Wie man Office 365-Aktivitätsprotokolle überwacht, um die Sicherheit zu verbessern

Tutorials

Wie man Office 365 Aktivitätsprotokolle zur Verbesserung der Sicherheit überwacht. Sie möchten die Sicherheit Ihres Office 365 verbessern? Es ist entscheidend, die Aktivitätsprotokolle von Office 365 zu überwachen, und das vereinheitlichte Office 365 Audit-Logging-Portal von Microsoft bietet eine einzige Plattform dafür.

In diesem Artikel geben wir einen Überblick über das vereinheitlichte Audit-Logging von Office 365.

Danach lernen wir die Lizenz- und Berechtigungsanforderungen zur Nutzung des vereinheitlichten Audit-Logs von Microsoft 365 kennen. Darüber hinaus enthält dieser Abschnitt Schritte zur Überprüfung, ob Sie diese Anforderungen erfüllen und was zu tun ist, wenn Sie diese nicht erfüllen.Als nächstes untersuchen wir, wie man überprüft, ob das vereinheitlichte Audit-Logging für Ihre Organisation aktiviert ist. Dann besprechen wir die Schritte zur Aktivierung über das Compliance-Portal von Microsoft oder Windows PowerShell.

Als Nächstes untersuchen wir, wie Sie überprüfen können, ob für Ihre Organisation eine zentrale Überwachungsprotokollierung aktiviert ist. Anschließend besprechen wir die Schritte zur Aktivierung über das Microsoft Compliance-Portal oder Windows PowerShell.

Sobald die Überwachungsprotokollierung aktiviert ist, erläutern wir, wie Sie Office 365-Überwachungsprotokolle suchen, anzeigen und in CSV exportieren können. Schließlich zeigen wir Ihnen, wie Sie die 365 Aktivitätsprotokolle überwachen und analysieren, um die Sicherheit Ihrer Organisation zu verbessern.

Auch lesenswert So konfigurieren Sie Azure AD-Aktivitätsprotokolle für eine effektive Überwachung

Überblick über die zentrale Überwachungsprotokollierung von Office 365

Microsoft 365 (M365) ist eine Sammlung von cloud-basierten Diensten. Einige in M365 enthaltene Dienste sind Azure Active Directory, Exchange Online und SharePoint Online.

Die in Ihrer M365-Abonnement enthaltenen Dienste hängen von Ihrem Abonnement ab.

Nun, mit so vielen Office 365 Diensten stehen Administratoren vor der beträchtlichen Herausforderung, die Aktivitätsprotokolle der verschiedenen Dienste zu überwachen, um die Sicherheit der Organisation zu verbessern. Die gute Nachricht ist, dass das Microsoft Purview Compliance-Portal Microsoft 365-Administratoren einen einzigen Ort bietet, um eine einheitliche Prüfung zu aktivieren.

Jetzt müssen Sie sich wahrscheinlich fragen, welche Microsoft 365-Dienste eine einheitliche Prüfung unterstützen. Um alle von Ihnen überwachten Dienste anzuzeigen, siehe die Liste auf der Seite Microsoft 365-Dienste, die Prüfungen unterstützen.

Auch lesen Wie man sich mit Powershell bei Office 365 verbindet

Microsoft 365-Prüfungsprotokoll-Lizenzierung und -Berechtigungen

Microsoft bietet zwei Versionen des Microsoft Purview Audit, mit denen Sie Microsoft 365 einheitliche Prüfzertifikate aktivieren, durchsuchen und überwachen können.

Sie erhalten also die Microsoft Purview Audit (Standard) oder (Premium), abhängig von der Microsoft 365-Abonnement- und Lizenzierung Ihrer Organisation.

Darüber hinaus müssen Administratoren, die Prüfberichte ausführen müssen, die erforderlichen Berechtigungen erhalten.

Um die Lizenzierungs- und Benutzerberechtigungsanforderungen zu konfigurieren, führen Sie die folgenden Schritte aus.

Schritt 1: Stellen Sie sicher, dass Ihre Organisation die Anforderungen an das Abonnement / die Benutzerlizenzierung erfüllt

Um auf den Microsoft 365 einheitlichen Prüfprotokoll zuzugreifen, muss Ihre Organisation über mindestens eine Microsoft Business Basic/Standard Abonnements verfügen. Es ist das gleiche wie die Azure AD Premium P1 Lizenz. 

Dagegen benötigen Sie zum Zugang zu der Audit (Premium) Funktion mindestens das Microsoft 365 Enterprise E5 Abonnement. 

Folgen Sie den unten stehenden Schritten, um Ihr zugewiesenes Abonnement zu überprüfen. 

1. Folgen Sie den Schritten in unserem Artikel – Wie man sich bei Office 365 mit Powershell verbindet- um das MSOnline PowerShell Modul zu installieren. Dann verbinden Sie sich mit Office 365. 
2. Führen Sie den Get-MsolAccountSku Befehl aus, um die verfügbaren Microsoft 365 Lizenz in Ihrem Mandanten aufzulisten. 

Get-MsolAccountSku

2. Führen Sie als nächstes den unten stehenden Befehl aus, um die von Ihrem Administrator Ihnen zugewiesene Lizenz zurückzugeben. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Ersetzen Sie die License_AccountSkuId durch die AccountSkuId (den Lizenznamen) aus dem letzten Befehl. Ersetzen Sie auch [email protected] durch Ihre Office 365 UPN.

Prüfen Sie den Wert des zuletzt angezeigten Befehls im AccountSkuId-Eigenschaft. Vergleichen Sie diesen dann mit den Microsoft 365 Lizenzierungsanforderungen.


Abschließend, wenn die von Ihrem Administrator zugewiesene Lizenz aufgeführt ist, überprüfen Sie die Microsoft 365 Berechtigungsanforderungen unter Verwendung der Schritte in dem folgenden Unterabschnitt.

Auch lesen Get-AzureADAuditSignInLogs – Find Sign In Logs Last 30 Days PowerShell

Schritt 2: Bestätigen Sie, dass Ihr Konto die Berechtigungsanforderungen erfüllt

Um Office 365 einheitlicheÜberwachungs-Protokollsuche anzuzeigen und auszuführen, müssen Administratoren oder Benutzer der Nur-Ansicht-Überwachungs Protokolle oder Überwachungsprotokolle Rolle in Exchange Online zugewiesen sein. Die Compliance Verwaltung und Organisationsverwaltung Rollengruppen verfügen standardmäßig über die erforderlichen Berechtigungen.

Darüber hinaus werden Mitglieder der Office 365 Global Administrators Gruppe standardmäßig der Organisationsverwaltung Rollengruppe in Exchange Online hinzugefügt.

Folgen Sie den unten stehenden Schritten, um zu überprüfen, ob ein Konto die erforderliche Berechtigung zum Aktivieren und Durchsuchen der Überwachungsprotokolle hat. Wenn Sie Global Admin für Ihren Office 365 Mandanten sind, überspringen Sie die unten stehenden Schritte und fahren Sie mit dem nächsten Abschnitt fort.

1. Öffnen Sie das Exchange Online Admin Center über admin.exchange.microsoft.com. Erweitern Sie anschließend Rollen und klicken Sie auf „Admin-Rollen“.
2. Geben Sie im Suchfeld der Seite „Admin-Rollen“ das Wort „Verwaltung“ ein, um nur Rollen zurückzugeben, die diesen Begriff enthalten. Klicken Sie dann auf die Compliance Management-Rolle.


3. Klicken Sie im Flyout der Compliance-Management-Rolle auf die Registerkarte „Zugewiesen“. Alle Benutzer, die in dieser Registerkarte aufgeführt sind, haben die Berechtigung, Such-Überwachungsprotokolle anzuzeigen.

Um einem Benutzer Zugriff auf diese Rolle zu gewähren, klicken Sie auf die Schaltfläche „+ Hinzufügen“ – siehe Screenshot 2.



4. Wiederholen Sie Schritt 3 für die Organisationsverwaltung-Rolle.


Auch lesen Top 15 Office 365 PowerShell-Befehle (Benutzer, Gruppen, Lizenzierung)

Überprüfen Sie den aktuellen Status der Überwachungsprotokollierung für Ihre Organisation.

Bevor Sie das Microsoft Compliance-Portal verwenden, um überwachen Office 365 Aktivitätsprotokolle für eine verbesserte Sicherheit der Dienste Ihrer Organisation zu überwachen, müssen Sie die Prüfüberwachung aktivieren. In Organisationen mit Microsoft 365 und Office 365 Enterprise-Abonnements ist dies standardmäßig aktiviert.

Allerdings aktiviert Microsoft möglicherweise die Überwachung in einigen Microsoft 365-Abonnements nicht standardmäßig. Daher ist es eine gute Idee, vor der Weiterarbeit zu bestätigen, ob die Überwachung in Ihrem O365-Mandanten aktiviert ist.

Befolgen Sie die unten stehenden Schritte, um den aktuellen Überwachungsstatus zu überprüfen.

1. Befolgen Sie die Schritte in unserem Verbinden mit Exchange Online mithilfe von PowerShell-Artikel, um eine Verbindung zu Ihrem Exchange Online-Mandanten herzustellen.
2. Sobald Sie eine Verbindung zu Exchange Online hergestellt haben, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Das folgende Screenshot zeigt alle Befehle, die Sie zum Installieren des Exchange Online PowerShell-Moduls benötigen. Stellen Sie dann eine Verbindung her und führen Sie den Get-AdminAuditLogConfig aus, um zu bestimmen, ob Auditing für Ihre Organisation aktiviert ist.


Wenn der Get-AdminAuditLogConfig Befehl das UnifiedAuditLogIngestionEnabled -Eigenschaft als True, zurückgibt, bedeutet dies, dass das einheitliche Auditing für Ihre Organisation aktiviert ist. Wenn es einen Wert von False zurückgibt, bedeutet dies, dass das Auditing nicht aktiviert ist.

Aus dem Ergebnis meines Get-AdminAuditLogConfig Befehls geht hervor, dass das Auditing NICHT aktiviert ist, da der Wert Falsch ist. Wenn dies Ihre Situation ist, fahren Sie mit dem folgenden Abschnitt fort, um Auditing zu aktivieren.

Lesen Sie auch So überprüfen Sie, ob MFA für Benutzer in Office 365 aktiviert ist

Aktivieren Sie Office 365 Unified Audit Logs

Microsoft bietet 2 Methoden zur Aktivierung von Office 365 Audit-Protokollen zur Überwachung von Benutzer-Aktivitätsprotokollen zur Verbesserung der Sicherheit der Organisation. Genauer gesagt, tun Sie dies über das Compliance-Portal oder PowerShell

Aktivieren der Überwachung über das Compliance-Portal

1. Öffnen Sie compliance.microsoft.com
2. Navigieren Sie zum Abschnitt Lösungen und klicken Sie auf Audit. Alternativ können Sie den Audit-Abschnitt direkt öffnen, indem Sie auf compliance.microsoft.com/auditlogsearch klicken.

3. Schließlich aktivieren Sie das Microsoft 365 einheitliche Audit-Protokoll, klicken Sie auf „Benutzer- und Admin-Aktivität aufzeichnen starten.“

Bitte beachten Sie, dass es bis zu 60 Minuten dauern kann, bis die Änderung wirksam wird.

Weiterlesen Bereitstellung von Office 365 Kontaktberichten

Aktivieren der Überwachung über Windows PowerShell

Wenn Sie immer noch die PowerShell-Konsole haben, in der Sie sich mit dem Exchange Online PowerShell-Modul verbunden haben, führen Sie den folgenden Befehl aus, um die einheitliche M365-Überwachung zu aktivieren. Sie müssen den ersten Befehl ausführen, bevor Sie den zweiten ausführen.

Sie können eine Fehlermeldung erhalten, wenn Sie den Set-AdminAuditLogConfig-Befehl ohne zuerst den Enable-OrganizationCustomization-Befehl auszuführen. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Beachten Sie, dass der Enable-OrganizationCustomization-Befehl einige Zeit zum Abschließen benötigt. Auch nach der Aktivierung der einheitlichen Überwachungsprotokollierung kann es bis zu 60 Minuten dauern, bis diese wirksam wird.


Führen Sie dann den Befehl Get-AdminAuditLogConfig erneut aus, um den Status der Überwachungslogin-Einstellung zu bestätigen. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Wenn Sie die Überwachung erfolgreich über das Compliance-Portal oder Windows PowerShell aktiviert haben, sollte der letzte Befehl den Wert UnifiedAuditLogIngestionEnabled als True. zurückgeben. Sehen Sie sich das folgende Screenshot an.


Schließlich können Sie die einheitliche Überwachungslogin für Ihre Microsoft 365-Organisation durch Ausführen des folgenden Befehls ausschalten.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Lesen Sie auchOffice 365 vs. Exchange Online – Was ist der Unterschied?

Durchsuchen und Überwachen von Office 365-Überwachungsaktivitätsprotokollen zur verbesserten Sicherheit

Lassen Sie uns untersuchen, wie man es nach relevanten Benutzer und Administratoraktivitäten durchsucht.

In diesem Abschnitt zeigen wir Ihnen, wie man eine Überwachungsprotokollsuche durchführt und das Ergebnisin CSV exportiert. Darüber hinaus erklären wir, wie Sie die exportierten Office 365Aktivitätsprotokolle zur verbesserten Sicherheit analysieren.

Lesen Sie auchSchauen Sie sich die Office 365-Benutzerberichte an

Schritt 1 (Option 1 von 2):

Führen Sie eine Office 365-Überwachungsprotokollsuche im Compliance-Portal durch

1. Öffnen Sie die Microsoft Compliance Audit-Seitecompliance.microsoft.com/auditlogsearch. Legen Sie dann die Suchkriterien gemäß der Nummerierung in der Abbildung unten fest:

(1) Datums- und Zeitbereich (UTC): Das Prüftoolsuchwerkzeug wählt standardmäßig die letzten 7 Tage aus.

Wählen Sie jedoch Ihren Datenbereich bis zu 90 Tage ab dem Startdatum. Beachten Sie, dass die Auswahl eines Zeitraums von mehr als 90 Tagen eine Fehlermeldung zurückgibt.

(2) Schlagwortsuche: Wenn Sie benötigen, dass das Office 365 einheitliche Prüftoolsuchwerkzeug Protokolle zu einem Wort oder einer Phrase findet, geben Sie es in diesem Feld ein.

(3) Aktivitäten: ein Dropdown-Menü mit einer langen Liste von Kontrollkästchen.

(4) Aufzeichnungstyp: Suchen Sie nach spezifischen Aufzeichnungstypen wie Azure Active Directory.

(5) Workload: Um die Suchkriterien nach Workload zu filtern, klicken Sie auf das Dropdown-Menü und aktivieren Sie den Office 365-Dienst, von dem Sie die Prüfprotokolle anzeigen möchten.

(6) Benutzer: um Prüfprotokolle für bestimmte Benutzer zu filtern, verwenden Sie das Suchkriterium, um ihre Namen einzugeben. Wenn Sie das Benutzerfeld leer lassen, liefert das Suchtool des Compliance-Portals Prüfprotokolle für alle Benutzer in Ihren Microsoft 365 Diensten.

(7) Dateien, Ordner oder Websites: Suchen Sie nach Aktivitäten in Bezug auf eine Datei oder einen Ordner, der ein bestimmtes Schlüsselwort enthält, indem Sie einen Teil oder den vollständigen Namen eingeben. Ermöglicht auch die Angabe der URL einer Datei oder eines Ordners.

(8) Suchname: Geben Sie der Suche einen Namen und klicken Sie dann auf „Suchen“. Schließlich können Sie den Status der Berichte anzeigen, indem Sie auf Aktualisieren klicken.

Auch lesen Mit PowerShell Mitglieder einer Active Directory-Gruppe abrufen und in CSV exportieren

Schritt 1 (Option 2 von 2):

Führen Sie eine Office 365-Überwachungsprotokollsuche mit PowerShell durch

Verwenden Sie PowerShell, um durchzuführen Office 365 Prüfung Protokollsuchen. Sie müssen PowerShell nicht verwenden, wenn Sie bereits das Compliance-Portal

1 verwendet haben. Verbinden Sie sich mit Exchange Online mithilfe von PowerShell, indem Sie die folgenden Befehle in der Reihenfolge ausführen:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Sobald Sie eine Verbindung mit Exchange Online hergestellt haben, führen Sie den Search-UnifiedAuditLog aus, um in der Microsoft 365 einheitlichen Prüfprotokoll zu suchen.

Die StartDate und EndDate Parameter sind die einzigen erforderlichen Parameter für dieses Cmdlet. Es gibt jedoch weitere Parameter für das Cmdlet.

Die folgenden Befehle suchen nach allen Prüfprotokollen der letzten 30 Tage.

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

Der Befehl gibt Prüfprotokolldaten für den Datum Bereich zurück, den Sie mit den StartDate und EndDate Parametern angeben. Beachten Sie, dass das Startdatum früher sein muss als das Enddatum.

Lesen Sie auchÜberprüfen Sie Azure AD-Überwachungsprotokolle für Benutzer-Anmeldungen (Erfolg/Fehler)

Schritt 2: Anzeigen und Exportieren der Office 365-Überwachungsaktivitätsprotokolle

Exportieren Sie den Bericht in CSV aus dem Compliance-Portal oder mithilfe von PowerShell.

Klicken Sie auf einen Bericht, um ihn aus dem Compliance-Portal zu exportieren. Klicken Sie dann auf die Schaltfläche „Exportieren“.

Der Neue Suchvorgang-Überwachungsbericht ergab bei der Erstellung dieses Artikels im Mai 2023 keine Ergebnisse. Ich vermute, dass es ein Problem damit gab.

Daher haben wir stattdessen die Klassische Suche verwendet. Um schließlich die Überwachungsprotokolle herunterzuladen, klicken Sie auf „Exportieren“ und wählen Sie dann „Alle Ergebnisse herunterladen“

Alternativ können Sie, wenn Sie das Ergebnis des Ihrer Microsoft 365-einheitlichen Überwachungsprotokolls mithilfe von PowerShell exportieren möchten, das unten stehende Skript verwenden.

Das Skript enthält einige der Befehle aus dem Abschnitt „Schritt 1 (Option 2 von 2): Führen Sie eine Office 365-Überwachungsprotokollsuche mithilfe von PowerShell durch„.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Führen Sie das Cmdlet UnifiedAuditLog aus und speichern Sie die Ergebnisse in einer Variablen

# Konvertieren Sie die AuditData-Eigenschaft von jedem NoteProperty-Objekt in ein PowerShell-Objekt und wählen Sie die gewünschten Eigenschaften aus

# Zeigen Sie die resultierende Tabelle an

# Exportieren Sie die resultierende Tabelle in eine CSV-Datei

Das Skript zeigt die Ergebnisse im PowerShell-Konsolenfenster an und exportiert sie in eine CSV-Datei. 

Auch lesen Wie man Azure AD gegen Cyber-Bedrohungen schützt

Schritt 3: Analysieren Sie die 365-Aktivitätsprotokolle und verwenden Sie sie zur verbesserten Sicherheit

Einige Organisationen überwachen Office 365-Aktivitätsprotokolle zur verbesserten Sicherheit, während andere dies zur Einhaltung von Vorschriften tun.
Nachdem die M365-Überwachungsprotokolle exportiert wurden, ist der nächste Schritt, sie zu analysieren.

Wir haben einen Beispielbericht aufgeführt, den wir mit dem obigen PowerShell-Skript exportiert haben.

  • Bei der Verwendung des Berichts zur Verbesserung der Sicherheit sollten Muster und potentielle Handlungen gesucht werden, die zu Sicherheitsverletzungen führen könnten. Umgekehrt, wenn Sie die Prüfprotokolle für Zwecke der Compliance benötigen, sollten Sie nach Fällen von Compliance-Verstößen suchen.
  • Weiterlesen Verwenden von bedingten Zugriffsrichtlinien zur Verbesserung der Sicherheit von Office 365
  • Wie man Office 365-Aktivitätsprotokolle zur Verbesserung der Sicherheit überwacht Schlussfolgerung
  • Zusammenfassend lässt sich sagen, dass die Überwachung von Office 365 Aktivitätsprotokollen die Sicherheit Ihrer Organisation verbessert. In diesem Leitfaden haben wir Folgendes behandelt:
  • Eine Übersicht über die Office 365 Unified Audit Logging, einschließlich der Microsoft 365-Dienste, die es unterstützt.

Microsoft 365 Audit Log Lizenzierung und Berechtigungen, die zum Überwachen von Office 365 Aktivitätsprotokollen erforderlich sind.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/