Beschreiben der Überwachung in Microsoft Purview

  • 4 Minuten

Überwachungslösungen in Microsoft Purview helfen Organisationen, effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Complianceverpflichtungen zu reagieren. Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen ausgeführt werden, und auch in Security Copilot (wenn aktiviert), werden erfasst, aufgezeichnet und im vereinheitlichten Überwachungsprotokoll Ihrer Organisation aufbewahrt. Überwachungsdatensätze für diese Ereignisse können von Sicherheitsmitarbeitern, IT-Administratoren, Insiderrisikoteams sowie Compliance- und Rechtsprüfern in Ihrem Unternehmen durchsucht werden. Diese Funktion bietet einen Einblick in die Aktivitäten, die in Ihrer Microsoft 365-Organisation ausgeführt werden.

Microsoft Purview stellt zwei Überwachungslösungen bereit:

  • Überwachung (Standard)
  • Überwachung (Premium)

Überwachung (Standard)

Die Überwachung (Standard) ist standardmäßig für alle Organisationen mit dem geeigneten Abonnement aktiviert und für Benutzer mit den geeigneten Berechtigungen verfügbar. Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz generiert und im Überwachungsprotokoll Ihrer Organisation gespeichert. In der Überwachung (Standard) werden Datensätze 180 Tage lang aufbewahrt. Sie können Überwachungsprotokolle abrufen, die in den meisten Microsoft 365-Diensten in Ihrer Organisation erzeugt werden, indem Sie die folgenden Methoden verwenden:

  • Das Tool für die Überwachungsprotokollsuche im Microsoft Purview-Portal.
  • Die Office 365-Verwaltungsaktivitäts-API
  • Das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell

Nachdem Sie das Überwachungsprotokoll durchsucht haben, können Sie die von der Suche zurückgegebenen Überwachungsdatensätze in eine CSV-Datei exportieren und so weitere Analysen mithilfe von Microsoft Excel oder Excel Power Query ermöglichen.

Überwachung (Premium)

Die Überwachung (Premium) baut auf den Funktionen von Überwachung (Standard) auf, indem es Richtlinien für die Aufbewahrung von Überwachungsprotokollen, eine längere Aufbewahrung von Überwachungsdatensätzen, hochwertige Intelligent Insights sowie Zugriff mit höherer Bandbreite auf die Office 365-Verwaltungsaktivitäts-API bietet.

  • Aufbewahrungsrichtlinien für Überwachungsprotokolle. Sie können benutzerdefinierte Richtlinien für die Aufbewahrung von Überwachungsprotokollen erstellen, um Überwachungsdatensätze für längere Zeiträume von bis zu einem Jahr aufzubewahren (und bis zu 10 Jahre für Benutzer mit erforderlicher Add-On-Lizenz).
  • Längere Aufbewahrung von Überwachungsdatensätzen. Microsoft Entra ID, Exchange, OneDrive und SharePoint-Überwachungsdatensätze werden standardmäßig ein Jahr aufbewahrt. Überwachungsdatensätze für alle anderen Aktivitäten werden standardmäßig 180 Tage lang aufbewahrt. Sie können aber auch Richtlinien für die Aufbewahrung von Überwachungsprotokollen verwenden, um längere Aufbewahrungsfristen zu konfigurieren.
  • Überwachung (Premium) Intelligent Insights. Überwachungsdatensätze für Intelligent Insights können Ihrer Organisation helfen, forensische und Konformitätsuntersuchungen durchzuführen, indem sie Sichtbarkeit in Ereignisse bereitstellen, z. B. wann auf E-Mail-Elemente zugegriffen wurde, wann E-Mail-Elemente beantwortet und weitergeleitet wurden oder wann und wonach ein Benutzer in Exchange Online und SharePoint Online gesucht hat. Diese Intelligent Insights können Ihnen helfen, mögliche Sicherheitsverletzungen zu untersuchen und den Umfang der Kompromittierung zu bestimmen.
  • Höhere Bandbreite zur Office 365-Verwaltungsaktivitäts-API. Audit (Premium) bietet Organisationen mehr Bandbreite für den Zugriff auf Überwachungsprotokolle über die Office 365-Verwaltungsaktivitäts-API.

Lizenzierung

Die Lizenzierung für Audit (Standard) und Audit (Premium) erfordert das entsprechende Abonnement auf Organisationsebene sowie entsprechende Lizenzierung pro Benutzer. Weitere Informationen zu den Lizenzierungsanforderungen finden Sie im Abschnitt „Weitere Informationen“ in der Zusammenfassungs- und Ressourceneinheit.

Überwachungsprotokoll in Microsoft Purview für Security Copilot

Die Funktion „Überwachungsprotokollierung“ in Security Copilot verwendet Microsoft Purview zur Verarbeitung und Speicherung von Aktionen von Administrierenden und Benutzenden sowie von Copilot-Antworten. Dazu gehören Daten aus allen Microsoft- und Nicht-Microsoft-Integrationen.

Über das Microsoft Security Copilot-Portal (die eigenständige Erfahrung) können Copilot-Besitzende Microsoft Purview erlauben, auf Kundendaten Ihrer Security Copilot-Dienste zuzugreifen, sie zu verarbeiten, zu kopieren und zu speichern. Sobald dieses Feature in Copilot aktiviert ist, ist keine weiteren Aktionen erforderlich, wenn Ihre Organisation bereits Microsoft Purview verwendet. Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn Sie jedoch eine neue Microsoft 365-Organisation einrichten, sollten Sie den Überwachungsstatus für Ihre Organisation überprüfen. Wenn Ihre Organisation Microsoft Purview noch nicht verwendet, muss die Überwachungsprotokollierung bereitgestellt werden. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Microsoft Purview speichert Ihre Kundendaten in der Region, in der Ihre Microsoft 365-Daten gespeichert sind. Weitere Informationen finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.