Überwachungsprotokoll für Microsoft Sentinel Data Lake und Graph im Microsoft Purview-Portal

Das Überwachungsprotokoll hilft Ihnen dabei, bestimmte Aktivitäten in Microsoft-Diensten zu untersuchen. Microsoft Sentinel Data Lake- und Graphaktivitäten werden überwacht und können im Überwachungsprotokoll durchsucht werden. Das Überwachungsprotokoll enthält einen Datensatz der Aktivitäten, die von Benutzern und Administratoren in Microsoft Sentinel Data Lake und Graph ausgeführt werden, z. B.:

  • Zugreifen auf Daten in Lake über KQL-Abfragen
  • Ausführen von Notebooks in Data Lake
  • Erstellen/Bearbeiten/Ausführen/Löschen von Aufträgen
  • Ausführen einer Graphabfrage
  • Erstellen und Ausführen von MCP-Tools

Die Überwachung wird für Microsoft Sentinel Data Lake und Graph automatisch aktiviert. Überwachte Features werden automatisch im Überwachungsprotokoll protokolliert.

Voraussetzungen

Microsoft Sentinel Data Lake und Graph verwendet die Microsoft Purview-Überwachungslösung. Bevor Sie sich die Überwachungsdaten ansehen können, müssen Sie die Überwachung im Microsoft Purview-Portal aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Für den Zugriff auf das Überwachungsprotokoll benötigen Sie die Rolle Nur anzeigen oder Überwachungsprotokolle in Exchange Online. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung zugewiesen.

Hinweis

Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe „Organisationsverwaltung“ in Exchange Online hinzugefügt.

Wichtig

Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Szenarien beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können. Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei.

Microsoft Sentinel Data Lake- und Graphaktivitäten

Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Sentinel Data Lake protokolliert werden, finden Sie in den folgenden Artikeln:

Ausführliche Informationen zum Überwachungsprotokollschema finden Sie unter Microsoft Sentinel Data Lake und Graphschema.

Durchsuchen des Überwachungsprotokolls

Führen Sie die folgenden Schritte aus, um das Überwachungsprotokoll zu durchsuchen:

  1. Navigieren Sie zum Microsoft Purview-Portal , und wählen Sie Überwachen aus.

  2. Filtern Sie auf der Seite Neue Suche die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.

  3. Wählen Sie Suchen aus.

    Screenshot der Seite

  4. Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.

Schritt-für-Schritt-Anweisungen finden Sie unter Durchsuchen des Überwachungszeichens im Microsoft Purview-Portal.

Die Aufbewahrung von Überwachungsprotokolldatensätzen basiert auf Microsoft Purview-Aufbewahrungsrichtlinien. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Suchen nach Ereignissen mithilfe eines PowerShell-Skripts

Sie können den folgenden PowerShell-Codeausschnitt verwenden, um die Office 365 Management-API abzufragen, um Informationen zu Microsoft Defender XDR Ereignissen abzurufen:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Hinweis

Informationen zu den Datensatztypwerten finden Sie in der API-Spalte unter Überwachungsaktivitäten enthalten.

Weitere Informationen finden Sie unter Verwenden eines PowerShell-Skripts zum Durchsuchen des Überwachungsprotokolls.

Siehe auch

  • Last updated on