Überwachung und Überwachung von Benutzeraktivitäten in Microsoft 365

Überwachung und Überwachung von Benutzeraktivitäten in Microsoft 365

08.06.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration, Verwendung und Überwachung von Benutzeraktivitäten in Microsoft 365 helfen. Die Fähigkeit, Benutzeraktionen zu prüfen und zu überwachen, ist für die Sicherheit, die Einhaltung gesetzlicher Vorschriften sowie die Erkennung und Reaktion auf Vorfälle von entscheidender Bedeutung und ermöglicht es Unternehmen, verdächtige Aktivitäten zu identifizieren, Verstöße zu untersuchen und eine detaillierte Aufzeichnung der Ereignisse in ihrer Umgebung zu führen [1].

Einführung

Am modernen Arbeitsplatz, an dem auf Daten über mehrere Plattformen und Geräte hinweg zugegriffen und diese gemeinsam genutzt werden, ist die Transparenz der Benutzeraktivitäten wichtiger denn je. Microsoft 365 bietet eine Reihe robuster Überwachungsfunktionen, die eine Vielzahl von Aktionen aufzeichnen, die von Benutzern und Administratoren in Diensten wie Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams und Azure AD durchgeführt werden. Diese Audit-Protokolle sind eine unschätzbar wertvolle Informationsquelle für forensische Untersuchungen, Compliance-Prüfungen und zum Verständnis, wie Daten innerhalb der Organisation verwendet werden [2].

In dieser Anleitung werden die Aktivierung der einheitlichen Überwachungsprotokollierung, die Suche nach Überwachungsprotokollen im Microsoft Purview-Compliance-Portal, die Erstellung benutzerdefinierter Warnungen und Best Practices für die kontinuierliche Überwachung behandelt. Es werden Schritt-für-Schritt-Anleitungen, PowerShell-Beispielbefehle und Beschreibungen bereitgestellt, damit der Leser eine effektive Überwachungs- und Überwachungsstrategie implementieren, die Sicherheitslage stärken und die Compliance in seiner Microsoft 365-Umgebung sicherstellen kann.

Warum sind Auditing und Monitoring in Microsoft 365 so wichtig?

  • Bedrohungserkennung: Identifiziert verdächtige Aktivitäten wie unbefugte Zugriffsversuche, unzulässige Datenweitergabe oder Änderungen an kritischen Einstellungen.
  • Einhaltung von Vorschriften: Hilft bei der Erfüllung der Prüf- und Compliance-Anforderungen verschiedener Vorschriften (z. B. DSGVO, LGPD, HIPAA, ISO 27001), indem eine unveränderliche Aufzeichnung von Maßnahmen bereitgestellt wird.
  • Vorfalluntersuchung: Stellt die Daten bereit, die zur Untersuchung von Sicherheitsverstößen, Datenlecks oder böswilligen Aktivitäten erforderlich sind, und ermöglicht so eine schnelle und effektive Reaktion.
  • Betriebliche Sichtbarkeit: Ermöglicht Administratoren zu verstehen, wie Benutzer mit Microsoft 365-Diensten interagieren, wodurch die Nutzung optimiert und Schulungsbedarf ermittelt wird.

Voraussetzungen

  1. Lizenzierung: Die grundlegende Überwachung ist für die meisten Microsoft 365-Lizenzen verfügbar. Für Funktionen wie die langfristige Aufbewahrung und höherwertige Ereignisse (Advanced Auditing) ist eine Microsoft 365 E5-Lizenz oder ein Compliance-Add-on [3] erforderlich.
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“, „Compliance-Administrator“ oder „Audit-Protokolle“-Berechtigungen im Microsoft Purview-Compliance-Portal („https://compliance.microsoft.com“).
  3. Audit-Protokollierung aktiviert: Die einheitliche Audit-Protokollierung muss aktiviert sein.

Schritt für Schritt: Benutzeraktivitäten konfigurieren und überwachen

1. Audit-Log prüfen und aktivieren

Standardmäßig ist die Überwachung in den meisten Organisationen bereits aktiviert. Zur Überprüfung:

  1. Greifen Sie auf das Microsoft Purview Compliance-Portal zu: „https://compliance.microsoft.com“.
  2. Wählen Sie im Menü Audit aus.
  3. Wenn die Prüfung nicht aktiv ist, wird ein Banner zum Starten der Aufzeichnung angezeigt. Klicken Sie darauf.

2. Durchsuchen des Audit-Protokolls

Das Audit-Log-Suchtool ist Ihre wichtigste Ressource für Untersuchungen.

  1. Konfigurieren Sie auf der Seite Audit des Purview-Portals Ihre Suche:
    • Datums- und Uhrzeitbereich (UTC): Zeitraum der Untersuchung.
    • Aktivitäten: Filtern Sie nach bestimmten Aktionen (z. B. „Zugegriffene Datei“, „Angemeldeter Benutzer“).
    • Benutzer: Geben Sie einen oder mehrere Benutzer an.
    • Datei, Ordner oder Website: Grenzen Sie die Suche auf eine bestimmte Ressource ein.
  2. Klicken Sie auf Suchen. Die Ergebnisse können zur Analyse exportiert werden.

Verwenden von PowerShell zum Durchsuchen von Überwachungsprotokollen

Für Automatisierung und komplexe Suchen ist PowerShell ideal.

  1. Stellen Sie eine Verbindung zu Exchange Online PowerShell her. „Powershell Connect-ExchangeOnline „
  2. Verwenden Sie das Cmdlet „Suchen“.-UnifiedAuditLog`. Beispiel für die Suche nach Dateilöschaktivitäten eines Benutzers in den letzten 7 Tagen: „Powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Formattabelle: Erstellungsdatum, Benutzer-IDs, Vorgänge, Prüfdaten „

3. Erstellen von Benachrichtigungen zu Audit-Aktivitäten

Lassen Sie sich proaktiv benachrichtigen, wenn kritische Aktivitäten auftreten.

  1. Gehen Sie im Compliance-Portal von Microsoft Purview zu Richtlinien > Warnungsrichtlinien.
  2. Klicken Sie auf Neue Benachrichtigungsrichtlinie.
  3. Benennen Sie die Richtlinie: Geben Sie ihr einen aussagekräftigen Namen (z. B. „Warnung – Massenlöschung von Dateien“).
  4. Aktivitäten: Wählen Sie die Aktivitäten aus, die die Warnung auslösen sollen (z. B. „Gelöschte Datei“).
  5. Bedingungen: Definieren Sie Auslöser, z. B. die Anzahl der Vorkommnisse in einem bestimmten Zeitraum für einen einzelnen Benutzer.
  6. Empfänger: Geben Sie an, wer die E-Mail-Benachrichtigung erhalten soll.
  7. Überprüfen und erstellen Sie die Richtlinie.

Erweiterte Prüfung (Microsoft 365 E5)

Für Organisationen mit strengen Compliance- und Sicherheitsanforderungen bietet Advanced Audit erweiterte Funktionen:

  • Langzeitaufbewahrung: Bewahren Sie Überwachungsprotokolle standardmäßig bis zu einem Jahr auf, mit der Option auf eine Verlängerung auf 10 Jahre. Unverzichtbar für langfristige forensische Untersuchungen.
  • Hochwertige Ereignisse: Zugriff auf detailliertere Ereignisse wie „MailItemsAccessed“ (wenn eine E-Mail gelesen wurde) und „SearchQueryInitiated“ (wonach Benutzer in SharePoint und Exchange suchen). Diese Ereignisse sind für die Untersuchung von Datenschutzverletzungen und Aufklärungsaktivitäten von entscheidender Bedeutung.
  • Höhere API-Bandbreite: Schnellerer, umfangreicherer Zugriff auf Überwachungsprotokolle über die Office 365 Management Activity API, was die Integration mit SIEM-Systemen erleichtert.

Best Practices für Auditing und Monitoring

  • Protokolle regelmäßig überprüfen: Warten Sie nicht auf einen Vorfall. Planen Sie wöchentliche oder monatliche Protokollüberprüfungen, um Anomalien zu identifizieren.
  • Konzentrieren Sie sich auf Aktivitäten mit hohem Risiko: Priorisieren Sie Überwachungsaktivitäten wie den Postfachzugriff von Nicht-Eigentümern, externe Dateifreigabe und Änderungen von Administratorberechtigungen.
  • Integration mit einem SIEM: Senden Sie Prüfprotokolle an eine SIEM-Lösung wie Microsoft Sentinel zur Korrelation mit anderen Datenquellen und zur erweiterten Erkennung.
  • Verwenden Sie das Prinzip der geringsten Rechte: Begrenzen Sie die Anzahl der Administratoren mit Zugriff auf Überwachungsprotokolle, um Manipulationen vorzubeugen.
  • Dokumentieren Sie Ihre Strategie: Führen Sie ein Dokument, das beschreibt, welche Aktivitäten überwacht werden, warum und wie das Reaktionsverfahren für jede Warnung aussieht.

Fazit

Die Prüfung und Überwachung der Benutzeraktivität in Microsoft 365 ist nicht nur eine Compliance-Formalität, sondern ein aktiver und wesentlicher Bestandteil der Verteidigung eines Unternehmens. Durch die Nutzung der im Microsoft Purview-Compliance-Portal verfügbaren Tools, die Automatisierung von Suchvorgängen mit PowerShell und die Konfiguration proaktiver Warnungen können Administratoren die Transparenz erlangen, die sie benötigen, um Bedrohungen effektiv zu erkennen, zu untersuchen und darauf zu reagieren und gleichzeitig wertvolle Unternehmensdaten zu schützen.

Referenzen

[1] Microsoft. (2023). Microsoft Purview Audit-Übersicht. [2] Microsoft. (2023). Durchsuchen Sie das Audit-Protokoll im Compliance-Portal. [3] Microsoft. (2023). Microsoft Purview Advanced Auditing.