Microsoft Purview Audit (Premium)

Tipp

Wussten Sie, dass Sie die Premiumversionen aller neun Microsoft Purview-Lösungen kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation dabei helfen können, die Complianceanforderungen zu erfüllen. Microsoft 365 E3 und Office 365 E3 Kunden können jetzt im Testhub des Microsoft Purview Compliance-Portals beginnen. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blog-Ankündigung.

Die Überwachungsfunktionalität in Microsoft Purview bietet Organisationen einen Einblick in viele verschiedene Typen von überwachten Aktivitäten in vielen unterschiedlichen Diensten in Microsoft 365. Microsoft Purview Audit (Premium) hilft Organisationen dabei, forensische und Compliance-Untersuchungen durchzuführen, indem die Aufbewahrungsdauer des Überwachungsprotokolls verlängert wird, das für die Durchführung einer Untersuchung benötigt wird, der Zugriff auf wichtige Ereignisse ermöglicht wird (mittels der Überwachungsprotokollsuche im Microsoft Purview-Complianceportal und der Office 365-Verwaltungsaktivitäts-API), die für die Ermittlung des Umfangs der Kompromittierung hilfreich sind, sowie schnellerer Zugriff auf die Office 365-Verwaltungsaktivitäts-API ermöglicht wird.

Hinweis

Audit (Premium) ist für Organisationen mit einem Office 365 E5/A5/G5- oder Microsoft 365 Enterprise E5/A5/G5-Abonnement verfügbar. Benutzern sollte eine Microsoft 365 E5/A5/G5 Compliance- oder E5/A5/G5 eDiscovery- und Audit-Add-On-Lizenz für Features von Audit (Premium) zugewiesen werden, z. B. die langfristige Aufbewahrung von Überwachungsprotokollen und die Generierung erweiterter Ereignisse in Audit (Premium) für Untersuchungen. Weitere Informationen zur Lizenzierung finden Sie unter:
- Lizenzanforderungen für Audit (Premium)
- Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

In diesem Artikel finden Sie eine Übersicht der Funktionen von Audit (Premium) und Anweisungen zum Einrichten von Benutzern für Audit (Premium).

Langfristige Aufbewahrung von Überwachungsprotokollen

Audit (Premium) bewahrt alle Exchange-, SharePoint- und Azure Active Directory-Überwachungsdatensätze für ein Jahr auf. Dies geschieht durch eine standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle, die jeden Überwachungsdatensatz ein Jahr lang aufbewahrt, der den Wert von Exchange, SharePoint oder AzureActiveDirectory für die Eigenschaft Workload aufweist (die den Dienst anzeigt, in dem die Aktivität aufgetreten ist). Das Aufbewahren von Überwachungsaufzeichnungen über einen längeren Zeitraum kann bei laufenden forensischen oder Compliance-Untersuchungen hilfreich sein. Weitere Informationen hierzu finden Sie im Abschnitt "Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle" in Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Zusätzlich zu den Funktionen für die einjährige Aufbewahrung von Audit (Premium) wurde auch die Option eingeführt, Überwachungsprotokolle für 10 Jahre aufzubewahren. Die zehnjährige Aufbewahrung von Überwachungsprotokollen ist bei langfristigen Untersuchungen und zur Einhaltung behördlicher, rechtlicher und interner Vorgaben hilfreich.

Hinweis

Für die zehnjährige Aufbewahrung von Überwachungsprotokollen wird eine zusätzliche Lizenz pro Benutzer erforderlich sein. Nachdem diese Lizenz einem Benutzer zugewiesen und eine entsprechende zehnjährige Aufbewahrungsrichtlinie für das Überwachungsprotokoll für diesen Benutzer festgelegt wurde, werden die von dieser Richtlinie abgedeckten Überwachungsprotokolle für den Zeitraum von 10 Jahren aufbewahrt. Diese Richtlinie ist nicht rückwirkend und kann keine Überwachungsprotokolle aufbewahren, die vor der Erstellung der 10-Jahres-Aufbewahrungsrichtlinie für Überwachungsprotokolle generiert wurden. Weitere Informationen hierzu finden Sie im Abschnitt Häufig gestellte Fragen zu Audit (Premium) in diesem Artikel.

Aufbewahrungsrichtlinien für Überwachungsprotokolle

Alle Überwachungsdatensätze, die in anderen Diensten generiert wurden, die nicht unter die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle fallen (im vorherigen Abschnitt beschrieben), werden für 90 Tage aufbewahrt. Sie können jedoch benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um andere Überwachungsaufzeichnungen bis zu 10 Jahre lang aufzubewahren. Sie können eine Richtlinie erstellen, um Überwachungsaufzeichnungen auf der Grundlage eines oder mehrerer der folgenden Kriterien aufzubewahren:

  • Der Microsoft 365-Dienst, in dem die überwachten Aktivitäten ausgeführt werden

  • Bestimmte überwachte Aktivitäten

  • Der Benutzer, der eine überwachte Aktivität ausführt

Sie können auch festlegen, wie lange Überwachungsdatensätze, die der Richtlinie entsprechen, aufbewahrt werden, und eine Prioritätsstufe angeben, damit bestimmte Richtlinien Vorrang vor anderen Richtlinien haben. Beachten Sie außerdem, dass jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle Vorrang vor der Standardaufbewahrungsrichtlinie für Überwachungsprotokolle hat, wenn Sie für einige oder alle Benutzer in Ihrer Organisation Exchange-, SharePoint- oder Azure Active Directory-Überwachungsaufzeichnungen weniger als ein Jahr lang (oder für 10 Jahre) aufbewahren möchten. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Ereignisse in Audit (Premium)

Audit (Premium) unterstützt Organisationen bei forensischen und Compliance-Untersuchungen, indem Zugriff auf wichtige Ereignisse ermöglicht wird, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden und wann und wonach ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese Ereignisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu ermitteln. Zusätzlich zu diesen Ereignissen in Exchange und SharePoint gibt es Ereignisse in anderen Microsoft 365-Diensten, die als wichtige Ereignisse betrachtet werden und erfordern, dass Benutzern die entsprechende Lizenz für Audit (Premium) zugewiesen wird. Benutzern muss eine Lizenz für Audit (Premium) zugewiesen werden, damit Überwachungsprotokolle generiert werden, wenn Benutzer diese Ereignisse ausführen.

Audit (Premium) stellt die folgenden Ereignisse bereit:

MailItemsAccessed

Beim MailItemsAccessed-Ereignis handelt es sich um eine Postfachüberwachungsaktion, die ausgelöst wird, wenn E-Mail-Protokolle und E-Mail-Clients auf E-Mail-Daten zugreifen. Dieses Ereignis kann Ermittlern helfen, Datenschutzverletzungen zu identifizieren und den Umfang der Nachrichten zu ermitteln, die möglicherweise kompromittiert wurden. Wenn ein Angreifer Zugriff auf E-Mail-Nachrichten erlangt hat, wird die MailItemsAccessed-Aktion ausgelöst, selbst wenn kein explizites Zeichen dafür vorliegt, dass Nachrichten tatsächlich gelesen wurden (mit anderen Worten: Die Art des Zugriffs, z. B. Bindung oder Synchronisierung, wird im Überwachungsdatensatz erfasst).

Das MailItemsAccessed-Ereignis ersetzt „MessageBind“ in der Postfachüberwachungsprotokollierung in Exchange Online und bietet die folgenden Verbesserungen:

  • „MessageBind“ war nur für den AuditAdmin-Benutzer-Anmeldetyp konfigurierbar und galt nicht für Aktionen von Stellvertretungen oder Besitzern. „MailItemsAccessed“ gilt für alle Anmeldetypen.

  • "MessageBind" betraf nur den Zugriff durch einen E-Mail-Client. Es galt nicht für Synchronisierungsaktivitäten. MailItemsAccessed-Ereignisse werden sowohl durch Bindungs als auch Synchronisierungszugriffstypen ausgelöst.

  • MessageBind-Aktionen würden beim Zugriff auf dieselbe E-Mail-Nachricht die Erstellung mehrerer Überwachungsdatensätze auslösen und dadurch zu überfüllten Überwachungsprotokollen führen. Im Gegensatz dazu werden MailItemsAccessed-Ereignisse in weniger Überwachungsdatensätzen aggregiert.

Informationen zu Überwachungsdatensätzen für MailItemsAccessed-Aktivitäten finden Sie unter Verwenden von Audit (Premium) zur Untersuchung kompromittierter Konten.

Um nach MailItemsAccessed-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal im Tool für die Überwachungsprotokollsuche in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Auf Postfachelemente zugegriffen suchen.

Suchen nach MailItemsAccessed-Aktionen im Überwachungsprotokoll-Suchtool.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations MailItemsAccessed oder Search-MailboxAuditLog -Operations MailItemsAccessed in Exchange Online PowerShell ausführen.

Send

Beim Send-Ereignis handelt es sich ebenfalls um eine Postfachüberwachungsaktion. Sie wird ausgelöst, wenn ein Benutzer eine der folgenden Aktionen ausführt:

  • Eine E-Mail sendet

  • Auf eine E-Mail-Nachricht antwortet

  • Eine E-Mail-Nachricht weiterleitet

Die mit der Untersuchung beauftragten Personen können das Send-Ereignis verwenden, um E-Mails zu identifizieren, die von einem kompromittierten Konto aus gesendet wurden. Die Überwachungsaufzeichnung für ein Send-Ereignis enthält Informationen zu der Nachricht, z. B. wann sie gesendet wurde, die InternetMessage-ID, die Betreffzeile und ob die Nachricht Anlagen enthielt. Anhand dieser Informationen können die mit der Untersuchung beauftragten Personen Informationen zu E-Mails ermitteln, die von einem kompromittierten Konto aus oder von einem Angreifer gesendet wurden. Darüber hinaus können sie ein Microsoft 365-eDiscovery-Tool verwenden, um nach der Nachricht (anhand der Betreffzeile oder der Nachrichten-ID) zu suchen, um deren Empfänger und ihren eigentlichen Inhalt zu ermitteln.

Um nach Send-Überwachungsdatensätzen zu suchen, können Sie im Complianceportal im Tool für die Überwachungsprotokollsuche in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität Nachricht gesendet suchen.

Suche nach „Nachricht gesendet“-Aktionen im Überwachungsprotokoll-Suchtool.

Sie können auch die Befehle Search-UnifiedAuditLog -Operations Send oder Search-MailboxAuditLog -Operations Send in Exchange Online PowerShell ausführen.

SearchQueryInitiatedExchange

Das SearchQueryInitiatedExchange-Ereignis wird ausgelöst, wenn jemand Outlook verwendet, um in einem Postfach nach Elementen zu suchen. Ereignisse werden ausgelöst, wenn Suchvorgänge in den Outlook-Umgebungen durchgeführt werden:

  • Outlook (Desktopclient)

  • Outlook im Web (OWA)

  • Outlook für iOS

  • Outlook für Android

  • Mail-App für Windows 10

Die mit der Untersuchung beauftragten Personen können das SearchQueryInitiatedExchange-Ereignis verwenden, um festzustellen, ob ein Angreifer, der möglicherweise ein Konto manipuliert hat, nach vertraulichen Informationen im Postfach gesucht oder versucht hat, darauf zuzugreifen. Die Überwachungsaufzeichnung für ein SearchQueryInitiatedExchange-Ereignis enthält Informationen wie z. B. den tatsächlichen Suchabfragetext und ob die Suche im Outlook-Desktop-Client oder in Outlook im Web durchgeführt wurde. Der Überwachungsdatensatz gibt auch die Outlook-Umgebung an, in der die Suche ausgeführt wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser verstehen, warum nach den E-Mail-Daten gesucht wurde.

Um nach SearchQueryInitiatedExchange-Überwachungsaufzeichnungen zu suchen, können Sie im Compliance Center im Überwachungsprotokoll-Suchtool in der Dropdownliste der Suchaktivitäten nach der Aktivität E-Mail-Suche durchgeführt suchen.

Suchen nach durchgeführten E-Mail-Suchaktionen im Überwachungsprotokoll-Suchtool.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange in Exchange Online PowerShell ausführen.

Hinweis

Sie müssen die Protokollierung von „SearchQueryInitiatedExchange“ aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können. Anweisungen finden Sie unter Einrichten von Audit (Premium).

SearchQueryInitiatedSharePoint

Ähnlich wie bei der Suche nach Postfachelementen wird das SearchQueryInitiatedSharePoint-Ereignis ausgelöst, wenn jemand nach Elementen in SharePoint sucht. Ereignisse werden ausgelöst, wenn Suchen auf der Stamm- oder Standardseite der folgenden Typen von SharePoint-Websites ausgeführt werden:

  • Startsites

  • Kommunikationswebsites

  • Hubwebsites

  • Mit Microsoft Teams verknüpfte Websites

Die ermittelnden Personen können das SearchQueryInitiatedSharePoint-Ereignis verwenden, um festzustellen, ob ein Angreifer versucht hat, vertrauliche Informationen in SharePoint zu finden (und möglicherweise darauf zugegriffen). Die Überwachungsaufzeichnung für ein SearchQueryInitiatedSharePoint-Ereignis enthält außerdem den eigentlichen Text der Suchabfrage. Der Überwachungsdatensatz gibt auch den Typ der SharePoint-Website an, die durchsucht wurde. Durch die Überprüfung der Suchabfragen, die ein Angreifer durchgeführt hat, kann die ermittelnde Person besser den Zweck und den Umfang der Dateidaten nachvollziehen, nach denen gesucht wurde.

Um nach SearchQueryInitiatedSharePoint-Überwachungsaufzeichnungen zu suchen, können Sie im Compliance Center im Überwachungsprotokoll-Suchtool in der Dropdownliste der Suchaktivitäten nach der Aktivität SharePoint-Suche durchgeführt suchen.

Suche nach durchgeführten SharePoint-Suchaktionen im Überwachungsprotokoll-Suchtool.

Sie können auch den Befehl Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint in Exchange Online PowerShell ausführen.

Hinweis

Sie müssen die Protokollierung von „SearchQueryInitiatedSharePoint“ aktivieren, damit Sie im Überwachungsprotokoll nach diesem Ereignis suchen können. Anweisungen finden Sie unter Einrichten von Audit (Premium).

Andere Ereignisse in Audit (Premium) in Microsoft 365

Zusätzlich zu den Ereignissen in Exchange Online und SharePoint Online gibt es Ereignisse in anderen Microsoft 365-Diensten, die protokolliert werden, wenn Benutzern die entsprechende Lizenzierung von Audit (Premium) zugewiesen wird. Die folgenden Microsoft 365 Dienste bieten Ereignisse in Audit (Premium). Wählen Sie den entsprechenden Link aus, um zu einem Artikel zu wechseln, der diese Ereignisse identifiziert und beschreibt.

Zugriff mit hoher Bandbreite auf die Office 365-Verwaltungsaktivitäts-API

Organisationen, die über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsprotokolle zugreifen, waren durch Drosselungsgrenzwerte auf Herausgeberebene eingeschränkt. Dies bedeutete, dass der Grenzwert für einen Herausgeber, der Daten im Namen mehrerer Kunden per Pull abruft, für all diese Kunden zusammen galt.

Mit der Veröffentlichung von Audit (Premium) wechseln wir von einem Grenzwert auf Herausgeberebene zu einem Grenzwert auf Mandantenebene. Dadurch erhält jede Organisation ein eigenes, vollständig zugewiesenes Bandbreitenkontingent erhält für den Zugriff auf ihre Überwachungsdaten. Die Bandbreite ist kein statischer, vordefinierter Grenzwert, sondern wird auf der Grundlage einer Kombination von Faktoren angepasst, beispielweise basierend auf der Anzahl der Arbeitsplätze in der Organisation oder der Tatsache, dass E5/A5/G5-Organisationen mehr Bandbreite als Nicht-E5/A5/G5-Organisationen erhalten.

Allen Organisationen ist anfänglich eine Baseline von 2.000-Anforderungen pro Minute zugeordnet. Dieser Wert wird abhängig von der Anzahl der Arbeitsplätze und Lizenzabonnements in einer Organisation dynamisch erhöht. E5/A5/G5-Organisationen erhalten ungefähr doppelt so viel Bandbreite wie Nicht-E5/A5/G5-Organisationen. Zum Schutz des Diensts gibt es auch eine Obergrenze für die maximale Bandbreite.

Weitere Informationen finden Sie im Abschnitt "API-Drosselung" in der Referenz der Office 365-Verwaltungsaktivitäts-API.

Häufig gestellte Fragen zu Audit (Premium)

Benötigt jeder Benutzer eine E5/A5/G5-Lizenz, um von Audit (Premium) profitieren zu können?

Dem Benutzer muss eine E5/A5/G5-Lizenz zugewiesen werden, um von den Funktionen in Audit (Premium) auf Benutzerebene profitieren zu können. Es gibt einige Funktionen, die überprüfen, ob die entsprechende Lizenz vorliegt, bevor dem Benutzer das Feature bereitgestellt wird. Wenn Sie beispielsweise die Überwachungseinträge für einen Benutzer beibehalten möchten, dem keine passende Lizenz zugeordnet ist, die noch mindestens 90 Tage gültig ist, wird eine Fehlermeldung angezeigt.

Meine Organisation verfügt über ein E5/A5/G5-Abonnement. Muss ich etwas tun, um Zugriff auf Überwachungsdatensätze für Ereignisse in Audit (Premium) zu erhalten?

Für berechtigte Kunden und Benutzer, denen die entsprechende E5/A5/G5-Lizenz zugewiesen wurde, ist keine Aktion erforderlich, um Zugriff auf Ereignisse in Audit (Premium) zu erhalten, mit Ausnahme der Aktivierung der Ereignisse „SearchQueryInitiatedExchange“ und „SearchQueryInitiatedSharePoint“ (wie zuvor in diesem Artikel beschrieben). Ereignisse in Audit (Premium) werden nur für Benutzer mit E5/A5/G5-Lizenzen generiert, nachdem diese Lizenzen zugewiesen wurden.

Sind die neuen Ereignisse in Audit (Premium) in der Office 365-Verwaltungsaktivitäts-API verfügbar?

Ja. Solange Überwachungsaufzeichnungen für Benutzer mit der entsprechenden Lizenz generiert werden, können Sie über die Office 365-Verwaltungsaktivitäts-API auf diese Aufzeichnungen zugreifen.

Was passiert mit den Überwachungsprotokolldaten meiner Organisation, wenn ich eine zehnjährige Richtlinie zur Aufbewahrung von Überwachungsprotokollen erstellt habe, als die Funktion für die allgemeine Verfügbarkeit freigegeben wurde, aber bevor die erforderliche Zusatzlizenz verfügbar gemacht wurde?

Alle Überwachungsprotokolldaten, die durch eine 10-Jahres-Richtlinie zur Aufbewahrung von Überwachungsprotokollen abgedeckt sind, die Sie erstellt haben, nachdem die Funktion im letzten Quartal 2020 zur allgemeinen Verfügbarkeit freigegeben wurde, werden 10 Jahre lang aufbewahrt. Dies umfasst zehnjährige Richtlinien zur Aufbewahrung von Überwachungsprotokollen, die erstellt wurden, bevor die erforderliche Add-On-Lizenz im März 2021 zum Kauf freigegeben wurde. Da jedoch jetzt die Add-On-Lizenz für die zehnjährige Aufbewahrung von Überwachungsprotokollen verfügbar ist, müssen Sie diese Add-On-Lizenzen für alle Benutzer erwerben und zuweisen, deren Überwachungsdaten unter eine Richtlinie für die zehnjährige Aufbewahrung von Überwachungsdaten fallen.