Protokollierung und Warnungen einrichten in Office 365

    Office 365 LogsDie meisten On-Prem-Produkte er­lauben die Proto­kollierung von Ereignissen, um beim Trouble­shooting einen Fehler mög­lichst schnell finden und be­heben zu können. Auch bei Microsoft 365 sind Logs wichtig, aber viele Organi­sationen ver­gessen die Proto­kollierung an die eigenen Anfor­derungen anzu­passen.

    Durch die Aufzeichnung von System­ereignissen sieht man oft schon vor dem Auftreten eines Fehlers, dass Probleme drohen. Und der Admin kann bei verdächtigen Aktivitäten schon Vorkehrungen treffen, um etwa Angriffe abzuwehren. Voraussetzung dafür ist es, dass man sich rechtzeitig durch Warn­meldungen benachrichtigen lässt.

    Bei Cloud-Diensten herrscht oft die Vorstellung, dass sich der Anbieter vollständig um deren Wartung kümmert. Allerdings können auch dort Probleme auf der Anwendungs­ebene auftreten, welche die Nutzer selbst beheben müssen.

    Standardkonfiguration oft nicht ausreichend

    In der Microsoft-Cloud sind per Voreinstellung einige Protokolle aktiviert. Die Warnmeldungen oder die Schwellenwerte für eine Benachrichtigung muss der Administrator der jeweiligen Organisation aber selbst anpassen.

    Um für unvorhergesehene Ereignisse gerüstet zu sein, sollte man sich zuerst einen Überblick verschaffen, welche Protokolle es gibt, welche davon eingeschaltet sind und wie lange diese aufbewahrt werden.

    Folgende Übersicht zeigt die Standard­einstellungen für wichtige Logs:

    Vorgegebene Eigenschaften von Protokollen der Microsoft-Cloud

    In dieser Tabelle fällt auf, dass die Dauer der Aufbewahrungs­fristen von der jeweiligen Lizenz abhängt.

    Hinweis: Bevor man zusätzliche Protokolle aufzeichnet, empfiehlt es sich, zusammen mit dem jeweiligen Datenschutz­beauftragen zu prüfen, welche Protokollierung erwünscht oder gar zulässig ist.

    Postfachüberwachung

    Die Überwachung der Postfächer sollte per Default aktiviert sein. Bei einigen älteren Tenants ist sie jedoch möglicherweise ausgeschaltet oder es kann vorkommen, dass sie bei der Einrichtung durch den Administrator deaktiviert wurde. Über PowerShell lässt sich das so prüfen:

    Get-MailBox | select Name, AuditEnabeld

    Mit PowerShell prüfen, ob die Protokollierung für Postfächer aktiviert ist

    Sollte ein Benutzerpostfach nicht den Wert True aufweisen, dann kann man dies mit

    Set-Mailbox -Identity <Name> -AuditEnabled $true

    ändern.

    Überwachungsprotokollsuche

    Wenn für den Tenant die Überwachung nicht aktiviert wurde, so sollte dies im Security & Compliance Center unter Suche => Überwachungs­protokol­lsuche zu sehen sein.

    Per Vorgabe ist die Überwachung nicht eingeschaltet

    Die Funktion lässt sich einfach über die Schaltfläche Überwachung aktivieren einschalten. Alternativ kann man dazu PowerShell verwenden. Dazu muss man erst die Anpassung der Exchange-Organisation zulassen, danach folgt der Aufruf von

    Set-AdminAuditLogConfig - UnifiedAuditLogIngestionEnabled $true

    Enable-OrganizationCustomization-Cmdlet darf man in einer Exchange-Online-Organisation nur einmal ausführen.

    Auf der GUI sollte dann auch folgende Information zu finden sein:

    Nach dem Aktivieren der Protokollsuche in PowerShell bestätigt de GUI den Erfolg dieser Aktion.

    Die gelb markierte Nachricht enthält den Hinweis, dass die diese Funktion in ein neues Portal umgezogen ist. Der Link führt zu folgender Seite.

    In der zentralen Übersicht kann man nach verschiedenen Vorfällen suchen. In unserem Beispiel habe ich alles zum Thema Exchange im Filter angeklickt und ausgeben lassen.

    Überwachungsprotokoll nach allen Exchange-bezogenen Ereignissen durchsuchen

    Warnungen konfigurieren

    Wenn man eine Warnung erstellen möchte, dann wird man in das alte Portal umgeleitet, weil das neue diese Funktion offenbar noch nicht beherrscht.

    Um eine neue Warnung anzulegen, wird noch das alte Portal benötigt

    Hier sind verschiedene Templates für Warnungen bereits vorkon­figuriert, die man nur noch aktivieren muss. Über die Schaltfläche (+ Neue Warnungsrichtlinie) kann man eine neue benutzer­definierte Warnung erstellen.

    Keine Kommentare