Microsoft Office 365 ist eine leistungsfähige Umgebung mit einer Vielzahl von Diensten wie Microsoft Teams, Exchange Online, Azure Active Directory, SharePoint Online und OneDrive for Business. Dies bedeutet auch, dass Sie viele unterschiedliche Dienste im Blick behalten müssen. Globale Administratoren sind in einer solchen Umgebung oft für mehrere Unteradministratoren und mitunter für viele Tausend Benutzer verantwortlich.
Mit den Office 365-Überwachungsprotokollen können Sie die Aktivitäten von Administratoren und Benutzern nachverfolgen und feststellen, wer auf bestimmte Dokumente zugreift, diese anzeigt oder verschiebt und wie Ressourcen genutzt werden. Diese Protokolle spielen somit bei der Untersuchung von Sicherheitsvorfällen und dem Nachweis der Compliance eine wichtige Rolle. Die nativen Protokolle von Office 365 sind jedoch mit verschiedenen Einschränkungen verbunden. Deshalb sind in der Regel zusätzliche Dienste erforderlich, um Aktivitäten effektiv zu überwachen, die Sicherheit der Systeme zu gewährleisten und gesetzliche Vorschriften zuverlässig einzuhalten.
So konfigurieren Sie die Office 365-Überwachungsprotokolle
Die nativen Überwachungsprotokolle sind standardmäßig nicht aktiviert. So aktivieren Sie die nativen Überwachungsprotokolle:
- Wechseln Sie zum Office 365 Security & Compliance Center.
- Wählen Sie „Suche“ und anschließend „Überwachungsprotokollsuche“.
- Klicken Sie auf „Überwachung aktivieren“.
Alternativ können Sie die Überwachung auch mit folgendem PowerShell-Befehl aktivieren:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Auch die Überwachungsprotokollierung für Power BI und andere Hilfsanwendungen ist nicht standardmäßig aktiviert; sie muss in separaten Administratorportalen aktiviert werden, um die entsprechenden Überwachungsdatensätze abrufen zu können.
Lesen Sie in Ihren Lizenzbedingungen nach, wie lange Sie Protokolldaten speichern können. Bei einer Office 365 E3-Lizenz liegt die Obergrenze derzeit beispielsweise bei 90 Tagen, bei einer Office 365 E5-Lizenz bei einem Jahr.
So führen Sie eine Überwachungsprotokollsuche durch
Voraussetzungen
Bevor Sie eine Überwachungsprotokollsuche durchführen können, muss ein Administrator Ihrem Konto die Berechtigung „Überwachungsprotokolle nur anzeigen“ oder „Überwachungsprotokolle“ zuweisen.
Nachdem Sie die Überwachungsprotokollierung aktiviert haben, kann es unter Umständen ein paar Stunden dauern, bis Sie eine Überwachungsprotokollsuche durchführen können.
Dabei ist zu beachten, dass eine Überwachungsprotokollsuche die Analysen mehrerer Office 365-Dienste in einem einzigen Protokollbericht zusammenführt, was zwischen 30 Minuten und 24 Stunden dauern kann.
Vorgehensweise
Gehen Sie nach den folgenden Schritten vor, um eine Überwachungsprotokollsuche durchzuführen:
- Anmeldung
Melden Sie sich unter https://protection.office.com/ an.
Tipp: Öffnen Sie eine private Browser-Sitzung, damit Ihre Anmeldeinformationen nicht automatisch verwendet werden.
- Drücken Sie hierzu in Internet Explorer oder Edge die Tastenkombination STRG+UMSCHALT+P.
- In den meisten anderen Browsern wird die Tastenkombination STRG+UMSCHALT+N verwendet.
- Starten einer neuen Suche
Klicken Sie im Security & Compliance Center im linken Bereich auf „Suche“. Wählen Sie anschließend die Option „Überwachungsprotokollsuche“.
- Konfiguration der Suchkriterien
Sie müssen die folgenden Kriterien festlegen:
- Aktivitäten: Microsoft stellt eine Liste der überwachten Aktivitäten bereit. Da es über 100 sind, hat Microsoft die Aktivitäten in Gruppen zusammengefasst. Wenn Sie Ihre Suche nicht auf bestimmte Aktivitäten beschränken, wird der Überwachungsbericht alle in dem angegebenen Zeitraum ausgeführten Aktivitäten beinhalten.
- Start- und Enddatum: Der Zeitrahmen umfasst standardmäßig die letzten sieben Tage. Sie können für Ihre Suche jedoch einen beliebigen Zeitraum in den letzten 90 Tagen definieren.
- Benutzer: Legen Sie fest, welche Benutzer oder Benutzergruppen in Ihrem Bericht enthalten sein sollen.
- Speicherort: Wenn Sie Ihre Suche auf eine bestimmte Datei, einen bestimmten Ordner oder eine bestimmte Website beschränken möchten, geben Sie hier einen Speicherort oder ein Stichwort ein.
Weitere Suchkriterien:
- Aktivitäten im Zusammenhang mit einer Website: Fügen Sie nach der URL ein Sternchen (*) hinzu, um alle Einträge für diese Website abzurufen. Beispiel: https://contoso-my.sharepoint.com/personal/*.
- Aktivitäten im Zusammenhang mit einer bestimmten Datei: Fügen Sie ein Sternchen (*) vor dem Dateinamen hinzu, um alle Einträge für diese Datei abzurufen. Beispiel: *Customer_Profitability_Sample.csv.
- Filtern der Suchergebnisse
Die Optionen für Suchkriterien sind hilfreich, um sich einen Überblick zu verschaffen, doch durch Filtern der Suchergebnisse können Sie die Daten noch effektiver durchsuchen. Sie können die Ergebnisse nach Stichwörtern, einem bestimmten Datum, Benutzern, Elementen oder sonstigen Details filtern.
Beachten Sie außerdem, dass bei einer Suche maximal die letzten 5.000 Ereignisse angezeigt werden. Werden bei Ihrer Suche genau 5.000 Ergebnisse angezeigt, sind weiter zurückliegende Ereignisse darin sehr wahrscheinlich nicht enthalten. Schränken Sie Ihre Suche weiter ein, um sicherzustellen, dass die Ergebnisse alle relevanten Daten in dem gewünschten Datums- und Zeitbereich enthalten und Ihnen somit keine wichtigen Informationen entgehen.
Alternativ können Sie einen Bericht mit Rohdaten erstellen, die Ihren Suchkriterien entsprechen, indem Sie die Daten in einer CSV-Datei speichern. So können Sie anstelle von 5.000 Ereignissen bis zu 50.000 abrufen. Wenn Sie Berichte mit mehr als 50.000 Ereignissen erstellen möchten, führen Sie mehrere Suchläufe mit jeweils kleineren Datumsbereichen durch und kombinieren Sie die Ergebnisse manuell.
- Speichern der Ergebnisse
Um Ihre Ergebnisse zu speichern, klicken Sie auf „Ergebnisse exportieren“ und wählen „Geladene Ergebnisse speichern“, um eine CSV-Datei mit Ihren Daten zu erstellen. Sie können die Datei mit Microsoft Excel öffnen oder die Ergebnisse als Bericht an andere Benutzer weiterleiten.
Es wird die Spalte „AuditData“ angezeigt, die aus einem JSON-Objekt mit verschiedenen Eigenschaften aus dem Datensatz des Überwachungsprotokolls besteht. Um das Sortieren und Filtern dieser Eigenschaften zu ermöglichen, verwenden Sie das JSON-Umwandlungstool im Power Query-Editor von Excel. Damit können Sie die einzelnen Eigenschaften in der Spalte „AuditData“ auf separate Spalten verteilen.
Weitere Informationen hierzu finden Sie unter Export, Konfiguration und Anzeige von Datensätzen des Überwachungsprotokolls.
Einschränkungen der nativen Überwachungsprotokollsuche in Office 365
Das manuelle Durchforsten der Überwachungsprotokolle in Office 365 ist oft schwierig und zeitaufwendig. Zwar bieten die Suchtools eine gewisse Hilfestellung, doch sollten Sie bei der Entscheidung, wie bei der Überwachung in Ihrem Unternehmen vorgegangen werden soll, diese Einschränkungen berücksichtigen:
- Es ist schwierig, ungewöhnliche Aktivitäten zu identifizieren – Für die richtige Interpretation der Daten bedarf es eines geschulten Auges, insbesondere wenn Ihnen nicht bewusst ist, dass ein bestimmter Benutzer oder eine bestimmte Datei ein Problem verursacht.
- Die Sicherheit der Überwachungsdaten zu gewährleisten ist nicht einfach – Detaillierte Informationen zu allen Ereignissen in Ihrem System sind hochgradig sensible Daten. Die Standardoptionen für den Export der Daten sind zwar praktisch, vergrößern jedoch auch die Angriffsfläche der Dateien.
- Die Erstellung leicht verständlicher Berichte ist sehr komplex – Um einen Bericht zu erstellen, müssen Sie bestimmte Überwachungsdaten in eine CSV-Datei exportieren, die dann sortiert und ausgewertet werden muss, bevor sie weiterverwendet werden kann.
- Es gibt nur eingeschränkte Filteroptionen – Die native Überwachungsprotokollsuche bietet keine umfangreichen Filteroptionen, was es schwierig macht, die richtigen Erkenntnisse zu gewinnen und die gewünschten Daten zu finden.
- Es gibt nur wenige vordefinierte Protokollberichte – Wenn diese Berichte für Ihre Zwecke nicht ausreichend sind, müssen Sie manuell eigene Berichte erstellen. Es gibt außerdem keine Option für das Abonnieren von Berichten und keine native Funktion für das Speichern individueller Suchvorgänge.
- Die meisten Eigenschaften sind in einem JSON-Objekt zusammengefasst – Das JSON-Objekt „AuditData“ kann je nach Überwachungsereignis unterschiedliche Eigenschaften enthalten. Das führt dazu, dass Sie die wichtigen Details in Ihren Überwachungsdaten aus zahlreichen nicht relevanten Daten herausfiltern müssen.
- Überwachungsdaten werden nur für einen begrenzten Zeitraum gespeichert – Mit dem Standardabonnement von Microsoft werden Überwachungsprotokolle nur maximal 90 Tage lang aufbewahrt. Sie müssen Ihre Überwachungsprotokolle deshalb regelmäßig herunterladen, speichern und anschließend zusammenführen, um die Aktivitäten über einen längeren Zeitraum zu betrachten. Wenn Sie vergessen, die Protokolle zu speichern, fehlen Ihnen die Daten für den entsprechenden Zeitraum.
Weitere Möglichkeiten für den Abruf von Überwachungsprotokolldaten
Die Office 365-Verwaltungsaktivitäts-API
Die Office 365-Verwaltungsaktivitäts-API ermöglicht die Anzeige von Daten zu System-, Benutzer- und Richtlinienereignissen in den Office 365- und Azure AD -Aktivitätsprotokollen. Mit dem Tool können Sie Überwachungsdaten nachverfolgen, analysieren und visualisieren.
Netwrix Auditor
Mit Netwrix Auditor können Sie die Aktivitäten in Ihrer IT-Umgebung wesentlich einfacher im Blick behalten, Probleme proaktiv vermeiden und die Organisation Ihrer Daten verbessern. Die Lösung bietet besseren Einblick in die Aktivitäten und Konfigurationen in Ihren OneDrive for Business-, SharePoint Online- und Exchange Online-Umgebungen sowie in Azure AD.