Freigeben über

Prüfprotokoll für Microsoft Sentinel Data Lake und Graph im Microsoft Purview-Portal

Das Überwachungsprotokoll hilft Ihnen, bestimmte Aktivitäten in Microsoft-Diensten zu untersuchen. Microsoft Sentinel-Datensee- und Diagrammaktivitäten werden überwacht und können im Überwachungsprotokoll durchsucht werden. Das Prüfprotokoll stellt einen Datensatz von Aktivitäten bereit, die von Benutzern und Administratoren im Microsoft Sentinel Data Lake und Graph ausgeführt werden, wie z. B.:

  • Zugreifen auf Daten im See über KQL-Abfragen
  • Ausführen von Notebooks im Data Lake
  • Erstellen/Bearbeiten/Ausführen/Löschen von Aufträgen
  • Ausführen einer Diagrammabfrage
  • Erstellen und Ausführen von MCP-Tools

Die Überwachung wird automatisch für Microsoft Sentinel Data Lake und Graph aktiviert. Features, die überwacht werden, werden automatisch im Überwachungsprotokoll protokolliert.

Voraussetzungen

Microsoft Sentinel Data Lake und Graph verwendet die Microsoft Purview-Überwachungslösung. Bevor Sie sich die Überwachungsdaten ansehen können, müssen Sie die Überwachung im Microsoft Purview-Portal aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Um auf das Überwachungsprotokoll zuzugreifen, müssen Sie über die Rolle Schreibgeschützte Überwachungsprotokolle oder Überwachungsprotokolle in Exchange Online verfügen. Standardmäßig werden diese Rollen den Rollengruppen „Complianceverwaltung“ und „Organisationsverwaltung“ zugewiesen.

Hinweis

Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe „Organisationsverwaltung“ in Exchange Online hinzugefügt.

Von Bedeutung

Globaler Administrator ist eine Rolle mit umfangreichen Berechtigung, die auf Szenarien beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können. Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Die Verwendung von Konten mit weniger Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei.

Microsoft Sentinel-Datensee- und Diagrammaktivitäten

Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Sentinel Data Lake protokolliert werden, finden Sie in den folgenden Artikeln:

Ausführliche Informationen zum Überwachungsprotokollschema finden Sie unter Microsoft Sentinel-Datensee und -Diagrammschema.

Durchsuchen des Überwachungsprotokolls

Führen Sie die folgenden Schritte aus, um das Überwachungsprotokoll zu durchsuchen:

  1. Navigieren Sie zum Microsoft Purview-Portal , und wählen Sie "Überwachen" aus.

  2. Filtern Sie auf der Seite Neue Suche die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.

  3. Wählen Sie Suchen aus.

    Screenshot der einheitlichen Überwachungsprotokollseite.

  4. Exportieren Sie Ihre Ergebnisse zur weiteren Analyse nach Excel.

Schrittweise Anleitungen finden Sie unter Durchsuchen der Überwachungsanmeldung im Microsoft Purview-Portal.

Die Aufbewahrung von Überwachungsprotokoll-Datensätzen basiert auf Microsoft Purview-Aufbewahrungsrichtlinien. Weitere Informationen finden Sie unter Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Suchen nach Ereignissen mithilfe eines PowerShell-Skripts

Sie können den folgenden PowerShell-Codeschnipsel verwenden, um die Office 365-Verwaltungs-API abzufragen und Informationen zu Microsoft Defender XDR-Ereignissen abzurufen:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Hinweis

Siehe die API-Spalte in Überwachungsaktivitäten, die für die Datensatztypwerte enthalten sind.

Weitere Informationen finden Sie unter Verwenden eines PowerShell-Skripts zum Durchsuchen des Überwachungsprotokolls

Siehe auch

  • Last updated on