Microsoft Purview Audit: Einheitliches Auditprotokoll für kleine Unternehmen in Berlin

Bei einem Sicherheitsvorfall lautet die erste Frage immer: Was ist passiert, wann, und auf welche Konten und Daten? Ohne ein zentrales Auditprotokoll bedeutet die Beantwortung dieser Frage in einer Microsoft-365-Umgebung das manuelle Korrelieren fragmentierter Aufzeichnungen aus Exchange, SharePoint, Teams und Entra ID — ein Prozess, der Tage dauert und häufig Lücken hinterlässt. Microsoft Purview Audit löst dieses Problem, indem jede wesentliche Benutzer- und Administratoraktion über die gesamte Microsoft-365-Suite hinweg in einem einzigen, durchsuchbaren Protokoll erfasst wird.

Was ist Microsoft Purview Audit?

Microsoft Purview Audit ist die einheitliche Aktivitätsprotokollierungsschicht für Microsoft 365. Sie erfasst Benutzer- und Administratoraktivitäten über Exchange Online, SharePoint, OneDrive, Teams, Entra ID, Power Platform, Defender und weitere Microsoft-365-Dienste. Jedes Audit-Ereignis enthält: wer die Aktion durchgeführt hat, welche Aktion ausgeführt wurde, auf welche Ressource, von welcher IP-Adresse und welchem Standort aus, und wann. Das Ergebnis ist ein umfassendes Aktivitätsprotokoll für Sicherheitsuntersuchungen, Compliance-Audits und forensische Analysen.

Purview Audit ist in zwei Stufen verfügbar: Audit (Standard) — in den meisten Microsoft-365-Plänen enthalten — und Audit (Premium), das die Aufbewahrung auf bis zu zehn Jahre verlängert und intelligente Erkenntnisse sowie höhere API-Bandbreite hinzufügt.

Was wird protokolliert

Exchange Online: E-Mail-Sendungen, Empfänge, Verschiebungen und Löschungen. Postfachberechtigungsänderungen. Erstellung und Änderung von Weiterleitungsregeln — ein kritischer Erkennungspunkt für Business-E-Mail-Kompromittierung, bei der Angreifer Posteingangsregeln erstellen, um Kopien von E-Mails an externe Adressen weiterzuleiten.

SharePoint und OneDrive: Dateizugriffe, Erstellung, Änderung, Löschung und Freigabe. Externe Freigabeereignisse. Berechtigungsänderungen. Diese Ereignisse sind zentral für die Untersuchung von Datenexfiltrationsvorällen.

Microsoft Teams: Kanal-Erstellung und -Löschung, Nachrichtenlöschung, Mitgliedschaftsänderungen und Meeting-Aufzeichnungen. Für Organisationen, die Teams für die interne Kommunikation nutzen, liefern Teams-Audit-Ereignisse das Aktivitätsprotokoll für Compliance und Vorfallsuntersuchungen.

Entra ID: Benutzererstellung, -löschung und -änderung. Rollenzuweisungen und -entfernungen. Passwortänderungen und -zurücksetzungen. MFA-Konfigurationsänderungen. Anwendungs-Consent-Gewährungen. Diese Identitätsereignisse sind kritisch für die Erkennung unbefugter Privilegien-Eskalation oder Kontoübernahmen.

Administratoraktivitäten: Alle Tenant- und Dienstkonfigurationsänderungen werden protokolliert — neue Conditional-Access-Richtlinien, Änderungen an Sicherheitseinstellungen, eDiscovery-Fallerstellung, DLP-Richtlinienänderungen.

Aufbewahrung: Standard vs. Premium

Audit (Standard) bewahrt Audit-Protokolle für 90 Tage für Nutzer mit den meisten Microsoft-365-Lizenzen und 180 Tage für Nutzer mit Microsoft 365 E3 oder Business Premium auf. Audit (Premium) verlängert die Aufbewahrung auf ein Jahr standardmäßig und erlaubt bis zu zehn Jahre mit dem Microsoft-365-Audit-Log-Retention-Add-on.

Für Berliner KMUs ist die 180-Tage-Aufbewahrung unter Business Premium für die meisten Sicherheitsvorfallsuntersuchungen ausreichend. Branchenspezifische regulatorische Anforderungen — Finanzdienstleistungen, Gesundheitswesen, Recht — können längere Aufbewahrung vorschreiben, in welchem Fall Audit Premium oder Log-Export in externen Speicher evaluiert werden sollte.

Suche und Untersuchung von Audit-Protokollen

Das Purview-Compliance-Portal bietet eine grafische Audit-Log-Suchoberfläche: Aktivitätstypen, Zeitraum, Nutzer und Ressourcentypen auswählen — Ergebnisse als CSV exportierbar. Für programmatischen Zugriff ermöglicht die Management-Activity-API die Abfrage von Audit-Ereignissen in großem Maßstab, was für die Integration in Microsoft Sentinel oder SIEM-Lösungen Dritter relevant ist.

Wertvolle Audit-Abfragen für Berliner KMUs

Spezifische Audit-Suchen mit unmittelbarem Sicherheitsmehrwert: Erstellung von Weiterleitungsregeln (BEC-Post-Kompromittierung-Persistenz erkennen), Massendateizugriffe (Datenexfiltrationsmuster erkennen), externe Freigabeereignisse (verfolgen, welche Daten die Organisation verlassen haben), Administratorrollen-Änderungen (unbefugte Privilegien-Eskalation erkennen), MFA-Methoden-Registrierung (Kontoübernahmevorbereitung erkennen), und Anwendungs-Consent-Gewährungen (OAuth-Phishing-Angriffe erkennen).

Integration mit Microsoft Sentinel

Für Berliner KMUs mit Microsoft Sentinel integriert der Microsoft-365-Daten-Connector Unified-Audit-Log-Ereignisse direkt in den Sentinel-Workspace. Das ermöglicht KQL-basierte Korrelation zwischen Audit-Ereignissen und anderen Sicherheitssignalen: Ein Hochrisiko-Anmeldeereignis aus Entra ID Protection, gefolgt von Postfachregelerstell und massenweitem SharePoint-Dateidownload — ein klassisches Muster für Kontoübernahme gefolgt von Datenexfiltration — wird in Sentinel automatisch als korrelierter Vorfall angezeigt.

Integration mit Microsoft Purview Informationsschutz

Vertraulichkeitsbezeichnungsaktivitäten werden im Unified Audit Log erfasst: Welche Nutzer haben Vertraulichkeitsbezeichnungen auf welchen Dokumenten angewendet, geändert oder entfernt, und wann. Für Berliner KMUs, die Microsoft Purview Informationsschutz mit Vertraulichkeitsbezeichnungen eingesetzt haben, liefert das Audit-Protokoll den Compliance-Nachweis, dass Beschriftungsrichtlinien angewendet werden — wesentlicher Nachweis für DSGVO-Rechenschaftspflichten.

DLP-Richtlinien-Match-Ereignisse

Wenn eine Microsoft-Purview-DLP-Richtlinie ausgelöst wird — etwa wenn ein Nutzer versucht, ein personenbezogene Daten enthaltendes Dokument extern zu teilen — wird das DLP-Ereignis im Unified Audit Log erfasst. Das schafft einen auditfähigen Nachweis der Richtliniendurchsetzung: Welche Richtlinie wurde ausgelöst, welcher Nutzer hat sie ausgelöst, welche Inhalte haben gematcht, und welche Aktion wurde ergriffen. Für Berliner KMUs, die DSGVO-Compliance gegenüber Prüfern nachweisen müssen, ist dieses Audit-Protokoll ein konkretes Compliance-Artefakt.

Fazit

Microsoft Purview Audit ist die grundlegende forensische und Compliance-Fähigkeit, die jedes Berliner KMU mit Microsoft 365 ordnungsgemäß konfiguriert haben sollte. Audit-Protokollierung ist standardmäßig für die meisten Microsoft-365-Mandanten aktiviert — die wichtigsten Maßnahmen sind: Verifizieren, dass die Protokollierung aktiv ist, den Aufbewahrungszeitraum unter der aktuellen Lizenz kennen, und eine Baseline der normalen Aktivität etablieren, bevor ein Vorfall eintritt. Wenn etwas schiefgeht — und in jeder Organisation relevanter Größe wird das irgendwann der Fall sein — ist ein befülltes Unified Audit Log der Unterschied zwischen einer zweistündigen und einer zweiwöchigen Untersuchung.