Microsoft Purview-Überwachungslösungen erkunden

  • 6 Minuten

Die Überwachungslösungen von Microsoft Purview bieten eine integrierte Lösung, mit der Unternehmen effektiv auf Folgendes reagieren können:

  • Sicherheitsereignisse
  • Forensische Untersuchungen
  • Interne Untersuchungen
  • Compliance-Verpflichtungen

Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen durchgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll einer Organisation gespeichert. Überwachungsdatensätze für diese Ereignisse können von Sicherheitsbeauftragten, IT-Administratoren, Insider-Risiko-Teams sowie Compliance- und Rechtsermittlern in Ihrem Unternehmen durchsucht werden. Diese Funktion bietet einen Einblick in die Aktivitäten, die in Ihrer Microsoft 365-Organisation durchgeführt werden.

Microsoft Purview-Überwachungslösungen

Microsoft Purview bietet zwei Überwachungslösungen: Audit (Standard) und Audit (Premium).

Diagramm mit den wichtigsten Funktionen von Audit (Standard) und Audit (Premium).

Überwachung (Standard)

Microsoft Purview Audit (Standard) bietet Organisationen die Möglichkeit, überwachte Aktivitäten zu protokollieren und zu suchen. Außerdem kann eine Organisation forensische, IT-, Compliance- und rechtliche Untersuchungen durchführen.

  • Standardmäßig aktiviert. Audit (Standard) ist standardmäßig für alle Organisationen mit dem entsprechenden Abonnement aktiviert. Das bedeutet, dass Aufzeichnungen für überwachte Aktivitäten erfasst werden und durchsuchbar sind. Das einzige erforderliche Setup besteht darin, die erforderlichen Berechtigungen für den Zugriff auf das Überwachungsprotokoll-Suchtool (und das entsprechende Cmdlet) zuzuweisen und sicherzustellen, dass den Benutzern die richtige Lizenz für Microsoft Purview Audit (Premium)-Features zugewiesen ist.

  • Tausende von durchsuchbaren Überwachungsereignissen. Ihre Organisation kann nach einer breiten Palette von überwachten Aktivitäten suchen, die bei den meisten Microsoft 365-Diensten in einer Organisation auftreten. Eine partielle Liste der Aktivitäten, nach denen gesucht werden kann, finden Sie unter Überwachte Aktivitäten. Eine Liste der Dienste und Funktionen, die überwachte Aktivitäten unterstützen, finden Sie unter Überwachungsprotokoll-Datensatztyp.

  • Audit-Suchtool im Microsoft Purview-Complianceportal. Organisationen können das Überwachungsprotokollsuchtool im Microsoft Purview-Complianceportal verwenden, um nach Überwachungsprotokolle zu suchen. Sie können nach Folgendem suchen:

    • Bestimmte Aktivitäten
    • Aktivitäten, die von bestimmten Benutzern ausgeführt werden
    • Aktivitäten, die innerhalb eines Datumsbereichs aufgetreten sind

    Screenshot des Überwachungsprotokoll-Suchtools im Microsoft Purview-Complianceportal.

  • Search-UnifiedAuditLog Cmdlet. Organisationen können auch das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell (das zugrunde liegende Cmdlet für das Suchtool) verwenden, um nach Überwachungsereignissen zu suchen oder um es in einem Skript zu verwenden. Weitere Informationen finden Sie unter:

  • Exportieren von Überwachungsdatensätzen in eine CSV-Datei. Nachdem eine Organisation das Überwachungsprotokoll-Suchtool im Microsoft Purview-Complianceportal ausgeführt hat, kann sie die von der Suche zurückgegebenen Überwachungsdatensätze in eine CSV-Datei exportieren. Damit kann Microsoft Excel verschiedene Eigenschaften von Überwachungsdatensätzen sortieren und filtern. Excel Power Query kann auch zum Transformieren von Funktionen verwendet werden, um jede Eigenschaft im AuditData JSON-Objekt in eine eigene Spalte aufzuteilen. Mit diesem Prozess können Sie ähnliche Daten für verschiedene Ereignisse effektiv anzeigen und vergleichen.

  • Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API. Eine dritte Methode für den Zugriff auf und das Abrufen von Überwachungsdatensätzen ist die Verwendung der Office 365-Verwaltungsaktivitäts-API. Mit dieser API können Organisationen Überwachungsdaten länger als die standardmäßigen 180 Tage aufbewahren. Außerdem können sie ihre Überwachungsdaten in eine SIEM-Lösung importieren. Weitere Informationen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.

  • Aufbewahrung des Überwachungsprotokolls für 180 Tage. Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll der Organisation gespeichert. In Microsoft Purview Audit (Standard) werden Datensätze 180 Tage lang aufbewahrt. Daher können Organisationen nach Aktivitäten suchen, die innerhalb der letzten drei Monate aufgetreten sind.

Audit (Premium)

Audit (Premium) baut auf den Funktionen von Audit (Standard) auf, indem es Richtlinien für die Aufbewahrung von Überwachungsprotokollen, eine längere Aufbewahrung von Überwachungsdatensätzen, wichtige Ereignisse mit hohem Wert und einen Zugriff mit größerer Bandbreite auf die Office 365-Verwaltungsaktivitäts-API bietet.

  • Aufbewahrungsrichtlinien für Überwachungsprotokolle. Mit Audit (Premium) können Organisationen angepasste Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um Überwachungsdatensätze bis zu einem Jahr lang aufzubewahren (und bis zu 10 Jahre für Benutzer mit erforderlicher Add-On-Lizenz). Organisationen können Protokollaufbewahrungsrichtlinien erstellen, um Überwachungsdatensätze basierend auf folgenden Elementen aufzubewahren:

    • Der Dienst, in dem die überwachten Aktivitäten ausgeführt wurden.
    • Bestimmte überwachte Aktivitäten.
    • Der Benutzer, der eine überwachte Aktivität ausgeführt hat.

  • Längere Aufbewahrung von Überwachungsdatensätzen. Exchange-, SharePoint- und Microsoft Entra Überwachungsdatensätze werden standardmäßig ein Jahr lang aufbewahrt. Überwachungsdatensätze für alle anderen Aktivitäten werden standardmäßig 180 Tage lang aufbewahrt. Mit Audit (Premium) können Organisationen Aufbewahrungsrichtlinien für Überwachungsprotokolle verwenden, um längere Aufbewahrungszeiträume zu konfigurieren.

  • Wertvolle, wichtige Überwachungsereignisse (Premium). Überwachungsdatensätze für wichtige Ereignisse können einer Organisation helfen, forensische und Compliance-Untersuchungen durchzuführen. Dies geschieht, indem die Sichtbarkeit für Ereignisse wie die folgenden bereitgestellt wird:

    • Wenn auf E-Mail-Elemente zugegriffen wurde.
    • Wenn auf E-Mail-Elemente geantwortet wurde und sie weitergeleitet wurden.
    • Wenn und was ein Benutzer in Exchange Online und SharePoint Online gesucht hat.

    Diese wichtigen Ereignisse können Organisationen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu ermitteln.

  • Höhere Bandbreite zur Office 365-Verwaltungsaktivitäts-API. Audit (Premium) bietet Organisationen mehr Bandbreite für den Zugriff auf Überwachungsprotokolle über die Office 365-Verwaltungsaktivitäts-API. Allen Organisationen mit Überwachung (Standard) oder Audit (Premium) wird anfänglich eine Baseline von 2.000 Anforderungen pro Minute zugewiesen. Dieser Grenzwert erhöht sich jedoch dynamisch, abhängig von der Anzahl der Arbeitsplätze einer Organisation und ihrem Lizenzierungsabonnement. Daher erhalten Organisationen mit Audit (Premium) etwa doppelt so viele Bandbreiten wie Organisationen mit Audit (Standard).

Microsoft Purview Audit (Premium) wird in einem späteren Modul ausführlicher untersucht.

Vergleich der wichtigsten Funktionen

In der folgenden Tabelle werden die wichtigsten Funktionen von Audit (Standard) und Audit (Premium) verglichen. Alle Funktionen von Audit (Standard) sind in Audit (Premium) enthalten.

Funktionalität Überwachung (Standard) Überwachung (Premium)
Standardmäßig aktiviert X X
Tausende von durchsuchbaren Überwachungsereignissen X X
Audit-Suchtool im Microsoft Purview-Complianceportal X X
Search-UnifiedAuditLog-Cmdlet X X
Exportieren von Überwachungsdatensätzen in eine CSV-Datei X X
Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API (1) X X
Aufbewahrung von Überwachungsprotokollen für 180 Tage X X
1-jährige Aufbewahrung des Überwachungsprotokolls X
10-jährige Aufbewahrung des Überwachungsprotokolls (2) X
Aufbewahrungsrichtlinien für Überwachungsprotokolle X
Hochwertige, wichtige Ereignisse X

Fußnoten:

(1) Audit (Premium) bietet zugriff auf die Office 365-Verwaltungsaktivitäts-API mit höherer Bandbreite, wodurch schneller auf Überwachungsdaten zugegriffen werden kann.

(2) Zusätzlich zur erforderlichen Lizenzierung für Audit (Premium) muss einem Benutzer eine Zusatzlizenz für die 10-jährige Aufbewahrung von Überwachungsprotokollen zugewiesen werden, um die Überwachungsprotokolle 10 Jahre lang aufzubewahren.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.

Überprüfen Sie Ihre Kenntnisse

1.

Wie lange werden In Microsoft Purview Audit (Standard)-Datensätze im Überwachungsprotokoll aufbewahrt?