Überwachung und Protokollierung

Schützen Sie Daten durch Sichtbarkeit und eine schnelle Reaktion auf frühzeitige Sicherheitswarnhinweise

Die Überwachung und Protokollierung von sicherheitsbezogenen Ereignissen und entsprechenden Warnungen sind wichtige Komponenten einer effektiven Datenschutzstrategie. Sicherheitsprotokolle und -berichte stellen Ihnen elektronische Datensätze zu verdächtigen Aktivitäten zur Verfügung. Sie sorgen dafür, dass Sie Aktivitätsmuster erkennen können, die auf versuchte oder erfolgreiche Netzwerkeinbrüche sowie interne Angriffe hinweisen. Mit der Überwachung können Sie die Benutzeraktivitäten nachverfolgen, eine gesetzeskonforme Dokumentation und forensische Analysen erstellen und vieles mehr. Bei Sicherheitsereignissen werden Sie umgehend benachrichtigt.

Microsoft-Dienste und -Produkte für Unternehmen stellen Ihnen konfigurierbare Möglichkeiten zur Sicherheitsüberwachung und -protokollierung zur Verfügung. So können Sie Lücken in Ihren Sicherheitsrichtlinien und -mechanismen aufdecken und schließen, um Sicherheitsvorfälle zu verhindern. Die einzelnen Microsoft-Dienste stellen mehrere oder alle der folgenden Optionen bereit: zentralisierte Überwachung, Protokollierung, Analysesysteme für kontinuierliche Informationen sowie frühzeitige Warnungen und Berichte, über die Sie die vielen von den Geräten und Diensten generierten Informationen verwalten können.

Die Microsoft Azure-Protokolldaten können zur Analyse in SIEM-Systeme (Sicherheitsinformations- und Ereignismanagement) exportiert werden. Windows Server 2016 bietet eine grundlegende und erweiterte Sicherheitsüberwachung, die in Überwachungslösungen von Drittanbietern integriert werden kann.

Sichere Identitäten

Die Konfiguration der Sicherheitsüberwachungsfunktionen in Produkten und Diensten von Microsoft sowie der Zugriff auf die Sicherheitsüberwachungsprotokolle sind auf die Administratoren beschränkt. Die Identitäten der administrativen Benutzer werden über Active Directory unter Windows Server 2016 oder Azure Active Directory in der Cloud authentifiziert.

Windows Server 2016 unterstützt eine Ablauffunktion für Gruppenmitgliedschaften. Mit dieser können Sie einem Benutzer für einen begrenzten Zeitraum administrative Berechtigungen (Just-in-Time-Administration) sowie eingeschränkte administrative Rechte (Just-Enough-Administration) zuweisen. Microsoft Azure und Microsoft Office 365 unterstützen die Multi-Faktor-Authentifizierung in der Cloud.

Sichere Infrastruktur

Microsoft bietet Überwachungs- und Protokollierungstechnologien, die Ihnen einen umfassenden Einblick in die Aktivitäten in Ihrem cloudbasiertem Netzwerk, ihren Anwendungen und auf Ihren Geräten gewähren, sodass Sie mögliche Sicherheitslücken aufdecken können. Die Möglichkeit, solche Informationen zu sammeln, zu analysieren und anschließend entsprechend Ihrer Kriterien zu filtern, sorgt dafür, dass Sie Muster und Trends in Ihrem Netzwerk erkennen. Bei einem Sicherheitsereignis haben Sie Zugriff auf Informationen, die für Untersuchungen benötigt werden. Diese stellen einen wichtigen Bestandteil des Reaktionsprozesses dar. Anhand dieser Daten können Sie einen besseren Schutz für Ihre Infrastruktur entwerfen und implementieren. Ziel dabei ist es, zukünftige Sicherheitsvorfälle proaktiv zu verhindern und die Sicherheit Ihrer Ressourcen und Daten zu erhöhen.

Zur Einhaltung von gesetzlichen Bestimmungen und Branchenvorschriften sind detaillierte Sicherheitsüberwachungspfade erforderlich.

Microsoft stellt viele Möglichkeiten zur Überwachung und Protokollierung von Sicherheitsereignissen zur Verfügung.

  • Mit an Ihre Sicherheits- und Informationsanforderungen anpassbaren Sicherheitsereignisprotokollen können Sie Aktivitäten nachverfolgen, die möglicherweise ein Risiko für Ihre virtuellen Maschinen in der Cloud oder Ihre lokalen Systeme darstellen.
  • Mit Überwachungsrichtlinien definieren Sie die zu überwachenden Ereignistypen und Benutzer.
  • Über Sicherheitswarnungen, die per Dashboard, E-Mail oder auf anderem Wege gesendet werden, werden Sie benachrichtigt, wenn ein sicherheitsbezogenes Ereignis auftritt oder aufgetreten ist.
  • Mit Exporttools können Sie die Daten dann an ein Drittanbieter-SIEM exportieren.
  • Mit Drittanbietertools für Überwachung und Warnhinweise aus dem Azure Marketplace können Sie die Effektivität Ihrer Überwachung und Berichterstellung noch erhöhen.
  • Das Azure Security Center ist ein zentralisiertes Portal, über das Sie Ihre Azure-Bereitstellungen absichern und über mehr Informationen zur Sicherheit Ihrer Azure-Ressourcen Bedrohungen vermeiden, erkennen und beseitigen können. Das Azure Security Center stellt gezielte Sicherheitsempfehlungen zur Verfügung und ermöglicht die schnelle Bereitstellung von integrierten Partnertechnologien. Es nutzt Verhaltensanalysen und Machine Learning-Funktionen zur effektiven Bedrohungserkennung und unterstützt Sie bei der Erstellung einer Angriffschronik für die schnellere Behebung.

Erfahren Sie mehr über das Azure Security Center

Sichere Apps und Daten

Die in die Produkte und Dienste von Microsoft integrierten Sicherheitsfeatures, beispielsweise zur Überwachung und Protokollierung, gewähren Ihnen Einblicke in Sicherheitsereignisse und den Sicherheitsstatus.

Alle einblenden

Mit den Überwachungs- und Protokollierungsfunktionen von Azure haben Sie folgende Möglichkeiten:

  • Erstellen eines Überwachungspfades für in Azur bereitgestellte Anwendungen und über den Azure Virtual Machines-Katalog erstellte virtuelle Maschinen. Azure aktiviert standardmäßig eine Reihe von Sicherheitsereignissen für das Betriebssystem. Sie können Ereignisse durch Anpassung der Überwachungsrichtlinie für die Überwachung hinzufügen, entfernen oder ändern. Zusätzlich zu den Windows-Ereignisprotokollen können Sie die Betriebssystemkomponenten so konfigurieren, dass Protokolle für die Sicherheitsanalyse und -überwachung generiert werden.

    Erfahren Sie mehr über die Sicherheits- und Überwachungsprotokollierung
  • Durchführung zentralisierter Analysen großer Datasets durch das Erfassen von Infrastructure-as-a-Service (IaaS)- und Platform-as-a-Service (PaaS)-Sicherheitsereignissen. Die entsprechenden Ereignisse können Sie anschließend mit HDInsight zusammenführen und analysieren. Dann können Sie die Ereignisse in lokale SIEM-Systeme (Sicherheitsinformations- und Ereignismanagement) exportieren und weiter überwachen.

    Erfahren Sie mehr über HDInsight
  • Nutzung der Zugriffs- und Nutzungsberichte auf Basis der Azure-Protokollierung von Verwaltungsvorgängen einschließlich des Systemzugriffs, um einen Überwachungspfad für nicht autorisierte oder versehentliche Änderungen anzulegen. Sie können Überwachungsprotokolle für Ihren Azure Active Directory-Mandanten abrufen und Zugriffs- und Nutzungsberichte anzeigen. So erhalten Sie Einblick in die Integrität und Sicherheit Ihrer Bereitstellung und können besser bestimmen, wo es potenzielle Sicherheitsrisiken geben kann. Im Azure-Verwaltungsportal können Sie Nutzungs- und Ressourcenberichte anzeigen – beispielsweise Berichte zu anomalen Anmeldeereignissen, benutzerspezifische Berichte und Aktivitätsprotokolle.

    Erfahren Sie mehr über Zugriffs- und Nutzungsberichte
  • Exportieren von Sicherheitswarnungen in ein lokales SIEM mit der Microsoft Azure-Diagnose. Dabei können Sie die Erfassung von Windows-Sicherheitsereignisprotokollen und anderen Sicherheitsprotokollen konfigurieren. Sie können diese Daten außerdem zu Analyse- und Benachrichtigungszwecken in ein lokales SIEM-System eines Drittanbieters exportieren.

    Erfahren Sie mehr über die Aktivierung der Azure-Diagnose
  • Nutzung von Drittanbieter-Tools für die Sicherheitsüberwachung, Berichterstellung und für Warnungen aus dem Azure Marketplace, einschließlich:

Microsoft Professional Services arbeitet bei der Protokollierung und Überwachung seiner Systeme mit einem risikobasierten Ansatz. Die grundlegenden Protokollanforderungen werden bereits während der Entwicklung ermittelt und implementiert. Bei Systemen mit einem mittleren oder hohen Risiko (basierend auf Vertraulichkeit, Datenvolumen und anderen Kriterien) protokolliert Microsoft Professional Services den Datenzugriff und die Veränderung der Daten. Die Protokolle ermöglichen die Erkennung von bereits aufgetretenen oder laufenden Sicherheitsvorfällen. Sie stellen den untersuchenden Mitarbeitern so viele Informationen bereit, dass sie die Umstände eines Vorfalls nachvollziehen können – inkl. der Namen der Mitarbeiter, die auf die Daten zugegriffen haben, auf was zugegriffen wurde und wann dies geschehen ist.

Mit der Datenbankprotokollierung können Sie bestimmte Änderungen in Dynamics 365 nachverfolgen und beispielsweise ein revisionssicheres Protokoll von Änderungen an bestimmten Tabellen mit vertraulichen Informationen erstellen.

Erfahren Sie mehr in der Auditing-Übersicht für Dynamics 365

Der Schlüssel zur sicheren Bereitstellung von Computern und Mobilgeräten in einer Organisation ist die Möglichkeit zur Überwachung des Status dieser Geräte. Intune informiert über den Lizenzstatus aller Geräte und stellt verschiedene Aktionen für die Geräte bereit, beispielsweise das Remotelöschen eines Gerätes. Zusätzlich bietet Intune zwei Möglichkeiten zur Überwachung der von Intune verwalteten Geräte:

  • Berichte ermöglichen die Überwachung des Status der Geräte (inkl. Status von Softwareupdates, der installierten Software und der Compliance). Mit Berichten können Sie außerdem das von Intune zusammengestellte Hardware- und Softwareinventar der Geräte und Computer untersuchen.
  • Warnhinweise unterstützten die Überwachung des Status von Geräten. Dazu zählen der Endpoint Protection-Status und entsprechende Warnungen zu Schadsoftware sowie Warnungen bei geringem Speicherplatz und zur Netzwerkverbindung.

Erfahren Sie mehr über das Intune-Geräteinventar

Die Office 365-Überwachungsrichtlinien ermöglichen die Protokollierung von Ereignissen. Dazu gehören das Anzeigen, Bearbeiten und Löschen von Inhalten wie E-Mail-Nachrichten, Dokumenten, Aufgabenlisten, Problemlisten, Diskussionsgruppen und Kalendern. Wenn die Überwachung im Rahmen einer Informationsverwaltungsrichtlinie aktiviert ist, können Sie Berichte zu Überwachungsdaten und Zusammenfassungen zur aktuellen Verwendung anzeigen. Sie können mithilfe dieser Berichte außerdem ermitteln, wie Informationen innerhalb der Organisation verwendet werden, um Compliancerichtlinien zu verwalten und Problembereiche zu untersuchen.

Möglicherweise müssen Sie aus geschäftlichen, gesetzlichen oder regulatorischen Gründen E-Mail-Nachrichten aufbewahren, die von Benutzern in Ihrer Organisation gesendet und empfangen wurden. Vielleicht möchten Sie auch E-Mails löschen, die nicht aufbewahrt werden müssen. Office 365 enthält Technologien zur Verwaltung von Nachrichtendatensätzen. Damit können Sie steuern, wie lange Nachrichten im Postfach von Benutzern aufbewahrt werden sollen, und bestimmen, was nach einer bestimmten Zeit mit einer Nachricht geschieht.

Erfahren Sie mehr über die Office 365-Sicherheit

Mit den Azure-Überwachungsprotokollen für Power BI können Sie Überwachungsprotokolle der Azure-Dienste analysieren und visualisieren. Sie können mit Power BI Azure-Daten abrufen, ein Standard-Dashboard bereitstellen und Berichte auf Basis dieser Daten generieren. Anschließend können Sie alle Daten an einem zentralen Ort nutzen und analysieren, um neue Erkenntnisse zu gewinnen. Sie können die Berichte filtern und Felder hinzufügen, die Sie überwachen möchten. Außerdem können Sie den Zeitrahmen für die Aktualisierung des Dashboards und der zugrunde liegenden Berichte steuern. So stehen Ihnen stets aktuelle Informationen zur Verfügung.

Erfahren Sie mehr über die Analyse und Visualisierung von Azure-Überwachungsprotokollen mit Power BI

Visual Studio Team Services (Team Services) verwendet die Platform-as-a-Service-Infrastruktur sowie viele der zentralen Dienste von Azure. Dazu zählen die Ereignisprotokollierung, die Zugriffsüberwachung, die Nutzungsberichte sowie Azure Blob Storage- und Azure SQL-Datenspeicher. In Azure werden Aktivitäten protokolliert, und Echtzeitwarnungen zeigen Angriffe auf.

Team Services arbeitet außerdem mit Microsoft Team Foundation Server (TFS). TFS stellt Funktionen zur Datenerfassung und zur Speicherung von Konfigurationsobjekten bereit. Darüber hinaus stehen Funktionen zur Verwaltung und Berichterstellung für die Visual Studio-IDE (Integrated Development Environment) zur Verfügung. TFS protokolliert erfolgreiche und fehlerhafte Anmeldungen und den Zugriff auf Serverressourcen. TFS verfolgt außerdem den Verlauf von Arbeitselementen, deren Öffnen durch Benutzer und die durchgeführten Änderungen. Sie können diese Informationen über das Webportal oder über Team Explorer anzeigen.

Erfahren Sie mehr über die Team Services-Protokollierung

Windows Server 2016 basiert auf den Überwachungs- und Protokollierungsfunktionalitäten der Vorgängerversionen, um einen Überwachungspfad für die auf dem Server aufgetretenen Ereignisse zu generieren. Microsoft stellt seinen Kunden nun die gleichen Überwachungs- und Protokollierungsfunktionen in ihren Umgebungen bereit, die auch unser internes Microsoft Security Operations-Team einsetzt.

Sie können Überwachungsrichtlinieneinstellungen auf lokale Dateien oder Ordner anwenden und so den Datenzugriff nachverfolgen und Wechseldatenträger überwachen. Sie können die Überwachung über Gruppenrichtlinien konfigurieren. Mittels einer erweiterten Überwachungsrichtlinie haben Sie die Möglichkeit, eine ausdrucksbasierte Überwachung einzurichten. Mit dieser können Sie die zu überwachenden Aktivitäten genauer festlegen. Die Überwachungsinformationen werden in das Windows-Sicherheitsprotokoll geschrieben und können über die Ereignisanzeige von Administratoren angezeigt werden. Zudem haben wir genauere Unterkategorien für Überwachungs- und Anmeldeereignisse hinzugefügt und stellen für eine einfachere Analyse detailliertere Informationen zur Verfügung.

Erfahren Sie mehr über die erweiterte Überwachung in Windows Server 2016