Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Überwachungslösungen von Microsoft Purview bieten eine integrierte Lösung, mit der Unternehmen effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Compliance-Verpflichtungen reagieren können. Das einheitliche Überwachungsprotokoll Ihres organization erfasst, zeichnet und speichert Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft-Diensten und -Lösungen ausgeführt werden. Sicherheitsabteilungen, IT-Administratoren, Insider-Risikoteams sowie Compliance- und Rechtsermittler in Ihrem organization können Überwachungsdatensätze für diese Ereignisse durchsuchen. Diese Funktion bietet Einblick in die Aktivitäten, die in Ihrem organization ausgeführt werden.
Vergleich der wichtigsten Funktionen
In der folgenden Tabelle werden die wichtigsten Funktionen von Audit (Standard) und Audit (Premium) verglichen. Audit (Premium) umfasst alle Überwachungsfunktionen (Standard).
| Funktion | Überwachung (Standard) | Audit (Premium) |
|---|---|---|
| Standardmäßig aktiviert |
|
|
| Tausende von durchsuchbaren Überwachungsereignissen |
|
|
| Überwachungssuchtool im Microsoft Purview-Portal |
|
|
| Graph-API für die Überwachungssuche |
|
|
| Search-UnifiedAuditLog-Cmdlet |
|
|
| Exportieren von Überwachungsdatensätzen in eine CSV-Datei |
|
|
| Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API 1 |
|
|
| Aufbewahrung von Überwachungsprotokollen für 180 Tage |
|
|
| Aufbewahrung von überwachungsprotokollen bis zu einem Jahr |
|
|
| 10-jährige Aufbewahrung des Überwachungsprotokolls 2 |
|
|
| Aufbewahrungsrichtlinien für Überwachungsprotokolle |
|
|
| Intelligente Erkenntnisse |
|
Hinweis
1 Audit (Premium) bietet zugriff auf die Office 365-Verwaltungsaktivitäts-API mit höherer Bandbreite, wodurch schneller auf Überwachungsdaten zugegriffen werden kann.
2 Zusätzlich zur erforderlichen Lizenzierung für Audit (Premium) (im nächsten Abschnitt beschrieben) muss einem Benutzer eine 10-Jahres-Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen zugewiesen werden, um seine Überwachungsdatensätze 10 Jahre lang aufzubewahren.
Überwachung (Standard)
mit Microsoft Purview Audit (Standard) können Sie überwachte Aktivitäten protokollieren und suchen, um Ihre forensischen, IT-, Compliance- und rechtlichen Untersuchungen zu unterstützen.
Standardmäßig aktiviert. Die Überwachung (Standard) ist standardmäßig für alle Organisationen mit dem entsprechenden Abonnement aktiviert. Diese Konfiguration erfasst und macht durchsuchbare Datensätze für überwachte Aktivitäten. Sie müssen nur die erforderlichen Berechtigungen für den Zugriff auf das Überwachungsprotokoll-Suchtool (und das entsprechende Cmdlet) zuweisen und sicherstellen, dass Benutzer über die richtige Lizenz für Microsoft Purview Audit (Premium)-Features verfügen.
Tausende von durchsuchbaren Überwachungsereignissen. Sie können nach einer Vielzahl von überwachten Aktivitäten suchen, die in den meisten Microsoft-Diensten in Ihrem organization auftreten. Eine Liste der Aktivitäten, nach den Sie suchen können, finden Sie unter Überwachungsprotokollaktivitäten. Eine Liste der Dienste und Funktionen, die überwachte Aktivitäten unterstützen, finden Sie unter Überwachungsprotokoll-Datensatztyp.
Überwachungssuchtool im Microsoft Purview-Portal. Verwenden Sie das Suchtool Überwachungsprotokoll im Portal, um nach Überwachungsdatensätzen zu suchen. Sie können nach bestimmten Aktivitäten suchen, nach Aktivitäten, die von bestimmten Benutzern ausgeführt werden, und Nach Aktivitäten, die innerhalb eines Datumsbereichs aufgetreten sind.
Audit Search Graph-API. Microsoft Graph bietet einen einheitlichen API-Endpunkt für den Zugriff auf Daten aus mehreren Microsoft-Clouddiensten in einer einzigen Antwort. Mit dem Graph-API "Überwachungssuche" können Sie programmgesteuert über Microsoft Graph auf die Überwachungssuchumgebung zugreifen.
Search-UnifiedAuditLog Cmdlet. Sie können auch das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell (das zugrunde liegende Cmdlet für das Suchtool) verwenden, um nach Überwachungsereignissen zu suchen oder um es in einem Skript zu verwenden. Weitere Informationen finden Sie unter:
Exportieren von Überwachungsdatensätzen in eine CSV-Datei. Nachdem Sie das Tool für die Überwachungsprotokollsuche im Microsoft Purview-Portal ausgeführt haben, können Sie die von der Suche zurückgegebenen Überwachungsdatensätze in eine CSV-Datei exportieren. Mit diesem Prozess können Sie Microsoft Excel verwenden, um nach verschiedenen Überwachungsdatensatzeigenschaften zu sortieren und zu filtern. Sie können auch die Transformationsfunktion in Microsoft Power Query für Excel verwenden, um jede Eigenschaft im AuditData JSON-Objekt in eine eigene Spalte aufzuteilen. Mit diesem Prozess können Sie ähnliche Daten für verschiedene Ereignisse effektiv anzeigen und vergleichen. Weitere Informationen finden Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
Zugriff auf Überwachungsprotokolle über Office 365-Verwaltungsaktivitäts-API. Eine dritte Methode für den Zugriff auf und das Abrufen von Überwachungsdatensätzen ist die Verwendung der Office 365-Verwaltungsaktivitäts-API. Mit dieser Methode können Organisationen Überwachungsdaten länger als die standardmäßigen 180 Tage aufbewahren und ihre Überwachungsdaten in eine SIEM-Lösung importieren. Weitere Informationen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.
Aufbewahrung des Überwachungsprotokolls für 180 Tage. Wenn ein Benutzer oder Administrator eine überwachte Aktivität ausführt, generiert das System einen Überwachungsdatensatz und speichert ihn im Überwachungsprotokoll für Ihre organization. In Audit (Standard) speichert das System Datensätze 180 Tage lang, was bedeutet, dass Sie nach Aktivitäten suchen können, die in den letzten sechs Monaten aufgetreten sind.
Wichtig
Der Standardaufbewahrungszeitraum für Die Überwachung (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Audit (Premium)
Wichtig
Die klassische Suche wurde am 30. November 2023 eingestellt. Die neue Suche umfasst Verbesserungen wie schnellere Suchzeiten, zusätzliche Suchoptionen, die Möglichkeit zum Speichern von Suchvorgängen und vieles mehr.
Audit (Premium) baut auf den Funktionen von Audit (Standard) auf, indem Überwachungsprotokollaufbewahrungsrichtlinien, eine längere Aufbewahrung von Überwachungsdatensätzen, wertvolle intelligente Erkenntnisse und ein höherer Bandbreitenzugriff auf die Office 365 Management Activity-API bereitgestellt werden.
- Aufbewahrungsrichtlinien für Überwachungsprotokolle. Erstellen Sie angepasste Aufbewahrungsrichtlinien für Überwachungsprotokolle, um Überwachungsdatensätze länger aufzubewahren, bis zu einem Jahr (und bis zu 10 Jahre für Benutzer mit der erforderlichen Add-On-Lizenz). Erstellen Sie eine Richtlinie zum Aufbewahren von Überwachungsdatensätzen basierend auf dem Dienst, in dem die überwachten Aktivitäten stattfinden, bestimmten überwachten Aktivitäten oder dem Benutzer, der eine überwachte Aktivität ausführt.
- Längere Aufbewahrung von Überwachungsdatensätzen. Microsoft Entra-ID, Exchange, OneDrive und SharePoint-Überwachungsdatensätze werden standardmäßig ein Jahr lang aufbewahrt. Überwachungsdatensätze für alle anderen Aktivitäten werden standardmäßig 180 Tage lang aufbewahrt, oder Sie können Aufbewahrungsrichtlinien für Überwachungsprotokolle verwenden, um längere Aufbewahrungszeiträume zu konfigurieren.
- Überwachen (Premium) intelligenter Erkenntnisse. Überwachungsdatensätze für intelligente Erkenntnisse können Ihrem organization dabei helfen, forensische untersuchungen und Compliance-Untersuchungen durchzuführen, indem sie Transparenz für Ereignisse bereitstellen, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden oder wann und was ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese intelligenten Erkenntnisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu bestimmen.
- Höhere Bandbreite zur Office 365-Verwaltungsaktivitäts-API. Audit (Premium) bietet Organisationen mehr Bandbreite für den Zugriff auf Überwachungsprotokolle über die Office 365-Verwaltungsaktivitäts-API. Obwohl alle Organisationen (mit Audit (Standard) oder Audit (Premium)) anfänglich eine Baseline von 2.000 Anforderungen pro Minute erhalten, erhöht sich dieser Grenzwert dynamisch abhängig von der Anzahl der Arbeitsplätze eines organization und seinem Lizenzierungsabonnement. Diese Änderung führt dazu, dass Organisationen mit Audit (Premium) etwa doppelt so viele Bandbreiten wie Organisationen mit Audit (Standard) erhalten.
Langfristige Aufbewahrung von Überwachungsprotokollen
Audit (Premium) behält alle Exchange-, SharePoint- und Microsoft Entra Überwachungsdatensätze für ein Jahr bei. Diese Aufbewahrung erfolgt über eine standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle, die alle Überwachungsdatensätze, die den Wert von AzureActiveDirectory, Exchange, OneDrive oder SharePoint für die Workload-Eigenschaft (die den Dienst angibt, in dem die Aktivität aufgetreten ist) für ein Jahr aufbewahrt. Die Aufbewahrung von Überwachungsdatensätzen über einen längeren Zeitraum kann bei laufenden forensischen oder Complianceuntersuchungen hilfreich sein. Weitere Informationen hierzu finden Sie im Abschnitt "Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle" in Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Zusätzlich zu den einjährigen Aufbewahrungsfunktionen von Audit (Premium) haben wir auch die Möglichkeit veröffentlicht, Überwachungsprotokolle für 10 Jahre aufzubewahren. Die zehnjährige Aufbewahrung von Überwachungsprotokollen ist bei langfristigen Untersuchungen und zur Einhaltung behördlicher, rechtlicher und interner Vorgaben hilfreich.
Hinweis
Die Aufbewahrung von Überwachungsprotokollen für 10 Jahre erfordert eine zusätzliche Add-On-Lizenz pro Benutzer. Nachdem Sie diese Lizenz einem Benutzer zugewiesen und eine entsprechende Aufbewahrungsrichtlinie für Überwachungsprotokolle für 10 Jahre für diesen Benutzer festgelegt haben, werden Überwachungsprotokolle, die von dieser Richtlinie abgedeckt sind, für den Zeitraum von 10 Jahren aufbewahrt. Diese Richtlinie ist nicht rückwirkend und kann keine Überwachungsprotokolle beibehalten, die vor der Erstellung der Aufbewahrungsrichtlinie für 10 Jahre Überwachungsprotokolle generiert wurden.
Aufbewahrungsrichtlinien für Überwachungsprotokolle
Alle Überwachungsdatensätze, die von anderen Diensten generiert werden und die die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle nicht abdeckt, werden 180 Tage lang aufbewahrt. Sie können benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um andere Überwachungsdatensätze für einen längeren Zeitraum bis zu 10 Jahre aufzubewahren. Sie können eine Richtlinie erstellen, um Überwachungsaufzeichnungen auf der Grundlage eines oder mehrerer der folgenden Kriterien aufzubewahren:
Der Microsoft-Dienst, in dem die überwachten Aktivitäten stattfinden.
Bestimmte überwachte Aktivitäten
Der Benutzer, der eine überwachte Aktivität ausführt
Wichtig
Der Standardaufbewahrungszeitraum für Die Überwachung (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen. Sie können auch angeben, wie lange Überwachungsdatensätze aufbewahrt werden sollen, die der Richtlinie entsprechen, und eine Prioritätsstufe, damit bestimmte Richtlinien Vorrang vor anderen Richtlinien haben. Jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle hat Vorrang vor der Standardaufbewahrungsrichtlinie für Überwachungsprotokolle, wenn Sie Exchange-, SharePoint- oder Azure Active Directory-Überwachungsdatensätze für weniger als ein Jahr oder für 10 Jahre für einige oder alle Benutzer in Ihrem organization aufbewahren müssen. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Wichtig
Die Lebensdauer des Überwachungselements für Daten wird bestimmt, wenn die Überwachungspipeline die Daten hinzufügt, und basiert auf den Lizenzierungsstandards oder anwendbaren Aufbewahrungsrichtlinien. Änderungen an der Lizenzierung oder anwendbaren Aufbewahrungsrichtlinien ändern die Ablaufzeit der Überwachungsdaten nach der Aktualisierung. Diese Änderungen wirken sich nicht auf zuvor committete Elemente aus.
Überwachungsaktivitätseigenschaften (Premium)
Audit (Premium) unterstützt Organisationen bei der Durchführung forensischer und Complianceuntersuchungen, indem sie Zugriff auf wichtige Ereignisse bietet, z. B. wenn Benutzer auf E-Mail-Elemente zugreifen, E-Mail-Elemente beantworten und weiterleiten und in Exchange Online und SharePoint Online suchen. Diese Ereignisse können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu ermitteln. Zusätzlich zu diesen Ereignissen in Exchange und SharePoint umfassen andere Microsoft-Dienste wichtige Ereignisse, für die Benutzer die entsprechende Audit (Premium)-Lizenz zugewiesen werden müssen. Weisen Sie Benutzern eine Überwachungslizenz (Premium) zu, damit das System Überwachungsprotokolle generiert, wenn sie diese Ereignisse ausführen.
Für diese Aktivitäten müssen Sie Benutzern die entsprechende Überwachungslizenz (Premium) zuweisen. Weisen Sie Benutzern eine Überwachungslizenz (Premium) zu, damit das System Überwachungsprotokolle generiert, wenn sie diese Aktivitäten und Eigenschaften ausführen.
Audit (Premium) bietet Zugriff auf die folgenden Aktivitätseigenschaften:
Exchange Online:
| Aktivität | Eigenschaft |
|---|---|
| MailItemsAccessed | SensitivityLabel |
Microsoft Teams
| Aktivität | Eigenschaft |
|---|---|
| ChatCreated | AppAccessContext |
| ChatRetrieved | AppAccessContext |
| ChatUpdated | AppAccessContext |
| MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
| MessageCreatedNotification | AppAccessContext |
| MessageDeletedNotification | AppAccessContext |
| MessageHostedContentsListed | AppAccessContext |
| MessageHostedContentRead | AppAccessContext |
| MessagesListed | AppAccessContext |
| MessageRead | AppAccessContext |
| MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
| MessageUpdated | ParticipantInfo AppAccessContext |
| MessageUpdatedNotification | AppAccessContext |
| SubscribedToMessages | AppAccessContext |
Zugriff mit hoher Bandbreite auf die Office 365-Verwaltungsaktivitäts-API
Organisationen, die über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsprotokolle zugreifen, sahen sich auf Herausgeberebene mit Drosselungsgrenzwerten konfrontiert. Dieser Drosselungsgrenzwert bedeutete, dass, wenn ein Herausgeber Daten für mehrere Kunden pullte, alle diese Kunden denselben Grenzwert gemeinsam genutzt haben.
Mit Audit (Premium) wurde dieser Grenzwert von einem Grenzwert auf Herausgeberebene in einen Grenzwert auf Mandantenebene geändert. Jede organization erhält jetzt ein eigenes vollständig zugeordnetes Bandbreitenkontingent für den Zugriff auf ihre Überwachungsdaten. Die Bandbreite ist kein statischer, vordefinierter Grenzwert. Stattdessen wird es anhand einer Kombination von Faktoren modelliert, einschließlich der Anzahl der Sitze im organization. E5-, A5- und G5-Organisationen erhalten mehr Bandbreite als Nicht-E5-, Nicht-A5- und Nicht-G5-Organisationen.
Alle Organisationen erhalten zunächst eine Baseline von 2.000 Anforderungen pro Minute. Dieser Grenzwert wird basierend auf der Anzahl der Arbeitsplätze und des Lizenzierungsabonnements eines organization dynamisch erhöht. E5-, A5- und G5-Organisationen erhalten etwa doppelt so viel Bandbreite wie Nicht-E5-, Nicht-A5- und Nicht-G5-Organisationen. Eine Obergrenze für die maximale Bandbreite schützt die Integrität des Diensts.
Weitere Informationen finden Sie im Abschnitt zur API-Drosselung in Office 365 Referenz zur Verwaltungsaktivitäts-API.
Lizenzierungsanforderungen
Bevor Sie beginnen, überprüfen Sie die Abonnementanforderungen für Audit (Standard) und Audit (Premium).
Schulungen
Wenn Sie Ihr Sicherheitsteam, IT-Administratoren und Compliance-Prüfer in den Grundlagen für Audit (Standard) und Audit (Premium) schulen, können Sie organization schneller mit der Überwachung beginnen, um Ihre Untersuchungen zu unterstützen. Microsoft Purview bietet die folgende Ressource, um diesen Benutzern in Ihrem organization den Einstieg in die Überwachung zu erleichtern: Beschreiben der eDiscovery- und Überwachungsfunktionen von Microsoft Purview.