Erfahren Sie mehr über Überwachungslösungen in Microsoft Purview.
Die Überwachungslösungen von Microsoft Purview bieten eine integrierte Lösung, mit der Unternehmen effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Compliance-Verpflichtungen reagieren können. Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft-Diensten und -Lösungen ausgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll Ihrer organization aufbewahrt. Überwachungsdatensätze für diese Ereignisse können von Sicherheitsbeauftragten, IT-Administratoren, Insider-Risiko-Teams sowie Compliance- und Rechtsermittlern in Ihrem Unternehmen durchsucht werden. Diese Funktion bietet Einblick in die Aktivitäten, die in Ihrem organization ausgeführt werden.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Vergleich der wichtigsten Funktionen
In der folgenden Tabelle werden die wichtigsten Funktionen von Audit (Standard) und Audit (Premium) verglichen. Alle Funktionen von Audit (Standard) sind in Audit (Premium) enthalten.
Funktion | Überwachung (Standard) | Audit (Premium) |
---|---|---|
Standardmäßig aktiviert | ||
Tausende von durchsuchbaren Überwachungsereignissen | ||
Überwachungssuchtool im Microsoft Purview-Portal und Complianceportal | ||
Graph-API für die Überwachungssuche | ||
Search-UnifiedAuditLog-Cmdlet | ||
Exportieren von Überwachungsdatensätzen in eine CSV-Datei | ||
Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API 1 | ||
Aufbewahrung von Überwachungsprotokollen für 180 Tage | ||
1-jährige Aufbewahrung des Überwachungsprotokolls | ||
10-jährige Aufbewahrung des Überwachungsprotokolls 2 | ||
Aufbewahrungsrichtlinien für Überwachungsprotokolle | ||
Intelligente Erkenntnisse |
Hinweis
1 Audit (Premium) bietet zugriff auf die Office 365-Verwaltungsaktivitäts-API mit höherer Bandbreite, wodurch schneller auf Überwachungsdaten zugegriffen werden kann.
2 Zusätzlich zur erforderlichen Lizenzierung für Audit (Premium) (im nächsten Abschnitt beschrieben) muss einem Benutzer eine 10-Jahres-Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen zugewiesen werden, um seine Überwachungsdatensätze 10 Jahre lang aufzubewahren.
Überwachung (Standard)
Microsoft Purview Audit (Standard) bietet Ihnen die Möglichkeit, überwachte Aktivitäten zu protokollieren und zu suchen und Ihre forensischen, IT-, Compliance- und rechtlichen Untersuchungen zu unterstützen.
Standardmäßig aktiviert. Audit (Standard) ist standardmäßig für alle Organisationen mit dem entsprechenden Abonnement aktiviert. Das bedeutet, dass Datensätze für überwachte Aktivitäten erfasst und durchsuchbar sind. Das einzige erforderliche Setup besteht darin, die erforderlichen Berechtigungen für den Zugriff auf das Überwachungsprotokoll-Suchtool (und das entsprechende Cmdlet) zuzuweisen und sicherzustellen, dass den Benutzern die richtige Lizenz für Microsoft Purview Audit (Premium)-Features zugewiesen ist.
Tausende von durchsuchbaren Überwachungsereignissen. Sie können nach einer Vielzahl von überwachten Aktivitäten suchen, die in den meisten Microsoft-Diensten in Ihrem organization. Eine Liste der Aktivitäten, nach den Sie suchen können, finden Sie unter Überwachungsprotokollaktivitäten. Eine Liste der Dienste und Funktionen, die überwachte Aktivitäten unterstützen, finden Sie unter Überwachungsprotokoll-Datensatztyp.
Überwachungssuchtool im Microsoft Purview-Portal oder im Complianceportal. Verwenden Sie das Suchtool Überwachungsprotokoll in den Portalen, um nach Überwachungsdatensätzen zu suchen. Sie können nach bestimmten Aktivitäten suchen, nach Aktivitäten, die von bestimmten Benutzern ausgeführt wurden, und nach Aktivitäten, die in einem bestimmten Datumsbereich aufgetreten sind.
Audit Search Graph-API. Microsoft Graph bietet einen einheitlichen API-Endpunkt für den Zugriff auf Daten aus mehreren Microsoft-Clouddiensten in einer einzigen Antwort. Mit dem Graph-API "Überwachungssuche" können Sie programmgesteuert über Microsoft Graph auf die Überwachungssuchumgebung zugreifen.
Search-UnifiedAuditLog Cmdlet. Sie können auch das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell (das zugrunde liegende Cmdlet für das Suchtool) verwenden, um nach Überwachungsereignissen zu suchen oder um es in einem Skript zu verwenden. Weitere Informationen finden Sie unter:
Exportieren von Überwachungsdatensätzen in eine CSV-Datei. Nachdem Sie das Tool für die Überwachungsprotokollsuche im Microsoft Purview-Portal oder im Complianceportal ausgeführt haben, können Sie die von der Suche zurückgegebenen Überwachungsdatensätze in eine CSV-Datei exportieren. Damit können Sie in Microsoft Excel nach verschiedenen Eigenschaften von Überwachungsdatensätzen sortieren und filtern. Sie können auch die Transformationsfunktion in Microsoft Power Query für Excel verwenden, um jede Eigenschaft im AuditData JSON-Objekt in eine eigene Spalte aufzuteilen. So können Sie ähnliche Daten für verschiedene Ereignisse effektiv anzeigen und vergleichen. Weitere Informationen finden Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API. Eine dritte Methode für den Zugriff auf und das Abrufen von Überwachungsdatensätzen ist die Verwendung der Office 365-Verwaltungsaktivitäts-API. Auf diese Weise können Organisationen Überwachungsdaten länger als die standardmäßigen 180 Tage aufbewahren und ihre Überwachungsdaten in eine SIEM-Lösung importieren. Weitere Informationen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.
Aufbewahrung des Überwachungsprotokolls für 180 Tage. Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll Ihrer Organisation gespeichert. In Audit (Standard) werden Datensätze 180 Tage lang aufbewahrt, was bedeutet, dass Sie nach Aktivitäten suchen können, die in den letzten sechs Monaten aufgetreten sind.
Wichtig
Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen in 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Audit (Premium)
Wichtig
Die klassische Suche wurde zum 30. November 2023 eingestellt. Die neue Suche umfasst Verbesserungen wie schnellere Suchzeiten, zusätzliche Suchoptionen, die Möglichkeit zum Speichern von Suchvorgängen und vieles mehr.
Audit (Premium) baut auf den Funktionen von Audit (Standard) auf, indem Überwachungsprotokollaufbewahrungsrichtlinien, eine längere Aufbewahrung von Überwachungsdatensätzen, wertvolle intelligente Erkenntnisse und ein höherer Bandbreitenzugriff auf die Office 365 Management Activity-API bereitgestellt werden.
- Aufbewahrungsrichtlinien für Überwachungsprotokolle. Sie können benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um Überwachungsdatensätze für längere Zeiträume bis zu einem Jahr (und bis zu 10 Jahren für Benutzer mit der erforderlichen Zusatzlizenz) aufzubewahren. Sie können die Aufbewahrungsrichtlinie für Überwachungsdatensätze basierend auf dem Dienst, in dem die Überwachungsaktivitäten stattfinden, auf bestimmten Überwachungsaktivitäten oder auf dem Benutzer, der eine Überwachungsaktivität durchführt, erstellen.
- Längere Aufbewahrung von Überwachungsdatensätzen. Microsoft Entra ID-, Exchange-, OneDrive- und SharePoint-Überwachungsdatensätze werden standardmäßig ein Jahr lang aufbewahrt. Überwachungsdatensätze für alle anderen Aktivitäten werden standardmäßig 180 Tage lang aufbewahrt, oder Sie können Aufbewahrungsrichtlinien für Überwachungsprotokolle verwenden, um längere Aufbewahrungszeiträume zu konfigurieren.
- Überwachen (Premium) intelligenter Erkenntnisse. Überwachungsdatensätze für intelligente Erkenntnisse können Ihrem organization dabei helfen, forensische untersuchungen und Compliance-Untersuchungen durchzuführen, indem sie Transparenz für Ereignisse bereitstellen, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden oder wann und was ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese intelligenten Erkenntnisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu bestimmen.
- Höhere Bandbreite zur Office 365-Verwaltungsaktivitäts-API. Audit (Premium) bietet Organisationen mehr Bandbreite für den Zugriff auf Überwachungsprotokolle über die Office 365-Verwaltungsaktivitäts-API. Obwohl allen Organisationen (mit Audit (Standard) oder Audit (Premium)) anfänglich einen Basisplan von 2.000 Anforderungen pro Minute zugewiesen wird, wird dieser Grenzwert je nach Anzahl der Arbeitsplätze und ihrem Lizenzierungsabonnement dynamisch erhöht. Dies führt dazu, dass Organisationen mit Audit (Premium) etwa doppelt so viele Bandbreiten wie Organisationen mit Audit (Standard) erhalten.
Langfristige Aufbewahrung von Überwachungsprotokollen
Audit (Premium) behält alle Exchange-, SharePoint- und Microsoft Entra Überwachungsdatensätze für ein Jahr bei. Dies wird durch eine standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle erreicht, die alle Überwachungsdatensätze, die den Wert von AzureActiveDirectory, Exchange, OneDrive oder SharePoint für die Workload-Eigenschaft (die den Dienst angibt, in dem die Aktivität aufgetreten ist) für ein Jahr aufbewahrt. Das Aufbewahren von Überwachungsaufzeichnungen über einen längeren Zeitraum kann bei laufenden forensischen oder Compliance-Untersuchungen hilfreich sein. Weitere Informationen hierzu finden Sie im Abschnitt "Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle" in Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Zusätzlich zu den Ein-Jahres-Aufbewahrungsfunktionen von Audit (Premium) haben wir auch die Funktion zum Aufbewahren von Überwachungsprotokollen für 10 Jahre freigegeben. Die zehnjährige Aufbewahrung von Überwachungsprotokollen ist bei langfristigen Untersuchungen und zur Einhaltung behördlicher, rechtlicher und interner Vorgaben hilfreich.
Hinweis
Die Aufbewahrung von Überwachungsprotokollen für 10 Jahre erfordert eine zusätzliche Add-On-Lizenz pro Benutzer. Nachdem diese Lizenz einem Benutzer zugewiesen und eine entsprechende zehnjährige Aufbewahrungsrichtlinie für das Überwachungsprotokoll für diesen Benutzer festgelegt wurde, werden die von dieser Richtlinie abgedeckten Überwachungsprotokolle für den Zeitraum von 10 Jahren aufbewahrt. Diese Richtlinie ist nicht rückwirkend und kann keine Überwachungsprotokolle aufbewahren, die vor der Erstellung der 10-Jahres-Aufbewahrungsrichtlinie für Überwachungsprotokolle generiert wurden.
Aufbewahrungsrichtlinien für Überwachungsprotokolle
Alle Überwachungsdatensätze, die in anderen Diensten generiert werden, die nicht durch die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle abgedeckt sind (im vorherigen Abschnitt beschrieben), werden 180 Tage lang aufbewahrt. Sie können jedoch benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um andere Überwachungsaufzeichnungen bis zu 10 Jahre lang aufzubewahren. Sie können eine Richtlinie erstellen, um Überwachungsaufzeichnungen auf der Grundlage eines oder mehrerer der folgenden Kriterien aufzubewahren:
Der Microsoft-Dienst, in dem die überwachten Aktivitäten stattfinden.
Bestimmte überwachte Aktivitäten
Der Benutzer, der eine überwachte Aktivität ausführt
Wichtig
Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen in 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen. Sie können auch angeben, wie lange Überwachungsdatensätze aufbewahrt werden sollen, die der Richtlinie entsprechen, und eine Prioritätsstufe, damit bestimmte Richtlinien Vorrang vor anderen Richtlinien haben. Beachten Sie außerdem, dass jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle Vorrang vor der Standardaufbewahrungsrichtlinie für Überwachungsprotokolle hat, falls Sie Exchange-, SharePoint- oder Azure Active Directory-Überwachungsdatensätze für weniger als ein Jahr (oder 10 Jahre) für einige oder alle Benutzer in Ihrem organization aufbewahren müssen. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Wichtig
Die Lebensdauer des Überwachungselements für Daten wird bestimmt, wenn sie der Überwachungspipeline hinzugefügt werden, und basiert auf den Lizenzierungsstandards oder anwendbaren Aufbewahrungsrichtlinien. Änderungen an der Lizenzierung oder anwendbaren Aufbewahrungsrichtlinien ändern die Ablaufzeit der Überwachungsdaten nach der Aktualisierung. Diese Änderungen ändern keine zuvor committeten Elemente.
Überwachungsaktivitätseigenschaften (Premium)
Audit (Premium) unterstützt Organisationen bei forensischen und Compliance-Untersuchungen, indem Zugriff auf wichtige Ereignisse ermöglicht wird, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden und wann und wonach ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese Ereignisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu ermitteln. Zusätzlich zu diesen Ereignissen in Exchange und SharePoint gibt es Ereignisse in anderen Microsoft-Diensten, die als wichtige Ereignisse gelten und erfordern, dass Benutzern die entsprechende Überwachungslizenz (Premium) zugewiesen wird. Benutzern muss eine Überwachungslizenz (Premium) zugewiesen werden, damit Überwachungsprotokolle generiert werden, wenn Benutzer diese Ereignisse ausführen.
Diese Aktivitäten erfordern, dass Benutzern die entsprechende Überwachungslizenz (Premium) zugewiesen wird. Benutzern muss eine Überwachungslizenz (Premium) zugewiesen werden, damit Überwachungsprotokolle generiert werden, wenn Benutzer diese Aktivitäten und Eigenschaften ausführen.
Audit (Premium) bietet Zugriff auf die folgenden Aktivitätseigenschaften:
Exchange Online:
Aktivität | Eigenschaft |
---|---|
MailItemsAccessed | SensitivityLabel |
Microsoft Teams
Aktivität | Eigenschaft |
---|---|
ChatCreated | AppAccessContext |
ChatRetrieved | AppAccessContext |
ChatUpdated | AppAccessContext |
MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
MessageCreatedNotification | AppAccessContext |
MessageDeletedNotification | AppAccessContext |
MessageHostedContentsListed | AppAccessContext |
MessageHostedContentRead | AppAccessContext |
MessagesListed | AppAccessContext |
MessageRead | AppAccessContext |
MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
MessageUpdated | ParticipantInfo AppAccessContext |
MessageUpdatedNotification | AppAccessContext |
SubscribedToMessages | AppAccessContext |
Zugriff mit hoher Bandbreite auf die Office 365-Verwaltungsaktivitäts-API
Organisationen, die über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsprotokolle zugreifen, waren durch Drosselungsgrenzwerte auf Herausgeberebene eingeschränkt. Dies bedeutete, dass der Grenzwert für einen Herausgeber, der Daten im Namen mehrerer Kunden per Pull abruft, für all diese Kunden zusammen galt.
Mit Audit (Premium) hat sich dies von einem Grenzwert auf Herausgeberebene zu einem Grenzwert auf Mandantenebene geändert. Das Ergebnis ist, dass jeder organization sein eigenes vollständig zugeordnetes Bandbreitenkontingent erhält, um auf seine Überwachungsdaten zuzugreifen. Die Bandbreite ist kein statisches, vordefiniertes Limit, sondern basiert auf einer Kombination von Faktoren, einschließlich der Anzahl der Arbeitsplätze im organization und dass E5/A5/G5-Organisationen mehr Bandbreite erhalten als Nicht-E5/A5/G5-Organisationen.
Allen Organisationen ist anfänglich eine Baseline von 2.000-Anforderungen pro Minute zugeordnet. Dieser Grenzwert erhöht sich dynamisch in Abhängigkeit von der Anzahl der Arbeitsplätze eines organization und dem Lizenzierungsabonnement. E5/A5/G5-Organisationen erhalten etwa doppelt so viel Bandbreite wie Nicht-E5/A5/G5-Organisationen. Es gibt eine Obergrenze für die maximale Bandbreite, um die Integrität des Diensts zu schützen.
Weitere Informationen finden Sie im Abschnitt zur API-Drosselung in Office 365 Referenz zur Verwaltungsaktivitäts-API.
Lizenzierungsanforderungen
Bevor Sie beginnen, überprüfen Sie die Abonnementanforderungen für Audit (Standard) und Audit (Premium).
Schulungen
Die Schulung Ihres Teams für Sicherheitsvorgänge, IT-Administratoren und Compliance-Ermittler in den Grundlagen für Audit (Standard) und Audit (Premium) kann Ihrer Organisation helfen, schneller mithilfe der Überwachung zu beginnen, um Ihre Untersuchungen zu unterstützen. Microsoft Purview stellt die folgende Ressource zur Verfügung, um diesen Benutzern in Ihrer Organisation den Einstieg in die Überwachung zu erleichtern: eDiscovery-Funktionen und Überwachungsfunktionen von Microsoft Purview beschreiben.