Überwachungslösungen in Microsoft Purview

Hinweis

Microsoft 365 Compliance heißt jetzt Microsoft Purview, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blogankündigung.

Die Überwachungslösungen von Microsoft Purview bieten eine integrierte Lösung, mit der Unternehmen effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Compliance-Verpflichtungen reagieren können. Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen durchgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll Ihrer Organisation gespeichert. Überwachungsdatensätze für diese Ereignisse können von Sicherheitsbeauftragten, IT-Administratoren, Insider-Risiko-Teams sowie Compliance- und Rechtsermittlern in Ihrem Unternehmen durchsucht werden. Diese Funktion bietet einen Einblick in die Aktivitäten, die in Ihrer Microsoft 365-Organisation durchgeführt werden.

Microsoft Purview-Überwachungslösungen

Microsoft Purview bietet zwei Überwachungslösungen: Audit (Standard) und Audit (Premium).

Wichtige Funktionen von Audit (Standard) und Audit (Premium).

Überwachung (Standard)

Microsoft Purview Audit (Standard) bietet Ihnen die Möglichkeit, überwachte Aktivitäten zu protokollieren und zu suchen und Ihre forensischen, IT-, Compliance- und rechtlichen Untersuchungen zu unterstützen.

  • Standardmäßig aktiviert. Audit (Standard) ist standardmäßig für alle Organisationen mit dem entsprechenden Abonnement aktiviert. Das bedeutet, dass Aufzeichnungen für überwachte Aktivitäten erfasst werden und durchsuchbar sind. Das einzige erforderliche Setup besteht darin, die erforderlichen Berechtigungen für den Zugriff auf das Überwachungsprotokoll-Suchtool (und das entsprechende Cmdlet) zuzuweisen und sicherzustellen, dass den Benutzern die richtige Lizenz für Microsoft Purview Audit (Premium)-Features zugewiesen ist.

  • Tausende von durchsuchbaren Überwachungsereignissen. Sie können nach einer breiten Palette von überwachten Aktivitäten suchen, die bei den meisten Microsoft 365-Diensten in Ihrer Organisation auftreten. Eine Teilliste der Aktivitäten, nach denen Sie suchen können, finden Sie unter Überwachte Aktivitäten. Eine Liste der Dienste und Funktionen, die überwachte Aktivitäten unterstützen, finden Sie unter Überwachungsprotokoll-Datensatztyp.

  • Audit-Suchtool im Microsoft Purview-Complianceportal. Verwenden Sie das Audit-Protokoll-Suchtool im Complianceportal, um nach Überwachungsdatensätzen zu suchen. Sie können nach bestimmten Aktivitäten suchen, nach Aktivitäten, die von bestimmten Benutzern ausgeführt wurden, und nach Aktivitäten, die in einem bestimmten Datumsbereich aufgetreten sind. Hier ist ein Screenshot des Überwachungssuchtools im Compliance Center.

    Audit-Protokoll-Suchtool im Complianceportal.

  • Search-UnifiedAuditLog-Cmdlet. Sie können auch das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell (das zugrunde liegende Cmdlet für das Suchtool) verwenden, um nach Überwachungsereignissen zu suchen, oder es in einem Skript zu verwenden. Weitere Informationen finden Sie unter:

  • Exportieren von Überwachungsdatensätzen in eine CSV-Datei. Nach der Ausführung des Suchtools für das Überwachungsprotokoll im Complianceportal können Sie die von der Suche zurückgegebenen Überwachungsdatensätze in eine CSV-Datei exportieren. Damit können Sie in Microsoft Excel nach verschiedenen Eigenschaften von Überwachungsdatensätzen sortieren und filtern. Sie können auch die Transformationsfunktion in Microsoft Power Query für Excel verwenden, um jede Eigenschaft im AuditData JSON-Objekt in eine eigene Spalte aufzuteilen. So können Sie ähnliche Daten für verschiedene Ereignisse effektiv anzeigen und vergleichen. Weitere Informationen finden Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.

  • Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API. Eine dritte Methode für den Zugriff auf und das Abrufen von Überwachungsdatensätzen ist die Verwendung der Office 365-Verwaltungsaktivitäts-API. Damit können Unternehmen Überwachungsdaten für längere Zeiträume als die standardmäßigen 90 Tage aufbewahren und ihre Überwachungsdaten in eine SIEM-Lösung importieren. Weitere Informationen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.

  • 90-Tage-Aufbewahrung des Überwachungsprotokolls. Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll Ihrer Organisation gespeichert. Bei Audit (Standard) werden die Aufzeichnungen 90 Tage lang aufbewahrt, d. h. Sie können nach Aktivitäten suchen, die innerhalb der letzten drei Monate stattgefunden haben.

Audit (Premium)

Audit (Premium) baut auf den Funktionen von Audit (Standard) auf, indem es Richtlinien für die Aufbewahrung von Überwachungsprotokollen, eine längere Aufbewahrung von Überwachungsdatensätzen, wichtige Ereignisse mit hohem Wert und einen Zugriff mit größerer Bandbreite auf die Office 365-Verwaltungsaktivitäts-API bietet.

  • Aufbewahrungsrichtlinien für Überwachungsprotokolle. Sie können benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um Überwachungsdatensätze für längere Zeiträume bis zu einem Jahr (und bis zu 10 Jahren für Benutzer mit der erforderlichen Zusatzlizenz) aufzubewahren. Sie können die Aufbewahrungsrichtlinie für Überwachungsdatensätze basierend auf dem Dienst, in dem die Überwachungsaktivitäten stattfinden, auf bestimmten Überwachungsaktivitäten oder auf dem Benutzer, der eine Überwachungsaktivität durchführt, erstellen.

  • Längere Aufbewahrung von Überwachungsdatensätzen. Exchange-, SharePoint- und Azure Active Directory-Überwachungsdatensätzen werden standardmäßig ein Jahr lang aufbewahrt. Überwachungsdatensätze für alle anderen Aktivitäten werden standardmäßig 90 Tage lang aufbewahrt. Sie können jedoch mithilfe von Richtlinien zur Aufbewahrung von Überwachungsprotokollen auch längere Aufbewahrungszeiträume konfigurieren.

  • Hochwertige, wichtige Audit (Premium )-Ereignisse. Überwachungsdatensätze für wichtige Ereignisse können Ihrem Unternehmen helfen, forensische und Compliance-Untersuchungen durchzuführen, indem sie Einblicke in Ereignisse geben, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden oder wann und wonach ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese wichtigen Ereignisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu bestimmen.

  • Höhere Bandbreite zur Office 365-Verwaltungsaktivitäts-API. Audit (Premium) bietet Organisationen mehr Bandbreite für den Zugriff auf Überwachungsprotokolle über die Office 365-Verwaltungsaktivitäts-API. Obwohl allen Organisationen (mit Audit (Standard) oder Audit (Premium)) anfänglich einen Basisplan von 2.000 Anforderungen pro Minute zugewiesen wird, wird dieser Grenzwert je nach Anzahl der Arbeitsplätze und ihrem Lizenzierungsabonnement dynamisch erhöht. Dies führt dazu, dass Organisationen mit Audit (Premium) etwa doppelt so viele Bandbreiten wie Organisationen mit Audit (Standard) erhalten.

Ausführlichere Informationen zu den Funktionen von Audit (Premium) finden Sie unter Audit (Premium) in Microsoft 365.

Vergleich der wichtigsten Funktionen

In der folgenden Tabelle werden die wichtigsten Funktionen von Audit (Standard) und Audit (Premium) verglichen. Alle Funktionen von Audit (Standard) sind in Audit (Premium) enthalten.

Funktion Überwachung (Standard) Audit (Premium)
Standardmäßig aktiviert Unterstützt. Unterstützt.
Tausende von durchsuchbaren Überwachungsereignissen Unterstützt. Unterstützt.
Audit-Suchtool im Complianceportal Unterstützt. Unterstützt.
Search-UnifiedAuditLog-Cmdlet Unterstützt. Unterstützt.
Exportieren von Überwachungsdatensätzen in eine CSV-Datei Unterstützt. Unterstützt.
Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API 1 Unterstützt Unterstützt.
90-Tage-Aufbewahrung des Überwachungsprotokolls Unterstützt. Unterstützt.
1-jährige Aufbewahrung des Überwachungsprotokolls Unterstützt
10-jährige Aufbewahrung des Überwachungsprotokolls 2 Unterstützt
Aufbewahrungsrichtlinien für Überwachungsprotokolle Unterstützt
Hochwertige, wichtige Ereignisse Unterstützt

Hinweis

1 Audit (Premium) bietet zugriff auf die Office 365-Verwaltungsaktivitäts-API mit höherer Bandbreite, wodurch schneller auf Überwachungsdaten zugegriffen werden kann.
2 Zusätzlich zur erforderlichen Lizenzierung für Audit (Premium) (siehe nächster Abschnitt) muss einem Benutzer eine Zusatzlizenz für die 10-jährige Aufbewahrung von Überwachungsprotokollen zugewiesen werden, um die Überwachungsprotokolle 10 Jahre lang aufzubewahren.

Lizenzierungsanforderungen

In den folgenden Abschnitten werden die Lizenzierungsanforderungen für Audit (Standard) und Audit (Premium) beschrieben. Die Funktionen von Audit (Standard) sind in Audit (Premium) enthalten.

Überwachung (Standard)

  • Microsoft Purview Business Basic-Abonnement
  • Microsoft Purview Apps for Business-Abonnement
  • Microsoft Purview Enterprise E3-Abonnement
  • Microsoft Purview Business Premium
  • Microsoft Purview Education A3-Abonnement
  • Microsoft Purview Government G3-Abonnement
  • Microsoft Purview Government G1-Abonnement
  • Microsoft Purview Frontline F1- oder F3-Abonnement oder F5-Sicherheits-Add-On
  • Office 365 Enterprise E3-Abonnement
  • Office 365 Enterprise E1-Abonnement
  • Office 365 Education A1-Abonnement
  • Office 365 Education A3-Abonnement

Audit (Premium)

  • Microsoft 365 Enterprise E5-Abonnement
  • Microsoft 365 Enterprise E3-Abonnement mit dem Microsoft 365 E5 Compliance-Add-On
  • Microsoft 365 Enterprise E3-Abonnement mit dem Microsoft 365 E5 eDiscovery- und Überwachungs-Add-On
  • Microsoft 365 Education A5-Abonnement
  • Microsoft 365 Education A3-Abonnement mit dem Microsoft 365 A5-Compliance-Add-On
  • Microsoft 365 Education A3-Abonnement mit dem Microsoft 365 A5 eDiscovery- und Überwachungs-Add-On
  • Microsoft 365 Government G5-Abonnement
  • Microsoft 365 Government G3-Abonnement mit dem Microsoft 365 G5-Compliance-Add-On
  • Microsoft 365 Government G3-Abonnement mit dem Microsoft 365 G5 eDiscovery- und Überwachungs-Add-On
  • Microsoft 365 Frontline F5 Compliance- oder F5 Security & Compliance-Add-On
  • Office 365 Enterprise E5-Abonnement
  • Office 365 Education A5-Abonnement

Einrichten von Microsoft Purview-Überwachungslösungen

Um mit der Verwendung der Überwachungslösungen in Microsoft Purview zu beginnen, lesen Sie die folgende Anleitung zur Einrichtung.

Audit (Standard) einrichten

Der erste Schritt besteht darin, Audit (Standard) einzurichten und dann mit der Suche im Überwachungsprotokoll zu beginnen.

Workflow zur Einrichtung von Audit (Standard).

  1. Vergewissern Sie sich, dass Ihr Unternehmen ein Abonnement hat, das Audit (Standard) unterstützt, und gegebenenfalls ein Abonnement, das Audit (Premium) unterstützt.

  2. Weisen Sie Personen in Ihrer Organisation Berechtigungen in Exchange Online zu, die das Überwachungsprotokoll-Suchtool im Complianceportal oder das Cmdlet Search-UnifiedAuditLog verwenden. Insbesondere muss den Benutzern die Rolle "Überwachungsprotokolle nur anzeigen" oder "Überwachungsprotokolle" in Exchange Online zugewiesen werden.

  3. Durchsuchen des Überwachungsprotokolls. Nach Abschluss von Schritt 1 und Schritt 2 können Benutzer in Ihrer Organisation mit dem Tool für die Überwachungsprotokollsuche (oder dem entsprechenden Cmdlet) nach geprüften Aktivitäten suchen.

Ausführlichere Anweisungen finden Sie unter Audit (Standard) einrichten.

Audit (Premium) einrichten

Wenn Ihre Organisation über ein Abonnement verfügt, das Audit (Premium) unterstützt, führen Sie die folgenden Schritte aus, um die zusätzlichen Funktionen in Audit (Premium) einzurichten und zu verwenden.

Workflow zur Einrichtung von Audit (Premium).

  1. Audit (Premium) für Benutzer einrichten. Dieser Schritt besteht aus den folgenden Aufgaben:

    • Es wird überprüft, ob Benutzern die entsprechende Lizenz oder Add-On-Lizenz für Audit (Premium) zugewiesen ist.

    • Die Aktivierung der App/des Serviceplans Audit (Premium) muss für diese Nutzer erfolgen.

    • Aktivieren Sie die Überwachung wichtiger Ereignisse und schalten Sie dann die Überwachungs-App (Premium) bzw. den Serviceplan für diese Benutzer ein.

  2. Aktivieren Sie die Protokollierung von Audit (Premium)-Ereignissen, wenn Benutzer in Exchange Online und SharePoint Online Suchen durchführen.

  3. Einrichten von Richtlinien zur Aufbewahrung von Überwachungsprotokollen. Zusätzlich zur Standardrichtlinie, die Exchange-, SharePoint- und Azure AD-Überwachungsprotokolle ein Jahr lang aufbewahrt, können Sie weitere Richtlinien zur Aufbewahrung von Überwachungsprotokollen erstellen, um die Anforderungen der Sicherheits-, IT- und Compliance-Teams Ihres Unternehmens zu erfüllen.

  4. Suche nach wichtigen Audit (Premium)-Ereignissen und anderen Aktivitäten bei forensischen Untersuchungen. Nach Abschluss von Schritt 1 und Schritt 2 können Sie das Überwachungsprotokoll nach Audit (Premium)-Ereignissen und anderen Aktivitäten bei forensischen Untersuchungen von kompromittierten Konten und anderen Arten von Sicherheits- oder Compliance-Untersuchungen durchsuchen.

Ausführlichere Anweisungen finden Sie unter Audit (Premium) einrichten.

Schulungen

Die Schulung Ihres Teams für Sicherheitsvorgänge, IT-Administratoren und Compliance-Ermittler in den Grundlagen für Audit (Standard) und Audit (Premium) kann Ihrer Organisation helfen, schneller mithilfe der Überwachung zu beginnen, um Ihre Untersuchungen zu unterstützen. Microsoft Purview stellt die folgende Ressource zur Verfügung, um diesen Benutzern in Ihrer Organisation den Einstieg in die Überwachung zu erleichtern: eDiscovery-Funktionen und Überwachungsfunktionen von Microsoft Purview beschreiben.