sowie die Uhrzeit und das Datum, zu dem das Ereignis aufgetreten ist.

Hinweis

Dieses Verfahren wird für die standardmäßigen, berechtigten Administratorbenutzer und alle Benutzer mit einer Administratorrolle unterstützt.

So verwenden Sie die Ereigniszeitachse des Sensors:

  1. Melden Sie sich bei der Sensorkonsole als Standardbenutzer, berechtigter Administratorbenutzer oder Benutzer mit einer Administratorrolle an.

  2. Wählen Sie im linken Menü des Sensors die Option Ereigniszeitachse aus. Vergewissern Sie sich, dass der Filter auf User Operations (Benutzervorgänge) festgelegt ist.

    Beispiel:

    Screenshot of the Event Timeline on the sensor showing user activity.

  3. Verwenden Sie zusätzliche Filter, oder drücken Sie STRG+F, um nach den für Sie relevanten Informationen zu suchen.

    Weitere Informationen zur Ereigniszeitachse finden Sie unter Nachverfolgen der Netzwerk- und Sensoraktivität mit der Ereigniszeitachse.

Überwachen der Benutzeraktivität über eine lokalen Verwaltungskonsole

Wichtig

Defender for IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung und plant, die lokale Verwaltungskonsole am 1. Januar 2025 auszuschalten.

Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder Air-Gapped-OT-Sensorverwaltung.

Verwenden Sie zum Überwachen und Nachverfolgen der Benutzeraktivität über eine lokale Verwaltungskonsole die Überwachungsprotokolle der lokalen Verwaltungskonsole, die wichtige Daten zu Aktivitäten zum Zeitpunkt des Auftretens aufzeichnen. Verwenden Sie die Überwachungsprotokolle der lokalen Verwaltungskonsole, um nachzuvollziehen, wann und von wem Änderungen in der lokalen Verwaltungskonsole vorgenommen wurden.

So greifen Sie auf Überwachungsprotokolle der lokalen Verwaltungskonsole zu:

Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen > Systemstatistik>Überwachungsprotokoll aus.

Im Dialogfeld werden Daten aus dem derzeit aktiven Überwachungsprotokoll angezeigt. Zum Beispiel:

Beispiel:

Screenshot of the on-premises management console showing audit logs.

Neue Überwachungsprotokolle werden jeweils nach 10 MB generiert. Zusätzlich zur aktuellen aktiven Protokolldatei wird jeweils ein vorheriges Protokoll gespeichert.

Überwachungsprotokolle umfassen folgende Daten:

Aktion Aufgezeichnete Informationen
Lernen, und Behebung von Alarmen Warnungs-ID
Passwortänderungen Benutzer, Benutzer-ID
Anmeldung Benutzer
Benutzererstellung Benutzer, Benutzerrolle
Zurücksetzen von Kennwörtern Benutzername
Erstellung von Ausschlussregeln Regel-Zusammenfassung
Bearbeitung von Ausschlussregeln Regel-ID, Regelzusammenfassung
Löschung von Ausschlussregeln Regel-ID
Upgrade der Verwaltungskonsole Die verwendete Upgrade-Datei
Sensor-Upgrade erneut versuchen Sensor-ID
Hochgeladenes TI-Paket Keine zusätzlichen Informationen aufgezeichnet.

Tipp

Bei Bedarf können Sie Ihre Überwachungsprotokolle auch exportieren, um sie zur weiteren Problembehandlung an das Supportteam zu senden. Weitere Informationen finden Sie unter Exportieren von Protokollen aus der lokalen Verwaltungskonsole zur Problembehandlung.

Nächste Schritte

Weitere Informationen finden Sie unter