Zugreifen auf das Security Copilot Überwachungsprotokoll
In der heutigen strengen regulatorischen Umgebung ist es für Organisationen wichtig, die Interaktion von Benutzern mit Sicherheitsprodukten zu überwachen und zu analysieren. Organisationen müssen möglicherweise Aktionen, Transaktionen und Konfigurationseinstellungen auf einer Plattform nachverfolgen, um sicherzustellen, dass sie Compliancebestimmungen und gesetzliche Standards erfüllen.
Security Copilot bietet Zugriff auf Überwachungsprotokolle über Microsoft Purview und die Office Management-API, um Sie bei der Erfüllung von Compliance- und gesetzlichen Anforderungen zu unterstützen. Das Überwachungsprotokoll bietet Ihnen Einblick in Informationen wie Administratorereignisse und Aktivitätsmetadaten.
Admin Ereignisse: Privilegierte Aktionen, z. B. Änderungen an Einstellungen auf Mandantenebene oder administrative Änderungen (z. B. Datenfreigabe, Plug-In- und Promptbookkonfigurationen).
Aktivitätsmetadaten: Protokolle von Benutzerinteraktionen innerhalb der Security Copilot-Plattform (z. B. ein Benutzer hat zu einem bestimmten Zeitpunkt eine Eingabeaufforderung mit Informationen zum Aktivitätstyp abgefragt).
Hinweis
Dies schließt keine Kundeninhalte ein, z. B. die tatsächliche Eingabeaufforderung und Antwort.
Wenn Sie diese Interaktionen nachverfolgen, können Sie potenziell Risiken identifizieren und Produktionsdaten schützen.
Aktivieren der Überwachungsprotokollfunktion in Security Copilot
Während der ersten Ausführung hat ein Sicherheitsadministrator die Möglichkeit, Microsoft Purview den Zugriff auf Administratoraktionen, Benutzeraktionen und Copilot-Antworten zu erlauben, diese zu verarbeiten, zu kopieren und zu speichern. Weitere Informationen finden Sie unter Erste Schritte mit Security Copilot.
Sicherheitsadministratoren können auch auf diese Option über die Seite Besitzereinstellungen zugreifen. Weitere Informationen finden Sie unter Grundlegendes zur Authentifizierung.
In den meisten Szenarien sind Protokolle innerhalb von 24 Stunden in Microsoft Purview verfügbar, nachdem die Funktion aktiviert wurde.
Führen Sie die folgenden Schritte aus, um die Überwachungsprotokolleinstellungen zu aktualisieren:
Melden Sie sich bei Security Copilot (https://securitycopilot.microsoft.com) an.
Wählen Sie das Startmenüsymbol aus.
Navigieren Sie zu Besitzereinstellungen>Protokollierung von Überwachungsdaten in Microsoft Purview.
Wichtig
Microsoft Purview speichert Ihre Kundendaten in der Region, in der Ihre Microsoft 365-Daten gespeichert sind. Weitere Informationen finden Sie unter Datenschutz und Datensicherheit. Der Standardaufbewahrungszeitraum für Überwachungsprotokolle beträgt 180 Tage, kann jedoch mithilfe von Aufbewahrungsrichtlinien für Überwachungsprotokolle verlängert werden. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Sie können die Umschaltfläche aktivieren oder deaktivieren.
Zugreifen auf das Überwachungsprotokoll in Microsoft Purview für Security Copilot
Bevor Sie beginnen
Dieser Abschnitt bietet eine Übersicht über die Voraussetzungen für den Zugriff auf das Überwachungsprotokoll.
Sie müssen folgende Schritte ausführen:
- Vergewissern Sie sich, dass Sie den Microsoft Purview-Zugriff innerhalb Security Copilot zugelassen haben. Weitere Informationen finden Sie unter Aktivieren der Überwachungsprotokollfunktion.
- Vergewissern Sie sich, dass das Überwachungsprotokollfeature in Microsoft Purview aktiviert ist. Weitere Informationen finden Sie unter Vor dem Durchsuchen des Überwachungsprotokolls.
Hinweis
Sie benötigen die richtigen Berechtigungen für den Zugriff auf das Überwachungsprotokoll in Microsoft Purview. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Portal. Beachten Sie, dass sich diese Zugriffsrechte möglicherweise von denen in Security Copilot unterscheiden.
Optionen für den Zugriff auf das Überwachungsprotokoll
Sie können die folgenden Aktionen ausführen, um auf das Überwachungsprotokoll in Microsoft Purview zuzugreifen:
- Durchsuchen des Überwachungsprotokolls : Artikel, der Anweisungen enthält, wie Sie auf die Überwachungsprotokollereignisdaten zugreifen und diese durchsuchen können, um Einblicke zu erhalten und Benutzeraktivitäten weiter zu untersuchen.
- Durchsuchen der Überwachungsprotokollaktivitäten : Artikel, in dem die Aktivitäten beschrieben werden, die im Überwachungsprotokoll erfasst werden.
- Durchsuchen des Überwachungsprotokolls mithilfe eines PowerShell-Skripts : Artikel, der Anweisungen zum Ausführen eines PowerShell-Skripts zum Durchsuchen des Überwachungsprotokolls enthält, um Sie bei der Untersuchung von Sicherheitsvorfällen und Complianceproblemen zu unterstützen.
- Überwachen von Benutzeraktivitäten und Systemereignissen mit Security Copilot und Microsoft Sentinel: Blog, der Einblicke in das Senden von Security Copilot Überwachungsprotokollen an Ihr cloudnatives SIEM bietet, um tiefere Einblicke in die Nutzung zu erhalten und proaktive Maßnahmen zur Risikominderung zu ergreifen.