Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anleitungen für organisationen der australischen Regierung zum Microsoft 365-Überwachungsprotokoll. Es soll Regierungsorganisationen dabei helfen, ihre Sicherheits- und Compliancereife zu erhöhen und gleichzeitig die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Das Microsoft 365-Überwachungsprotokoll ist ein einheitlicher Protokollierungsdienst, der Ereignisse von mehreren Diensten und Anwendungen auf der gesamten Microsoft 365-Plattform erfasst. Es bietet einen einzigen Speicherort zum Anzeigen von Überwachungsdaten für Microsoft 365-Dienste wie Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI und mehr.
Das Überwachungsprotokoll kann verwendet werden, um Benutzer- und Administratoraktivitäten in Ihrem organization zu verfolgen, einschließlich Aktivitäten im Zusammenhang mit der Vertraulichkeitsbezeichnung. Informationen zu den Microsoft Purview- und DLP-Ereignissen (Data Loss Prevention), die im Überwachungsprotokoll erfasst werden, finden Sie unter Microsoft Purview-Überwachungsprotokollaktivitäten über Microsoft 365 Management.
Das Überwachungsprotokoll ist für Microsoft Purview-Bereitstellungen wichtig:
- Im Überwachungsprotokoll werden Entscheidungen darüber beibehalten, wer Bezeichnungen auf Elemente angewendet hat.
- Das Überwachungsprotokoll speichert Informationen zu Bezeichnungsänderungen, einschließlich der Begründungen für Bezeichnungsänderungen.
- Das Überwachungsprotokoll enthält Informationen zu ein- und ausgehenden Elementen.
- Das Überwachungsprotokoll bietet Einblick in Ereignisse für längere Zeiträume als andere Berichtsspeicherorte, an denen Microsoft 365-Aktivitäten sichtbar sind (z. B. sind Ereignisse 30 Tage lang im Aktivitäts-Explorer sichtbar).
Aufbewahrungsanforderungen für Überwachungsprotokolle
Die Notwendigkeit einer erweiterten Aufbewahrung wird durch die folgende ISM-Anforderung abgedeckt:
| Anforderung | Detail |
|---|---|
| ISM-1988 (März 2025) | Ereignisprotokolle werden mindestens 12 Monate lang auf durchsuchbare Weise aufbewahrt. |
Die Standarddauer, für die Überwachungsprotokolldaten aufbewahrt werden, ist an die Microsoft 365-Lizenzierungsebene gebunden. Organisationen mit E3-Lizenzen verfügen über eine Überwachungsprotokollaufbewahrung für 90 Tage. Organisationen mit E5-Lizenzierung haben eine Einjahresaufbewahrung für Microsoft Entra, Exchange Online, OneDrive und SharePoint. Daher sind Organisationen mit E5-Lizenzierung in der Lage, ISM-1998 zu erfüllen.
ISM-1989 ist auch für die Microsoft 365-Überwachungsprotokollierung relevant:
| Anforderung | Detail |
|---|---|
| ISM-1989 (März 2025) | Ereignisprotokolle werden gemäß den Mindestaufbewahrungsanforderungen für verschiedene Datensatzklassen aufbewahrt, wie in der Veröffentlichung der AfDA Express Version 2 (Administrative Functions Disposal Authority Express) des National Archives of Australia festgelegt. |
AFDA Express-Anforderungen finden Sie unter AFDA Express Version 2 – Technology & Information Management.
AFDA Express gibt folgendes an:
Das Handbuch zur Informationssicherheit weist darauf hin, dass Ereignisprotokolle als integraler Bestandteil von Ereignisüberwachungsaktivitäten für die Lebensdauer von Systemen oder potenziell länger aufbewahrt werden sollten, sofern dies für eine Behörde praktisch ist und dem Risikomanagementrahmen der Agentur für Informationssysteme angemessen ist.
Die AFDA Express-Klassennummer 62625 kann auch für die Aufbewahrung von Microsoft 365-Protokollen relevant sein:
| Anforderung | Detail | Entsorgungsaktion |
|---|---|---|
| AFDA Express-Klasse 62625 | Aufzeichnungen zur Dokumentation von routinebetriebstechnischen Verwaltungsaufgaben zur Unterstützung der (Geschäfts-)Funktion sowie der Technologie- und Informationsmanagement-Aktivitäten | 7 Jahre nach Abschluss der Aktion zerstören |
Organisationen sollten ihre Protokollaufbewahrungsanforderungen sorgfältig abwägen und entscheiden, ob ein Mechanismus zur weiteren Aufbewahrung der Microsoft 365-Überwachungsprotokollierung erforderlich ist.
Aufbewahrungsrichtlinien für Überwachungsprotokolle können verwendet werden, um die Aufbewahrung von Überwachungsinformationen für eine Reihe von Aktivitäten zu erweitern. Dies kann verwaltungstechnische Funktionen umfassen. Überwachungsrichtlinien können so konfiguriert werden, dass Überwachungsinformationen bis zu 10 Jahre lang aufbewahrt werden.
Für die langfristige Aufbewahrung von Überwachungsinformationen sind Überwachungslizenzen (Premium) erforderlich. Weitere Informationen zur Aufbewahrung von Überwachungsprotokollen finden Sie unter Überwachungslösungen in Microsoft Purview.
SIEM-Integration
Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEMs) sollen organization dabei helfen, Sicherheitsbedrohungen zu erkennen, zu analysieren und darauf zu reagieren, bevor sie den Geschäftsbetrieb beeinträchtigen. SIEMs erfassen Protokollinformationen und ermöglichen die Analyse von Ereignissen. SIEMs werden verwendet, um die Geschwindigkeit der Bedrohungserkennung zu erhöhen, Sicherheitsvorfälle, Ereignisverwaltung und Compliance zu unterstützen.
Microsoft Sentinel ist eine skalierbare, cloudnative SIEM-Lösung, die eine intelligente und umfassende Lösung für SIEM und Sicherheitsorchestrierung, Automatisierung und Reaktion (SECURITY Orchestration, Automation, and Response, SOAR) bereitstellt. Dies bedeutet, dass Microsoft Purview-Ereignisse, die in Microsoft Sentinel (oder einem gleichwertigen SIEM) erfasst werden, einfach analysiert werden können und erweiterte Berichte erstellen können.
Weitere Informationen dazu, wie Microsoft Sentinel für die Erfassung von Microsoft 365-Überwachungsprotokolldaten konfiguriert werden kann, finden Sie unter Verwenden Office 365 Überwachungsdaten mit Microsoft Sentinel.