So konfigurieren Sie das Office 365 Audit Log

Microsoft Office 365 ist ein robustes und vielfältiges Ökosystem, das mehrere Dienste umfasst, wie Microsoft Teams, Exchange Online, Azure AD, SharePoint Online und OneDrive for Business. Es gibt viel zu überwachen, und globale Administratoren müssen oft mehrere Sub-Admins und manchmal Tausende von Benutzern beaufsichtigen.

Office 365-Auditprotokolle helfen Ihnen, die Aktivitäten von Administratoren und Benutzern nachzuverfolgen, einschließlich der Frage, wer auf bestimmte Dokumente zugreift, sie anzeigt oder verschiebt und wie Ressourcen genutzt werden. Diese Protokolle sind unerlässlich für die Untersuchung von Sicherheitsvorfällen und die Demonstration von Compliance. Allerdings haben die nativen Protokolle mehrere Einschränkungen, sodass normalerweise zusätzliche Dienste erforderlich sind, um Aktivitäten effektiv zu überwachen, Systeme sicher zu halten und die regulatorische Compliance sicherzustellen.

So richten Sie das Audit-Logging für Office 365 ein

Die native Protokollüberwachung ist standardmäßig nicht aktiviert. Um die native Protokollüberwachung zu aktivieren:

1. Navigieren Sie zum Office 365 Security & Compliance Center.
2. Gehen Sie zu „Suche“ und dann zu „Audit-Protokollsuche.“
3. Klicken Sie auf „Überwachung aktivieren.“

Alternativ können Sie die Protokollüberwachung mit diesem PowerShell-Befehl aktivieren:

      Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
      

Die Protokollierung von Überprüfungen für Power BI und andere Hilfsanwendungen ist standardmäßig ebenfalls nicht aktiviert; Sie müssen diese in den separaten Admin-Portalen aktivieren, um diese Überprüfungsprotokolle zu erhalten.

Überprüfen Sie Ihre Lizenzanforderungen, um zu sehen, wie lange Ihre Protokolldaten gespeichert werden können. Beispielsweise liegt die Obergrenze derzeit bei 90 Tagen für eine Office 365 E3-Lizenz und einem Jahr für eine Office 365 E5-Lizenz.

So führen Sie eine Audit-Protokollsuche durch

Voraussetzungen

Bevor Sie eine Überprüfung der Audit-Protokolle durchführen können, muss ein Administrator Ihrem Konto Berechtigungen zuweisen, entweder „View-Only Audit Logs“ oder „Audit Logs“.

Es kann mehrere Stunden dauern, von dem Zeitpunkt an, an dem Sie die Protokollüberwachung aktivieren, bis Sie eine Überwachungsprotokollsuche durchführen können.

Beachten Sie, dass eine einheitliche Überprüfung des Audit-Logs Analysen aus mehreren Office 365-Diensten in einem einzigen Protokollbericht zusammenfasst, dessen Erstellung zwischen 30 Minuten und 24 Stunden dauern kann.

Verfahren

Um eine Überprüfung des Audit-Logs durchzuführen, gehen Sie wie folgt vor:

1. Anmelden.

Melden Sie sich an unter https://protection.office.com.

Tipp: Um zu verhindern, dass Ihre aktuellen Anmeldeinformationen automatisch verwendet werden, öffnen Sie eine private Browsersitzung:

• Drücken Sie in Internet Explorer oder Edge STRG+UMSCHALT+P.
• Bei den meisten anderen Browsern drücken Sie STRG+UMSCHALT+N.

2. Starten Sie eine neue Suche.

Im Security & Compliance Center klicken Sie im linken Bereich auf „Suche“. Wählen Sie dann „Audit log search“.

3. Konfigurieren Sie Ihre Suchkriterien.

Die Hauptkriterien, die anzugeben sind, sind:

• Aktivitäten — Sehen Sie sich Microsofts Liste der geprüften Aktivitäten an. Es gibt über 100, daher hat Microsoft sie in verwandte Aktivitäten gruppiert. Wenn Sie dies nicht eingrenzen, wird Ihr Auditbericht alle Aktivitäten umfassen, die im angegebenen Zeitraum durchgeführt wurden.
• Daten — Der Standardzeitraum sind die letzten sieben Tage, aber Sie können Ihre Suche auf jeden Zeitraum innerhalb der letzten 90 Tage konfigurieren.
• Benutzer — Geben Sie an, welchen Benutzer oder welche Benutzergruppe Sie in Ihren Bericht aufnehmen möchten.
• Ort — Wenn Sie die Suche auf eine bestimmte Datei, einen Ordner oder eine Website beschränken möchten, geben Sie einen Ort oder ein Stichwort ein.

Weitere Suchkriterien umfassen:

• Aktivitäten im Zusammenhang mit einer Website — Fügen Sie nach der URL einen Stern hinzu, um alle Einträge für diese Seite zurückzugeben. Zum Beispiel „https://contoso-my.sharepoint.com/personal/*“.
• Aktivitäten in Bezug auf eine bestimmte Datei — Fügen Sie ein Sternchen vor den Dateinamen ein, um alle Einträge für diese Datei zurückzugeben. Zum Beispiel „*Customer_Profitability_Sample.csv“.

4. Filtern Sie die Suchergebnisse.

Die Optionen für die Suchkriterien sind für einen Überblick hilfreich, aber das Filtern der Suchergebnisse wird Ihnen helfen, effektiver durch die Daten zu gehen. Sie können Schlüsselwörter, spezifische Daten, Benutzer, Elemente oder andere Details eingeben.

Beachten Sie außerdem, dass die Suche auf die 5.000 neuesten Ereignisse begrenzt ist. Wenn Ihre Suche genau 5.000 Einträge zurückgibt, haben Sie wahrscheinlich das Maximum der Suchergebnisse erreicht. Verfeinern Sie Ihre Suche weiter, um sicherzustellen, dass Sie alle relevanten Daten innerhalb Ihres Datums- und Zeitbereichs sehen, ohne wichtige Informationen zu verpassen.

Alternativ können Sie einen Bericht mit Rohdaten erstellen, die Ihren Suchkriterien entsprechen, indem Sie die Daten in eine CSV-Datei ziehen. Dadurch können Sie bis zu 50.000 Ereignisse herunterladen statt nur 5.000. Um mehr als 50.000 Ereignisse zu generieren, arbeiten Sie in kleineren Datumsbereichen und fügen Sie die Ergebnisse manuell zusammen.

5. Speichern Sie Ihre Ergebnisse.

Um Ihre Ergebnisse zu speichern, klicken Sie auf „Export results“ und wählen Sie „Save loaded results“, um eine CSV-Datei mit Ihren Daten zu erstellen. Sie können Microsoft Excel verwenden, um auf die Datei zuzugreifen oder die Ergebnisse als Bericht zu teilen.

Sie werden eine Spalte mit dem Namen „AuditData“ sehen, die aus einem JSON-Objekt besteht, das mehrere Eigenschaften aus dem Audit-Log-Datensatz enthält. Um das Sortieren und Filtern dieser Eigenschaften zu ermöglichen, verwenden Sie das JSON-Transformationswerkzeug im Power Query-Editor von Excel, um die Spalte „AuditData“ aufzuteilen und jeder Eigenschaft ihre eigene Spalte zu geben.

Siehe Exportieren, konfigurieren und anzeigen von Audit-Protokolldatensätzen für weitere Informationen.

Einschränkungen der nativen Audit-Log-Suchen in Office 365

Manuelles Durchsuchen der Überwachungsprotokolle in Office 365 ist oft schwierig und zeitaufwendig. Die Suchwerkzeuge sind hilfreich, aber bedenken Sie die folgenden Nachteile, wenn Sie entscheiden, wie Sie die Überwachung in Ihrer Organisation handhaben möchten:

• Es ist schwierig, abweichende Aktivitäten zu erkennen – Man benötigt ein geschultes Auge, um Daten zu interpretieren, besonders wenn man sich eines Problems mit einem bestimmten Benutzer oder einer Datei noch nicht bewusst ist.
• Es ist schwierig, Ihre Audit-Daten sicher zu halten — Detaillierte Daten zu jedem Ereignis in Ihrem System sind hochsensible Informationen. Obwohl die Standardexportoptionen praktisch sind, machen sie Ihre Dateien anfälliger.
• Das Erstellen von benutzerfreundlichen Berichten ist sehr schwierig — Um einen Bericht zu erhalten, müssen Sie bestimmte Audit-Daten in eine CSV-Datei exportieren, die dann sortiert und interpretiert werden muss, bevor sie umsetzbar wird.
• Sie haben begrenzte Filteroptionen — Die native Überwachungsprotokollsuche bietet keine umfassenden Filteroptionen, was es schwieriger macht, Erkenntnisse zu gewinnen und das Gesuchte zu finden.
• Es gibt nur wenige vordefinierte Protokollberichte — Wenn Sie andere Berichte wünschen, müssen Sie diese manuell erstellen. Außerdem gibt es keine Abonnementoption für Berichte oder eine native Funktion zum Speichern angepasster Suchvorgänge.
• Die meisten Eigenschaften werden in einem JSON zusammengefasst – Das AuditData JSON kann je nach Überwachungsereignis verschiedene Eigenschaften enthalten. Dies führt zu einer Menge unnötigem Rauschen zwischen Ihnen und den wichtigen Details, die Sie aus Ihren Überwachungsdaten herausfiltern möchten.
• Audit-Daten werden nur für eine begrenzte Zeit gespeichert — Da die Standardabonnement von Microsoft nur eine 90-tägige Datenaufbewahrungsfrist für Audit-Protokolle erlaubt, müssen Sie Ihre Audit-Protokolle regelmäßig herunterladen und speichern und dann versuchen, sie zusammenzuführen, um ein Bild der Aktivitäten über einen längeren Zeitraum zu erhalten. Wenn Sie vergessen, die Protokolle zu speichern, werden Sie Lücken in Ihrer Aufzeichnung haben.

Andere Wege, um auf Audit-Log-Daten zuzugreifen

Office 365 Management Activity API

Die Office 365 Management Activity API ermöglicht es Ihnen, Daten über Admin-System-, Benutzer- und Richtlinienereignisse aus Office 365- und Azure AD-Aktivitätsprotokollen einzusehen. Das Tool hilft Ihnen dabei, Überwachungsdaten zu überwachen, zu analysieren und zu visualisieren.

Netwrix Auditor

Netwrix Auditor vereinfacht die Aufgabe, die Aktivitäten in Ihrer IT-Umgebung im Blick zu behalten, erheblich und ermöglicht es Ihnen, proaktiv Probleme zu verhindern und Daten strukturiert zu halten. Die Lösung bietet erhöhte Sichtbarkeit in Aktivitäten und Konfigurationen in Ihren OneDrive for Business, SharePoint Online und Exchange Online Umgebungen sowie Azure AD.