Freigeben über

Zugreifen auf das Security Copilot Überwachungsprotokoll

  • Artikel

In der heutigen strengen regulatorischen Umgebung ist es für Organisationen wichtig, die Interaktion von Benutzern mit Sicherheitsprodukten zu überwachen und zu analysieren. Organisationen müssen möglicherweise Aktionen, Transaktionen und Konfigurationseinstellungen auf einer Plattform nachverfolgen, um sicherzustellen, dass sie Compliancebestimmungen und gesetzliche Standards erfüllen.

Security Copilot bietet Zugriff auf Überwachungsprotokolle über Microsoft Purview und die Office Management-API, um Sie bei der Erfüllung von Compliance- und gesetzlichen Anforderungen zu unterstützen. Das Überwachungsprotokoll bietet Ihnen Einblick in Informationen wie Administratorereignisse und Aktivitätsmetadaten.

  • Admin Ereignisse: Privilegierte Aktionen, z. B. Änderungen an Einstellungen auf Mandantenebene oder administrative Änderungen (z. B. Datenfreigabe, Plug-In- und Promptbookkonfigurationen).

  • Aktivitätsmetadaten: Protokolle von Benutzerinteraktionen innerhalb der Security Copilot-Plattform (z. B. ein Benutzer hat zu einem bestimmten Zeitpunkt eine Eingabeaufforderung mit Informationen zum Aktivitätstyp abgefragt).

Hinweis

Dies schließt keine Kundeninhalte ein, z. B. die tatsächliche Eingabeaufforderung und Antwort.

Wenn Sie diese Interaktionen nachverfolgen, können Sie potenziell Risiken identifizieren und Produktionsdaten schützen.

Aktivieren der Überwachungsprotokollfunktion in Security Copilot

Während der ersten Ausführung hat ein Sicherheitsadministrator die Möglichkeit, Microsoft Purview den Zugriff auf Administratoraktionen, Benutzeraktionen und Copilot-Antworten zu erlauben, diese zu verarbeiten, zu kopieren und zu speichern. Weitere Informationen finden Sie unter Erste Schritte mit Security Copilot.

Sicherheitsadministratoren können auch auf diese Option über die Seite Besitzereinstellungen zugreifen. Weitere Informationen finden Sie unter Grundlegendes zur Authentifizierung.

In den meisten Szenarien sind Protokolle innerhalb von 24 Stunden in Microsoft Purview verfügbar, nachdem die Funktion aktiviert wurde.

Führen Sie die folgenden Schritte aus, um die Überwachungsprotokolleinstellungen zu aktualisieren:

  1. Melden Sie sich bei Security Copilot (https://securitycopilot.microsoft.com) an.

  2. Wählen Sie das Startmenüsymbol aus.

  3. Navigieren Sie zu Besitzereinstellungen>Protokollierung von Überwachungsdaten in Microsoft Purview.

    Abbildung der Protokollierung von Überwachungsdaten in Microsoft Purview auf der Seite Besitzereinstellungen

    Wichtig

    Microsoft Purview speichert Ihre Kundendaten in der Region, in der Ihre Microsoft 365-Daten gespeichert sind. Weitere Informationen finden Sie unter Datenschutz und Datensicherheit. Der Standardaufbewahrungszeitraum für Überwachungsprotokolle beträgt 180 Tage, kann jedoch mithilfe von Aufbewahrungsrichtlinien für Überwachungsprotokolle verlängert werden. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

  4. Sie können die Umschaltfläche aktivieren oder deaktivieren.

Zugreifen auf das Überwachungsprotokoll in Microsoft Purview für Security Copilot

Bevor Sie beginnen

Dieser Abschnitt bietet eine Übersicht über die Voraussetzungen für den Zugriff auf das Überwachungsprotokoll.

Sie müssen folgende Schritte ausführen:

Hinweis

Sie benötigen die richtigen Berechtigungen für den Zugriff auf das Überwachungsprotokoll in Microsoft Purview. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Portal. Beachten Sie, dass sich diese Zugriffsrechte möglicherweise von denen in Security Copilot unterscheiden.

Optionen für den Zugriff auf das Überwachungsprotokoll

Sie können die folgenden Aktionen ausführen, um auf das Überwachungsprotokoll in Microsoft Purview zuzugreifen: