Microsoft Purview Audit (Premium) erkunden

  • 10 Minuten

Die Überwachungsfunktionen in Microsoft Purview bieten Organisationen Einblick in viele Arten von überwachten Aktivitäten über viele verschiedene Dienste in Microsoft 365 hinweg. Microsoft Purview bietet zwei Überwachungslösungen: Audit (Standard) und Audit (Premium).

In einem vorherigen Modul haben Sie gelernt, dass Microsoft Purview Audit (Standard) Organisationen die Möglichkeit bietet, überwachte Aktivitäten zu protokollieren und zu suchen. Außerdem kann eine Organisation forensische, IT-, Compliance- und rechtliche Untersuchungen durchführen.

In diesem Modul erfahren Sie, dass Microsoft Purview Audit (Premium) auf den Funktionen von Microsoft Purview-Überwachung (Standard) aufbaut. Es bietet erweiterte Features, die speziell für Organisationen entwickelt wurden, die forensische und Compliance-Untersuchungen durchführen. Diese Features bieten Folgendes:

  • Erstellen der Überwachungsprotokollaufbewahrung, die erforderlich ist, um eine Untersuchung durchzuführen.
  • Zugriff auf wichtige Ereignisse, die dabei helfen, den Umfang der Kompromittierung zu bestimmen.
  • Höherer Bandbreitenzugriff und somit schnellerer Zugriff auf die Office 365-Verwaltungsaktivitäts-API.

Diese Lerneinheit bietet eine Übersicht über die Überwachung (Premium)-Funktionen.

Organisationsabonnement und Benutzerlizenzierung

Audit (Premium) ist für Organisationen mit einem Office 365 E5/A5/G5- oder Microsoft 365 Enterprise E5/A5/G5-Abonnement verfügbar. Für Organisationen mit einem E5/A5/G5-Abonnement haben berechtigte Kunden und Benutzer, denen die entsprechende E5/A5/G5-Lizenz zugewiesen ist, Zugriff auf Audit (Premium)-Ereignisse. Ereignisse in Audit (Premium) werden nur für Benutzer mit E5/A5/G5-Lizenzen generiert, nachdem diese Lizenzen zugewiesen wurden.

Dem Benutzer muss eine E5/A5/G5-Lizenz zugewiesen werden, um von den Funktionen in Audit (Premium) auf Benutzerebene profitieren zu können. Es gibt einige Funktionen, die überprüfen, ob die entsprechende Lizenz vorliegt, bevor dem Benutzer das Feature bereitgestellt wird. Wenn Sie beispielsweise die Überwachungseinträge für einen Benutzer beibehalten möchten, dem keine passende Lizenz zugeordnet ist, die noch mindestens 90 Tage gültig ist, wird eine Fehlermeldung angezeigt.

Langfristige Aufbewahrung von Überwachungsprotokollen

Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll der Organisation gespeichert. In Microsoft Purview Audit (Standard) werden Datensätze im Überwachungsprotokoll 90 Tage lang aufbewahrt. Im Vergleich dazu behält Audit (Premium) alle Exchange-, SharePoint- und Microsoft Entra Überwachungsdatensätze ein Jahr lang bei.

Audit (Premium) bietet diese zusätzliche Aufbewahrungszeit, indem eine Standardaufbewahrungsrichtlinie für Überwachungsprotokolle implementiert wird. Das Aufbewahren von Überwachungsaufzeichnungen über einen längeren Zeitraum kann bei laufenden forensischen oder Compliance-Untersuchungen hilfreich sein. Weitere Informationen hierzu finden Sie im Abschnitt "Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle" in Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Hinweis

Zusätzlich zu den 1-Jahres-Aufbewahrungsfunktionen von Audit (Premium) kann Microsoft 365 Überwachungsprotokolle optional 10 Jahre lang aufbewahren. Die zehnjährige Aufbewahrung von Überwachungsprotokollen ist bei langfristigen Untersuchungen und zur Einhaltung behördlicher, rechtlicher und interner Vorgaben hilfreich. Für die zehnjährige Aufbewahrung von Überwachungsprotokollen ist eine zusätzliche Lizenz pro Benutzer erforderlich. Nachdem diese Lizenz einem Benutzer zugewiesen und eine entsprechende zehnjährige Aufbewahrungsrichtlinie für das Überwachungsprotokoll für diesen Benutzer festgelegt wurde, werden die von dieser Richtlinie abgedeckten Überwachungsprotokolle für den Zeitraum von 10 Jahren aufbewahrt. Diese Richtlinie ist nicht rückwirkend. Daher kann sie keine Überwachungsprotokolle aufbewahren, die vor der Erstellung der 10-Jahres-Aufbewahrungsrichtlinie für Überwachungsprotokolle generiert wurden.

Aufbewahrungsrichtlinien für Überwachungsprotokolle

Alle Überwachungsdatensätze, die in anderen Diensten generiert wurden, die nicht unter die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle fallen, werden für 90 Tage aufbewahrt. Jetzt können Sie jedoch benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um andere Überwachungsdatensätze bis zu 10 Jahre lang aufzubewahren. Sie können eine Richtlinie erstellen, um Überwachungsaufzeichnungen auf der Grundlage eines oder mehrerer der folgenden Kriterien aufzubewahren:

  • Der Microsoft 365-Dienst, in dem die überwachten Aktivitäten ausgeführt werden
  • Bestimmte überwachte Aktivitäten
  • Der Benutzer, der eine überwachte Aktivität ausführt

Sie können auch angeben, wie lange Überwachungsdatensätze aufbewahrt werden sollen, die der Richtlinie und einer Prioritätsstufe entsprechen. Dieser Entwurf ermöglicht es bestimmten Richtlinien, Vorrang vor anderen Richtlinien zu haben.

Jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle hat Vorrang vor der Standardaufbewahrungsrichtlinie für Überwachungsprotokolle, falls Sie Exchange, SharePoint oder Microsoft Entra Überwachungsdatensätze für einige oder alle Benutzer in Ihrem organization für weniger als ein Jahr (oder bis zu 10 Jahre) aufbewahren müssen.

Achtung

Alle Überwachungsprotokolldaten, die durch eine 10-Jahres-Richtlinie zur Aufbewahrung von Überwachungsprotokollen abgedeckt sind, die Sie erstellt haben, nachdem die Funktion im letzten Quartal 2020 zur allgemeinen Verfügbarkeit freigegeben wurde, werden 10 Jahre lang aufbewahrt. Dies umfasst zehnjährige Richtlinien zur Aufbewahrung von Überwachungsprotokollen, die erstellt wurden, bevor die erforderliche Add-On-Lizenz im März 2021 zum Kauf freigegeben wurde. Da jedoch jetzt die Add-On-Lizenz für die zehnjährige Aufbewahrung von Überwachungsprotokollen verfügbar ist, müssen Sie diese Add-On-Lizenzen für alle Benutzer erwerben und zuweisen, deren Überwachungsdaten unter eine Richtlinie für die zehnjährige Aufbewahrung von Überwachungsdaten fallen.

Ereignisse in Audit (Premium)

Audit (Premium) hilft Organisationen dabei, forensische und Complianceuntersuchungen durchzuführen, indem sie Zugriff auf wichtige Ereignisse bietet, unter anderem:

  • wenn auf E-Mail-Elemente zugegriffen wurde.
  • wenn auf E-Mail-Elemente geantwortet wurde und sie weitergeleitet wurden.
  • wenn und was ein Benutzer in Exchange Online und SharePoint Online gesucht hat.

Diese Ereignisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu ermitteln. Zusammen mit diesen Ereignissen in Exchange und SharePoint gibt es Ereignisse in anderen Microsoft 365-Diensten, die auch als wichtige Ereignisse betrachtet werden. Diese Ereignisse erfordern auch, dass Benutzern die entsprechende Audit (Premium)-Lizenz zugewiesen wird.

Wichtig

Benutzern muss eine Lizenz für Audit (Premium) zugewiesen werden, damit Überwachungsprotokolle generiert werden, wenn Benutzer diese Ereignisse ausführen.

Audit (Premium) bietet die folgenden neuen Ereignisse, die jeweils in den folgenden Abschnitten eingeführt werden:

  • MailItemsAccessed-Ereignis
  • Send-Ereignis
  • SearchQueryInitiatedExchange-Ereignis
  • SearchQueryInitiatedSharePoint-Ereignis
  • Andere Ereignisse in Audit (Premium) in Microsoft 365

Hinweis

Die neuen Ereignisse in Audit (Premium) sind in der Office 365-Verwaltungsaktivitäts-API verfügbar. Solange Überwachungsdatensätze für Benutzer mit der entsprechenden Lizenz generiert werden, können Sie auf diese Datensätze über die Office 365-Verwaltungsaktivitäts-API zugreifen.

MailItemsAccessed-Ereignis

Das MailItemsAccessed-Ereignis ist eine Postfachüberwachungsaktion. Es wird ausgelöst, wenn E-Mail-Protokolle und E-Mail-Clients auf E-Mail-Daten zugreifen. Dieses Ereignis kann Ermittlern helfen, Datenschutzverletzungen zu identifizieren und den Umfang der Nachrichten zu ermitteln, die möglicherweise kompromittiert wurden. Wenn ein Angreifer Zugriff auf E-Mail-Nachrichten erlangt hat, wird die MailItemsAccessed-Aktion ausgelöst, auch wenn tatsächlich keine expliziten Signalnachrichten gelesen wurden. Anders ausgedrückt: Der Zugriffstyp, z. B. eine Bindung oder Synchronisierung, wird im Überwachungsdatensatz aufgezeichnet.

Das MailItemsAccessed-Ereignis ersetzt „MessageBind“ in der Postfachüberwachungsprotokollierung in Exchange Online. Es bietet die folgenden Verbesserungen:

  • MessageBind war nur für den Benutzeranmeldungstyp AuditAdmin konfigurierbar. Dies gilt nicht für Stellvertretungs- oder Besitzeraktionen.
    • Verbesserung. „MailItemsAccessed“ gilt für alle Anmeldetypen.
  • "MessageBind" betraf nur den Zugriff durch einen E-Mail-Client. Es galt nicht für Synchronisierungsaktivitäten.
    • Verbesserung. MailItemsAccessed-Ereignisse werden sowohl durch Bindungs als auch Synchronisierungszugriffstypen ausgelöst.
  • MessageBind-Aktionen lösten beim mehrfachen Zugriff auf dieselbe E-Mail-Nachricht die Erstellung mehrerer Überwachungsdatensätze aus. Sie führte dadurch zu überfüllten Überwachungsprotokollen.
    • Verbesserung. MailItemsAccessed-Ereignisse werden in weniger Überwachungsdatensätzen aggregiert.

Um nach MailItemsAccessed-Überwachungsaufzeichnungen zu suchen, können Organisationen im Microsoft Purview-Complianceportal im Überwachungsprotokoll-Suchtool in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Auf Postfachelemente zugegriffen suchen.

Screenshot des Suchfensters mit ausgewählter Option „Zugriff auf Postfachelemente“ für die Einstellung „Aktivitäten“.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations MailItemsAccessed oder Search-MailboxAuditLog -Operations MailItemsAccessed in Exchange Online PowerShell ausführen.

Send-Ereignis

Das Send-Ereignis ist eine weitere Postfachüberwachungsaktion. Sie wird ausgelöst, wenn ein Benutzer eine der folgenden Aktionen abschließt:

  • Eine E-Mail sendet.
  • Auf eine E-Mail-Nachricht antwortet.
  • Eine E-Mail-Nachricht weiterleitet.

Die mit der Untersuchung beauftragten Personen können das Send-Ereignis verwenden, um E-Mails zu identifizieren, die von einem kompromittierten Konto aus gesendet wurden. Der Überwachungsdatensatz für ein Send-Ereignis enthält Informationen zur Nachricht, z. B.:

  • wann die Nachricht gesendet wurde.
  • die InternetMessage-ID.
  • die Betreffzeile.
  • ob die Nachricht Anlagen enthielt.

Anhand dieser Informationen können die mit der Untersuchung beauftragten Personen Informationen zu E-Mails ermitteln, die von einem kompromittierten Konto aus oder von einem Angreifer gesendet wurden. Darüber hinaus können Ermittler ein Microsoft 365 eDiscovery-Tool verwenden, um nach der Nachricht zu suchen (mithilfe der Betreffzeile oder Nachrichten-ID). Auf diese Weise können sie die Empfänger, an die die Nachricht gesendet wurde, und den tatsächlichen Inhalt der gesendeten Nachricht identifizieren.

Um nach Send-Überwachungsaufzeichnungen zu suchen, können Sie im Microsoft Purview-Complianceportal im Überwachungsprotokoll-Suchtool in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Nachricht gesendet suchen.

Screenshot des Suchfensters mit ausgewählter Option „Nachricht senden“ für die Einstellung „Aktivitäten“.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations Send oder Search-MailboxAuditLog -Operations Send in Exchange Online PowerShell ausführen.

SearchQueryInitiatedExchange-Ereignis

Das SearchQueryInitiatedExchange-Ereignis wird ausgelöst, wenn jemand Outlook verwendet, um in einem Postfach nach Elementen zu suchen. Ereignisse werden ausgelöst, wenn Suchvorgänge in den Outlook-Umgebungen durchgeführt werden:

  • Outlook (Desktopclient)
  • Outlook im Web (OWA)
  • Outlook für iOS
  • Outlook für Android
  • Mail-App für Windows 10

Die mit der Untersuchung beauftragten Personen können das SearchQueryInitiatedExchange-Ereignis verwenden, um festzustellen, ob ein Angreifer (der möglicherweise ein Konto manipuliert hat) nach vertraulichen Informationen im Postfach gesucht oder versucht hat, darauf zuzugreifen. Die Überwachungsaufzeichnung für ein SearchQueryInitiatedExchange-Ereignis enthält Informationen wie z. B. den tatsächlichen Suchabfragetext und ob die Suche im Outlook-Desktop-Client oder in Outlook im Web durchgeführt wurde. Der Überwachungsdatensatz gibt auch die Outlook-Umgebung an, in der die Suche ausgeführt wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser verstehen, warum nach den E-Mail-Daten gesucht wurde.

Um nach SearchQueryInitiatedExchange-Überwachungsaufzeichnungen zu suchen, können Sie im Microsoft Purview-Complianceportal im Überwachungsprotokoll-Suchtool in der Dropdownliste der Suchaktivitäten nach der Aktivität E-Mail-Suche durchgeführt suchen.

Screenshot des Suchfensters mit ausgewählter Option „E-Mail-Suche durchgeführt“ für die Einstellung „Aktivitäten“.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange in Exchange Online PowerShell ausführen.

Sie müssen SearchQueryInitiatedExchange für die Anmeldung aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können.

SearchQueryInitiatedSharePoint-Ereignis

Das SearchQueryInitiatedSharePoint-Ereignis ähnelt der Suche nach Postfachelementen. Sie wird ausgelöst, wenn eine Person in SharePoint nach Elementen sucht. Ereignisse werden ausgelöst, wenn Suchen auf der Stamm- oder Standardseite der folgenden Typen von SharePoint-Websites ausgeführt werden:

  • Startsites
  • Kommunikationswebsites
  • Hubwebsites
  • Mit Microsoft Teams verknüpfte Websites

Die ermittelnden Personen können das SearchQueryInitiatedSharePoint-Ereignis verwenden, um festzustellen, ob ein Angreifer versucht hat, vertrauliche Informationen in SharePoint zu finden (und möglicherweise darauf zugegriffen). Die Überwachungsaufzeichnung für ein SearchQueryInitiatedSharePoint-Ereignis enthält den eigentlichen Text der Suchabfrage. Der Überwachungsdatensatz gibt auch den Typ der SharePoint-Website an, die durchsucht wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser den Zweck und den Umfang der Dateidaten nachvollziehen, nach denen der Angreifer gesucht hat.

Um nach SearchQueryInitiatedSharePoint-Überwachungsaufzeichnungen zu suchen, können Sie im Microsoft Purview-Complianceportal im Überwachungsprotokoll-Suchtool in der Dropdownliste der Suchaktivitäten nach der Aktivität SharePoint-Suche durchgeführt suchen.

Screenshot des Suchfensters mit ausgewählter Option „SharePoint-Suche durchgeführt“ für die Einstellung „Aktivitäten“.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint in Exchange Online PowerShell ausführen.

Hinweis

Sie müssen SearchQueryInitiatedSharePoint für die Anmeldung aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können.

Andere Ereignisse in Audit (Premium) in Microsoft 365

Zusätzlich zu den Ereignissen in Exchange Online und SharePoint Online gibt es Ereignisse in anderen Microsoft 365-Diensten, die protokolliert werden, wenn Benutzern die entsprechende Lizenz von Überwachung (Premium) zugewiesen wird. Die folgenden Microsoft 365 Dienste bieten Ereignisse in Audit (Premium). Wählen Sie den entsprechenden Link aus, um zu einem Artikel zu wechseln, der diese Ereignisse identifiziert und beschreibt.

Zugriff mit hoher Bandbreite auf die Office 365-Verwaltungsaktivitäts-API

Organisationen, die früher über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsprotokolle zugegriffen haben, waren durch Drosselungsgrenzwerte auf Herausgeberebene eingeschränkt. Daher galt der Grenzwert für einen Herausgeber, der Daten im Namen mehrerer Kunden per Pull abruft, für all diese Kunden zusammen.

Mit der Veröffentlichung von Überwachung (Premium) wechselte Microsoft 365 von einem Grenzwert auf Herausgeberebene zu einem Grenzwert auf Mandantenebene. Dadurch erhält jede Organisation ein eigenes, vollständig zugewiesenes Bandbreitenkontingent erhält für den Zugriff auf ihre Überwachungsdaten. Die Bandbreite ist kein statischer, vordefinierter Grenzwert. Stattdessen wird es auf einer Kombination von Faktoren modelliert. Zu diesen Faktoren gehören die Anzahl der Arbeitsplätze in der Organisation und die Tatsache, dass E5/A5/G5-Organisationen mehr Bandbreite erhalten als Nicht-E5/A5/G5-Organisationen.

Allen Organisationen ist anfänglich eine Baseline von 2.000-Anforderungen pro Minute zugeordnet. Dieser Wert wird abhängig von der Anzahl der Arbeitsplätze und Lizenzabonnements in einer Organisation dynamisch erhöht. E5/A5/G5-Organisationen erhalten ungefähr doppelt so viel Bandbreite wie Nicht-E5/A5/G5-Organisationen. Zum Schutz des Diensts gibt es auch eine Obergrenze für die maximale Bandbreite.

Zusätzliche Informationen. Weitere Informationen finden Sie im Abschnitt "API-Drosselung" in der Referenz der Office 365-Verwaltungsaktivitäts-API.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.