O365 Audit Log: 15 Dinge, die Sie wissen müssen

Dieser Artikel beschreibt die Übersicht über das O365-Überwachungsprotokoll und seine Funktionen zum Nachverfolgen von Benutzer- und Verwaltungsaktivitäten innerhalb des Microsoft 365-Mandanten, z. B. Änderungen an den Konfigurationseinstellungen des Exchange Online- und SharePoint Online-Mandanten sowie Änderungen von Benutzern an Dokumenten und anderen Elementen. Administratoren können die in Microsoft 365 verfügbaren Überwachungsinformationen verwenden, um Compliance-Verpflichtungen zu erfüllen.

1 Postfachüberwachung

1.1 Stellen Sie sicher, dass die standardmäßig aktivierte Postfachüberwachung aktiviert ist

1.2 Postfachaktionen für Microsoft 365-Gruppenpostfächer

1.3 Deaktivieren Sie die Postfachüberwachung standardmäßig

1.4 Prüfprotokoll

1.5 Schalten Sie die Überwachung ein

1.5.1 Verwenden Sie PowerShell, um die Überwachung zu aktivieren

1.6 Postfachüberwachung aktivieren

1.7 Postfachüberwachung für bestimmte Postfächer deaktivieren

2 Exchange Online-Prüfberichte

3 O365-Auditprotokolle Powershell

4 Wie kann ich Überwachungsprotokollberichte in SharePoint Online anzeigen?

5 API für O365-Auditprotokolle

6 Zusammenfassung

Postfachüberwachung

Microsoft aktiviert die Postfachüberwachungsprotokollierung standardmäßig für alle Organisationen. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretern und Administratoren ausgeführt werden, automatisch protokolliert werden und die entsprechenden Postfachüberwachungsdatensätze verfügbar sind, wenn Sie im Postfachüberwachungsprotokoll danach suchen. Bevor die Postfachüberwachung standardmäßig aktiviert wurde, mussten Sie sie für jedes Benutzerpostfach in Ihrer Organisation manuell aktivieren.

Hier sind einige Vorteile der standardmäßig aktivierten Postfachüberwachung:

• Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen. Sie müssen es für neue Benutzer nicht manuell aktivieren.
• Sie müssen die überwachten Postfachaktionen nicht verwalten. Ein vordefinierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Admin, Delegate und Owner) überwacht.
• Wenn Microsoft eine neue Postfachaktion veröffentlicht, wird die Aktion möglicherweise automatisch zur Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden (sofern der Benutzer über die entsprechende Lizenz verfügt). Dies bedeutet, dass Sie das Hinzufügen neuer Aktionen für Postfächer nicht überwachen müssen.
• Sie verfügen über eine konsistente Postfachüberwachungsrichtlinie in Ihrer gesamten Organisation (weil Sie dieselben Aktionen für alle Postfächer überwachen).

Stellen Sie sicher, dass die standardmäßig aktivierte Postfachüberwachung aktiviert ist

Um zu überprüfen, ob die standardmäßig aktivierte Postfachüberwachung für Ihre Organisation aktiviert ist, führen Sie den folgenden Befehl in  Exchange Online PowerShell aus :

Get-OrganizationConfig | FL AuditDeaktiviert

Der Wert  False  gibt an, dass die Postfachüberwachung standardmäßig für die Organisation aktiviert ist. Dieser standardmäßig aktivierte Organisationswert überschreibt die Postfachüberwachungseinstellung für bestimmte Postfächer. Wenn beispielsweise die Postfachüberwachung für ein Postfach deaktiviert ist (die  AuditEnabled-  Eigenschaft für das Postfach ist  False  ), werden die standardmäßigen Postfachaktionen weiterhin für das Postfach überwacht, da die Postfachüberwachung standardmäßig für die Organisation aktiviert ist.

Um die Postfachüberwachung für bestimmte Postfächer deaktiviert zu lassen, konfigurieren Sie die Umgehung der Postfachüberwachung für den Postfachbesitzer und andere Benutzer, denen der Zugriff auf das Postfach delegiert wurde. Weitere Informationen finden Sie unter Umgehen der  Postfachüberwachungsprotokollierung .

Postfachaktionen für Microsoft 365-Gruppenpostfächer

Die standardmäßig aktivierte Postfachüberwachung bringt die Postfachüberwachungsprotokollierung in Microsoft 365-Gruppenpostfächer, aber Sie können nicht anpassen, was protokolliert wird (Sie können keine Postfachaktionen hinzufügen oder entfernen, die für einen beliebigen Anmeldetyp protokolliert werden). Denken Sie daran, dass ein Administrator mit der Berechtigung „Voller Zugriff“ auf ein Microsoft 365-Gruppenpostfach als Stellvertretung betrachtet wird.

Deaktivieren Sie die Postfachüberwachung standardmäßig

Sie können die Postfachüberwachung standardmäßig für Ihre gesamte Organisation deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

Set-OrganizationConfig -AuditDisabled $true

Das standardmäßige Deaktivieren der Postfachüberwachung hat die folgenden Ergebnisse:

• Die Postfachüberwachung ist für Ihre Organisation deaktiviert.
• Ab dem Zeitpunkt, an dem Sie die Postfachüberwachung standardmäßig deaktiviert haben, werden keine Postfachaktionen überwacht, selbst wenn die Überwachung für ein Postfach aktiviert ist (die  Eigenschaft AuditEnabled  für das Postfach ist  True ).
• Die Postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der  AuditEnabled-  Eigenschaft für ein neues oder vorhandenes Postfach auf  True  wird ignoriert.
• Alle Zuordnungseinstellungen für die Umgehung der Postfachüberwachung (konfiguriert mit dem  Cmdlet Set-  MailboxAuditBypassAssociation) werden ignoriert.
• Vorhandene Postfachüberwachungsdatensätze werden aufbewahrt, bis die Altersgrenze für das Überwachungsprotokoll für den Datensatz abläuft.

Audit-Log

Für die Compliance in Microsoft 365 ist das Audit Log wohl das wichtigste Tool überhaupt. Es verfolgt jede Benutzer- und Kontoaktion über alle Microsoft 365-Dienste hinweg. Sie können Berichte über Löschungen, Freigaben, Downloads, Bearbeitungen, Lesevorgänge usw. für alle Benutzer und alle Produkte ausführen. Sie können auch benutzerdefinierte Benachrichtigungen einrichten, um Benachrichtigungen zu erhalten, wenn bestimmte Aktivitäten auftreten.

Bei aller Nützlichkeit ist das Erstaunlichste daran, dass es nicht standardmäßig aktiviert ist.

Es kann frustrierend sein, wenn Sie auf eine Abfrage oder ein Problem stoßen, das leicht gelöst werden könnte, wenn Sie Zugriff auf die Protokolle hätten, nur um herauszufinden, dass sie überhaupt nicht aktiviert wurden. Hier erfahren Sie, wie Sie es in Ihrer eigenen Organisation einrichten.

Schalten Sie die Überwachung ein

Sie (oder ein anderer Administrator) müssen die Überwachungsprotokollierung aktivieren, bevor Sie mit der Suche im Überwachungsprotokoll beginnen können.

• Gehen Sie zum Compliance-Portal von Microsoft Purview .
• Klicken Sie im linken Navigationsbereich des Compliance-Portals auf  Audit .
• Wenn die Überwachung für Ihre Organisation nicht aktiviert ist, wird ein Banner angezeigt, das Sie auffordert, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen.

• Klicken Sie auf das   Banner Aufzeichnung von Benutzer- und Administratoraktivitäten starten . Es kann bis zu 60 Minuten dauern, bis die Änderung wirksam wird.

Verwenden Sie PowerShell, um die Überwachung zu aktivieren

• Verbinden Sie sich als Administrator über PowerShell mit Exchange Online .
• Stellen Sie sicher, dass Ihr Microsoft 365-Mandant für das Unified Audit Log bereit ist, indem Sie die Organisationsanpassung aktivieren:

Enable-OrganizationCustomization

Führen Sie den folgenden Befehl aus, um das einheitliche Überwachungsprotokoll zu aktivieren:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Postfachüberwachung aktivieren

Um die Überwachung für ein einzelnes Postfach zu aktivieren, verwenden Sie den PowerShell-Befehl:

Set-Mailbox -Identity "Test 12" -AuditEnabled $true

Um die Überwachung für alle Postfächer in Ihrer Organisation zu aktivieren, verwenden Sie den PowerShell-Befehl:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq „UserMailbox“} | Set-Mailbox -AuditEnabled$true

Um zu bestätigen, ob Sie das Audit erfolgreich aktiviert haben oder nicht, müssen Sie den Befehl „ Get-Mailbox “ in Exchange Online ausführen. Der Wert „ True “ der AuditEnabled-Eigenschaft bestätigt, dass Sie die Postfachüberwachungsprotokollierung erfolgreich aktiviert haben.

Deaktivieren Sie die Postfachüberwachung für bestimmte Postfächer

Derzeit können Sie die Postfachüberwachung für bestimmte Postfächer nicht deaktivieren, wenn die Postfachüberwachung standardmäßig in Ihrer Organisation aktiviert ist. Beispielsweise wird das Festlegen der   Postfacheigenschaft  AuditEnabled auf False  ignoriert.

Sie können jedoch weiterhin das  Cmdlet Set-  MailboxAuditBypassAssociation in Exchange Online PowerShell verwenden, um zu verhindern,  dass alle  Postfachaktionen der angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen stattfinden. Zum Beispiel:

• Postfachbesitzeraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.
• Stellvertretungsaktionen, die von den umgangenen Benutzern an den Postfächern anderer Benutzer (einschließlich freigegebener Postfächer) ausgeführt werden, werden nicht protokolliert.
• Von den umgangenen Benutzern ausgeführte Administratoraktionen werden nicht protokolliert.

So umgehen Sie die Postfachüberwachungsprotokollierung für einen bestimmten Benutzer:

Set-MailboxAuditBypassAssociation -Identity „Mailbox“ -AuditByPassEnabled $true

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird:

Get-MailboxAuditBypassAssociation „Mailbox“ | fl auditb*

Der Wert  True  gibt an, dass die Postfachüberwachungsprotokollierung für den Benutzer umgangen wird.

Exchange Online-Audit-Berichte

Exchange Online-Überwachungsberichte enthalten Details zum Postfachzugriff und Änderungen, die von Administratoren am Exchange Online-Mandanten einer Organisation vorgenommen wurden.

• Postfachzugriffsbericht für Nicht-Besitzer ausführen : Zeigt die Liste der Postfächer an, auf die jemand anderes als der Besitzer des Postfachs zugegriffen hat. Der Bericht enthält Informationen darüber, wer auf das Postfach zugegriffen hat, welche Aktionen er im Postfach durchgeführt hat und ob die Aktionen erfolgreich waren oder nicht.
• Postfachüberwachungsprotokolle exportieren : Postfachüberwachungsprotokolle enthalten Informationen zum Zugriff und zu Aktionen in einem Postfach, die von einem anderen Benutzer als dem Postfachbesitzer durchgeführt wurden. Administratoren können Postfächer zusammen mit einem Datumsbereich angeben, um Berichte zu generieren. Die Protokolle werden in XML exportiert, an eine Nachricht angehängt und an bestimmte, vom Administrator festgelegte Benutzer gesendet.
• Einen Administratorrollengruppenbericht ausführen : Die Administratorrollengruppe wird verwendet, um Benutzern Administratorrechte zuzuweisen. Mit diesen Rechten können Benutzer administrative Aufgaben wie das Zurücksetzen von Kennwörtern ausführen, Postfächer erstellen oder ändern und anderen Benutzern Administratorrechte zuweisen. Der Admin-Rollengruppenbericht zeigt Änderungen an Rollengruppen an, einschließlich des Hinzufügens oder Entfernens von Mitgliedern.
• Anzeigen des Admin-Überwachungsprotokolls : Der Admin-Überwachungsprotokollbericht listet alle Erstellungs-, Aktualisierungs- und Löschfunktionen auf, die von Administratoren in Exchange Online ausgeführt werden. Protokolleinträge enthalten Informationen darüber, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen waren.
• Exportieren Sie das Administrator-Überwachungsprotokoll : Das Administrator-Überwachungsprotokoll zeichnet bestimmte Verwaltungsaktionen wie Erstellen, Aktualisieren und Löschen in Exchange Online auf. Die Ergebnisse aus dem Protokoll werden in XML exportiert und Administratoren können dieses Protokoll an eine Gruppe von Benutzern senden.
• Prüfprotokoll für externe Administratoren anzeigen und exportieren : Enthält Details zu Aktionen, die von externen Administratoren durchgeführt wurden. Die Einträge enthalten Informationen darüber, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden und welche Aktionen Objekte in Exchange Online erstellen, ändern oder löschen.

O365-Auditprotokolle Powershell

So durchsuchen Sie eine Postfachüberwachung:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021

So exportieren Sie Ergebnisse in eine CSV-Datei:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

So zeigen Sie Protokolle basierend auf Vorgängen an und exportieren sie :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

So zeigen Sie Protokolle basierend auf Anmeldetypen an und exportieren sie :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01.01.2021 -EndDate 31.01.2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

So durchsuchen Sie das einheitliche Überwachungsprotokoll:

Search-UnifiedAuditLog -StartDate 01.01.2021 -EndDate 31.01.2021 -RecordType SharePointFileOperation

So exportieren Sie bestimmte Eigenschaften des einheitlichen Überwachungsprotokolls in eine CSV-Datei:

$Auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Pfad c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

So zeigen Sie Änderungen an Transportregeln an :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01.01.2021 -EndDate 31.01.2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01.01.2021 -EndDate 31.01.2021

So zeigen Sie Änderungen an Spamfiltern an :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021

So überprüfen Sie die Änderungen des Verbindungsfilters:

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021

Wie kann ich Überwachungsprotokollberichte in SharePoint Online anzeigen?

Die Prüfung Ihrer SharePoint Online-Umgebung hilft Ihnen, sicher zu bleiben und die Anforderungen der gesetzlichen Vorschriften zu erfüllen. So zeigen Sie die Überwachungsberichte an, die Ihr natives SharePoint Online-Tool bereitstellt:

• Melden Sie sich bei SharePoint Online an.
• Klicken Sie auf das Einstellungssymbol „Einstellungen“ und dann auf „Site-Einstellungen“.
• Klicken Sie im Abschnitt Websitesammlungsverwaltung auf Überwachungsprotokollberichte.
• Wählen Sie den gewünschten Bericht (z. B. Löschung) auf der Seite „Überwachungsberichte anzeigen“ aus.
• Geben Sie eine URL ein oder navigieren Sie zu der Bibliothek, in der Sie den Bericht speichern möchten, und klicken Sie dann auf OK.
• Wählen Sie auf der Seite Vorgang erfolgreich abgeschlossen die Option Klicken Sie hier, um diesen Bericht anzuzeigen.

Mit SharePoint-Überwachungsprotokollberichten können Sie alle Aktivitäten in Ihrer SharePoint-Umgebung analysieren.

API für O365-Audit-Protokolle

Microsoft stellt Berichtsdienste bereit, die es Administratoren ermöglichen, aggregierte Transaktionsinformationen über ihren Microsoft 365-Mandanten zu erhalten. Die Microsoft 365-Verwaltungsaktivitäts-API verwendet ein branchenübliches RESTful-Design und OAuth v2 für die Authentifizierung, was das Experimentieren mit dem Abrufen von Daten und deren Aufnahme in Visualisierungstools und -anwendungen erleichtert.

Die API stellt einen Datenfeed bereit, der Informationen zu Benutzer-, Administrator-, Betriebs- und Sicherheitsaktivitäten in Microsoft 365 enthält. Die Daten können für regulatorische Zwecke aufbewahrt oder mit Protokolldaten kombiniert werden, die aus einer lokalen Infrastruktur oder anderen Quellen bezogen werden, um eine zu erstellen Überwachungslösung für Betrieb, Sicherheit und Compliance im gesamten Unternehmen.

Die Management Activity API bietet derzeit eine umfassende Ansicht von über 150 Transaktionstypen aus SharePoint Online, OneDrive for Business, Exchange Online und Azure AD. Die API bietet ein konsistentes Prüfschema mit über 10 Feldern, die allen Diensten gemeinsam sind.

Auf diese Weise können Organisationen einfache Verbindungen zwischen Ereignissen herstellen und neue Wege eröffnen, um über die Daten nachzudenken. Dutzende unabhängiger Softwareanbieter (ISVs) haben sich mit Microsoft zusammengetan und auf der API basierende Lösungen entwickelt. Einige Lösungen konzentrieren sich ausschließlich auf Microsoft 365-Daten, während andere die Möglichkeit bieten, Daten von mehreren Cloud-Anbietern und lokalen Systemen aufzunehmen, um eine einheitliche Ansicht aller Vorgänge, Sicherheit und Compliance-bezogenen Aktivitäten zu erstellen. Weitere Informationen finden Sie in der Referenz zur Microsoft 365-Verwaltungsaktivitäts-API .

Lesen Sie auch : Microsoft Cloud App Security: The Definitive Guide

Zusammenfassung

Das O365-Überwachungsprotokoll enthält mehrere Funktionen im Security Center und programmgesteuerte Methoden zum Abrufen und Analysieren von Protokolldaten mithilfe von Remote-PowerShell und einer Webdienst-REST-API. Administratoren können die Überwachungsfunktionen in Microsoft Microsoft 365 verwenden, um Änderungen an wichtigen Mandanten- und Dienstkonfigurationselementen, Dokumenten und anderen Elementen nachzuverfolgen.