Lebenszyklus eines DLP-Vorfalls
Wer DLP-Richtlinien aktiviert, aber die Alerts ignoriert, betreibt Compliance-Theater. Ein DLP-System ist kein statisches Schild, sondern ein Sensor-Netzwerk, das permanente Kalibrierung erfordert. Wenn sensible Daten den Tenant verlassen, entscheidet die Qualität deiner Triage-Prozesse über den Schaden, nicht allein die Block-Action.
Die Architektur von Microsoft Purview scannt Daten asynchron; dein Job ist es, diese Signale in handlungsrelevante Intelligence zu übersetzen, bevor dein Tea / SOC in False Positives erstickt.
Triage & Erstbewertung
Dein Einstiegspunkt ist das Microsoft Defender Portal. Hier laufen die Signale zusammen. Dein Ziel in dieser Phase ist die schnelle Reduktion der „Noise-to-Signal“-Ratio. Ein DLP-Alert allein sagt wenig aus – erst die Metadaten machen ihn bewertbar.
Nutze die Filterlogik, um Angriffe von Unfällen zu trennen. Ein User, der einmal aus Versehen eine Kreditkartennummer teilt, unterscheidet sich fundamental von einem Account, der in 10 Minuten 50 Dokumente mit dem Label „Streng Vertraulich“ auf einen privaten USB-Stick zieht.
Achte besonders auf die User Justification. Wenn du Richtlinien mit „Notify & Allow Override“ konfiguriert hast, müssen Benutzer begründen, warum sie die Blockade umgehen. Diese Begründung ist oft der schnellste Indikator für False Positives oder Prozesslücken.
Simulation & Policy Tuning
Bevor du eine DLP-Regel scharf schaltest („Turn it on“), gehört sie zwingend in den Simulations-Modus. Der entscheidende architektonische Vorteil: Du testest die Auswirkung, nicht nur die Syntax. In diesem Modus („Run the policy in simulation mode“) werden Signale generiert, aber keine Block-Actions ausgeführt und – das ist entscheidend – dein reguläres Incident-Queue wird nicht geflutet.
Die Ergebnisse dieser Testphase analysierst du nicht im globalen Alert-Queue, sondern in einer dedizierten Ansicht, die direkt an der Richtlinie hängt. Das hält deinen operativen Betrieb sauber, während du im Hintergrund die Regeln schärfst.
Der Workflow zur Analyse: Du navigierst zur Übersicht deiner DLP-Richtlinien. Sobald du eine Policy auswählst, die im Simulations-Modus läuft, ändert sich die Kontext-Leiste. Hier nutzt du den Button „Simulation anzeigen“ (View simulation). Dieser öffnet ein isoliertes Dashboard nur für diese spezifische Regel.
In dieser Simulations-Ansicht siehst du aggregiert:
- Treffer-Quote: Wie oft hätte die Regel gefeuert?
- Matching Items: Welche konkreten Dateien oder E-Mails wurden erkannt?
- Locations: Wo liegen die Daten (SharePoint, Exchange, OneDrive)?
Nutze diese Ansicht, um die Match-Rate gegen die Realität zu prüfen. Feuert deine neue Regel für „Internen Projektcode“ bei jeder E-Mail-Signatur? Hier erkennst du das Muster sofort. Erst wenn die False-Positive-Rate in dieser Ansicht unter deinem definierten Schwellenwert liegt (z. B. < 5%), verlässt du die Simulation und aktivierst die Regel.
Microsoft Defender XDR
Sobald deine Regel „scharf“ ist und anschlägt, verlassen wir die Konfigurationsebene. Dein erster Anlaufpunkt für eingehende Signale ist nicht mehr das Purview Portal, sondern das Microsoft Defender Portal.
Hier laufen DLP-Alarme mit EDR- (Endpoint) und Identity-Warnungen zusammen. Warum ist das für dich als Architekt wichtig? Weil DLP-Vorfälle selten isoliert passieren.
A) Die Incident-Queue (Single Pane of Glass) DLP-Alerts landen in der gleichen Queue wie Malware-Funde. Das erlaubt deinem SOC-Team, Zusammenhänge zu erkennen: Hat der User vor dem Upload der sensiblen Daten vielleicht eine Phishing-Mail geöffnet? Im Defender Portal wird aus einem isolierten „DLP-Regel-Treffer“ eine kontextreiche „Incident-Story“.
B) Die Alert-Story & Korrelation Klickst du auf einen DLP-Incident, siehst du nicht nur „Datei X blockiert“. Du siehst die Attack Story.
- Assets: Welcher Laptop? Welcher User?
- Graph: Wie hängt dieser DLP-Verstoß mit anderen Sicherheitsereignissen zusammen?
- Management: Hier weist du den Incident einem Analysten zu, setzt Tags oder klassifizierst ihn (True/False Positive), was wiederum via API (siehe Abschnitt 6) ausgelesen werden kann.
Wann wechselst du das Portal? Der Defender ist perfekt für die Verwaltung des Vorfalls (Status, Zuweisung, Kontext). Aber wenn du wissen willst, was genau in der Datei stand (Inhalts-Vorschau) oder welche spezifischen Metadaten-Änderungen passiert sind, springst du in die Purview Explorer (siehe nächster Abschnitt).
DLP | Die Forensik-Suite
Ein Alert liefert dir lediglich den Trigger (Zeitpunkt und Auslöser), aber selten den Kontext. Um einen Incident zu bewerten und False Positives auszuschließen, musst du zwei Fragen beantworten: „Was genau steht drin?“ (Inhalt) und „Was geschah davor/danach?“ (Korrelation).
Bevor du die Tools nutzt, musst du zwingend einen Check durchführen. Ohne diesen läufst du in technische Fehler („Access Denied“) oder logische Fehlannahmen.
Check: Latenz, Lizenz & Rollen
1. Latenz (Warnung) | Falls das Auditing oder die Compliance-Features erst seit <24 Stunden aktiv sind, liefern die Explorer keine verlässlichen Daten.
- Der Grund: Die Backend-Indizierung in den Unified Audit Log läuft asynchron verzögert.
- Die Konsequenz: Ein leerer View ist in dieser Phase kein Beweis für Inaktivität (False Negative), sondern lediglich ein Pipeline-Lag. Schließe Tickets niemals basierend auf dieser temporären Blindheit.
2. Lizenz-Mauer (E5 benötigt!) | Beim Versuch, tief in die Daten einzutauchen („Eyes on Data“), triffst du auf eine harte technische Barriere. Der Tenant prüft hier strikt deine Lizenzierung, bevor er den Inhalt im Viewer entschlüsselt, hier gibt es keinen Graubereich („Grace Period“).
| Lizenz-Szenario | Konsequenz im Daten-Explorer |
| ❌ Business Premium oder E3 (Stand-Alone) | Sackgasse. Du siehst nur die Metadaten-Aggregation (z. B. „5 Treffer“). Sobald du die Quelldatei öffnen willst, blockiert der Tenant hart. |
| ✅ Business Premium oder E3 + Add-On • Microsoft Purview Suite für Business Premium • oder E5 Compliance-Add-On für E3 | Open Access. Du musst nicht den Tenant auf E5 migrieren. Es genügt das passende Add-On für die Admins! |
| ✅ Microsoft 365 E5 | Open Access. In der E5-Suite ist der Zugriff enthalten. |
- Infos zu den Features in den jeweiligen Lizenzen | MS365 | Service Wegweiser
3. RBAC-Schleuse (Das Zwei-Stufen-Modell) | Selbst als Global Admin bist du hier standardmäßig eingeschränkt. Microsoft unterscheidet im Purview-Portal strikt zwischen „Wissen, wo es liegt“ (Liste) und „Wissen, was drin steht“ (Inhalt).
Wenn du eine Datenquelle auswählst kommt eine Fehlermeldung, meistens fehlt dir die zweite Berechtigungsstufe. Du musst Mitglied in den folgenden Rollengruppen sein:
- Pfad:
Purview Portal > Einstellungen > Rollen und Bereiche > Rollengruppen. - Die benötigten Rollen: Suche nach den korrekten Rollen, welche heißen:
- 🇺🇸 Content Explorer Content Viewer
- 🇺🇸 Content Explorer List Viewer
Replikation: Plane nach Zuweisung bis zu 60 Minuten Wartezeit ein, bis die Rollengruppe aktualisiert ist.
A) Daten-Explorer / Übersicht
Dies ist dein Einstiegspunkt (im Menü meist „Übersicht“). Du prüfst hier die Flughöhe, um das Ausmaß einzuschätzen (Isolierter Vorfall vs. Systemisches Problem).
Die Teaser-Falle (Lizenz-Check): Das Dashboard selbst ist oft sichtbar („Kostenloser Teaser“). Du siehst Datenquellen mit z. B. „150 Kreditkartennummern“. Doch Vorsicht: Sobald du auf eine Datenquelle klickst, um zu sehen, welche SharePoint-Site betroffen ist (Drill-Down), greift die Lizenz-Sperre!
- Ohne E5/Add-On: Du erhältst sofort den Blocker:„Aktualisieren Sie Ihr Abonnement… Für den Zugriff auf und die Verwendung von Inhalts-Explorer muss Ihre Organisation über […] Microsoft 365 E5 Compliance-Add-On verfügen.“
- Mit E5/Add-On: Du springst nahtlos in die Listenansicht der betroffenen Dateien.
B) Inhalts-Explorer (Beweis)
Hier zoomst du vom Großen ins Kleine. Um das Risiko final zu validieren, musst du den Inhalt sehen („Eyes on Data“).
Achtung | Die Sackgasse (Ebene 1): Falls du den Vorab-Check (siehe oben: Level-2-Rolle) nicht beachtet hast, endet deine Reise hier! Du siehst zwar die Statistiken (Aggregation: „Dieser Speicherort enthält 3 Kreditkartennummern“), wirst aber beim Versuch, den Speicherort zu öffnen, technisch geblockt. Du bleibst auf der Statistik-Ebene hängen.
Ebene 2 und weiter runter (Der Drill-Down): Wenn die Rollen passen, kannst du die jeweiligen Speicherorte auswählen und siehst die entsprechenden Dateien.
- Der Beweis: Das System rendert den Klartext der Datei im jeweiligen Speicherort im Vorschaufenster.
- Die Validierung: Hier verifizierst du faktisch: Ist die erkannte „Kreditkartennummer“ wirklich sensibel, oder ist es nur eine interne Bestellnummer, die zufällig den Luhn-Algorithmus-Check besteht (False Positive)?
⚠️ Hinweis – Betriebsrat & Datenschutz | Der Zugriff auf den Content Explorer hinterlässt eine unlöschbare Spur. Wenn du eine Datei öffnest, wird dies im Audit-Log für Administratoren protokolliert. Regel: Greife nur dann auf Inhalte zu, wenn ein begründeter Verdacht besteht und der Incident-Prozess dies legitimiert. In vielen Organisationen muss hierfür der Betriebsrat, der Datenschutzbeauftragte (DSB) oder der Informationssicherheitsbeauftragte (ISB) hinzugezogen werden (Vier-Augen-Prinzip).
C) Aktivitäten-Explorer (Kontext)
Nachdem du den Inhalt verifiziert hast (B), prüfst du hier die historische Kausalkette, um die Absicht (Intention) des Users zu bewerten. Ein simpler „Share“-Vorgang kann harmlos sein. Aber der Activity Explorer aggregiert die Metadaten-Timeline rund um das Event:
- Verschleierung: Hat der User die Datei kurz vorher massenhaft umbenannt?
- Downgrade: Wurde ein Sensitivity Label entfernt?
- Exfiltration: Wurde der Inhalt auf einen USB-Stick oder in eine private Cloud kopiert?
User-Education & Reporting
DLP ist nicht nur Technik, es ist Psychologie. Deine Architektur muss zwei Zielgruppen bedienen: Den Endanwender (damit er sein Verhalten ändert) und das Management (damit es den Risikostatus versteht).
A) Die „Human Firewall“
Policy Tips & Warnungen Der effektivste Alert ist der, den du als Admin nie siehst, weil der User ihn selbst gelöst hat. Policy Tips sind deine erste Verteidigungslinie. Sie tauchen direkt im Workflow (Outlook, Teams, Word) auf, bevor der User auf „Senden“ drückt.
- Architect-Rule: Konfiguriere Policy Tips nicht mit generischen Texten („Blockiert wegen DLP“). Nutze Custom-Texte: „Diese Datei enthält Kreditkartendaten. Bitte entferne sie oder nutze Label ‚Confidential‘, um verschlüsselt zu senden.“ Das reduziert Tickets im Helpdesk drastisch.
- Incident Reports (E-Mail): Für Admins gilt: Lass dich nicht spammen. Aktiviere E-Mail-Reports in der Richtlinie nur für High-Severity-Vorfälle oder bei Massen-Verstößen (Volume Threshold), sonst landen die Warnungen in deiner Outlook-Regel „Gelesen löschen“.
B) Statusberichte
„Vertrauen ist gut, Kontrolle ist Architektur.“ Früher hast du mühsam CSV-Exporte korreliert. Heute nutzt du die Posture Reports (Vorschau) im Purview Portal. Diese Ansicht verschiebt den Fokus von reinen Statistiken („100 Treffer“) hin zur Effektivität („Greift die Regel richtig?“).
Du findest diese unter DLP > Berichte > Posture Reports. Nutze sie für drei spezifische Architektur-Checks:
1. Regel-Ereignisse (Die Feinjustierung) Hier siehst du die am häufigsten ausgelösten einzelnen Regeln (nicht nur die ganze Policy) und die daraus resultierenden Aktionen (Block, Override, Info).
- Architekten-Blick: Wenn eine Regel zu 90% „Overrides“ erzeugt, ist sie technisch korrekt (sie matcht), aber prozessual falsch (sie stört).
- Action: Dies ist dein Indikator, um Ausnahmen (Exceptions) hinzuzufügen oder den Schwellenwert (Confidence Level) anzupassen.
2. Richtlinien-Ereignisse (Der Scope-Check) Dieser Bericht zoomt heraus und zeigt die Aktivität über alle Workloads (Exchange, Teams, Endpoint) hinweg.
- Architekten-Blick: Siehst du hier eine totale Stille bei „Teams“, obwohl die Richtlinie aktiv sein sollte? Das deutet oft auf Scope-Fehler (falsche Inklusion/Exklusion von Gruppen) hin.
- Action: Validiere hier, ob die Verteilung der Treffer deiner Erwartungshaltung entspricht (z. B. 80% Endpoint, 20% Exchange).
3. Benutzerrisiko (Die „Repeat Offenders“) DLP ist oft ein Ausbildungsproblem. Dieser Bericht identifiziert User, die wiederholt und workload-übergreifend gegen Richtlinien verstoßen.
- Architekten-Blick: Ein User, der täglich 50 Warnungen ignoriert, benötigt keine IT-Anpassung, sondern ein Gespräch mit dem Vorgesetzten oder eine Schulung. Technische Regeln können menschliches Verhalten nicht fixen.
C) Diagnose (Troubleshooting)
Wenn eine DLP-Regel nicht greift, beginnt oft das große Raten: Liegt es an der Latenz? Am RegEx? Am Scope? Microsoft hat hierfür versteckte, aber mächtige Diagnose-Widgets direkt im Portal integriert. Statt stundenlang auf Logs zu warten, startest du hier eine gezielte Prüfung.
Wähle unter Diagnose das passende Szenario:
| Diagnose-Szenario | Wann du es nutzt (Use Case) |
| Benutzer-Durchsetzung (Bestimmter Benutzer) | Der Klassiker: „Mein Chef sagt, bei ihm geht DLP nicht.“ Hier prüfst du, ob der User überhaupt im Scope der Policy ist (Gruppenmitgliedschaften, Exclusions). Das Tool löst Konflikte zwischen konkurrierenden Richtlinien auf. |
| Endpunkt-DLP Status (Sync & Onboarding) | Das Device-Problem: Die Regel ist aktiv, aber der User kann munter auf USB kopieren. Das Tool prüft die Synchronisierung zwischen Intune/Defender und dem Purview-Backend. Oft hängt hier der Client-Status oder das Onboarding ist fehlgeschlagen. |
| Datei-Analyse (SharePoint / OneDrive) | Der Content-Check: Eine spezifische Datei wird nicht erkannt, obwohl „Kreditkartennummer“ drinsteht. Du gibst die URL der Datei an. Das Tool analysiert die Eigenschaften und Klassifizierungs-Metadaten des Dokuments aus Sicht der Engine. |
| Warnungen fehlen (Alerting) | Das „Stille Post“-Problem: Der Block funktioniert, aber die Admins bekommen keine Mail. Prüft die Alert-Policies und mögliche Unterdrückungsregeln (Suppression Rules), die den Alarm verschlucken. |
| Outlook Web Tipps (OWA Policy Tips) | Der Browser-Check: In Outlook Desktop geht es, im Web (OWA) fehlt der Warnhinweis. Hier kannst du eine HAR-Datei (Browser-Trace) hochladen. Das Tool analysiert den Netzwerkverkehr, um zu sehen, ob der GetPolicyTips-Call vom Client blockiert wird. |
Tipp: Bevor du ein Support-Ticket bei Microsoft öffnest, führe zwingend die passende Diagnose aus. Das Ergebnis liefert dir oft eine „RunId“ oder einen spezifischen Fehlercode, der die Lösungszeit halbiert.
Graph API | klassifizieren & reporten
Microsoft hat kürzlich mit einem Update (zur News) eine wichtige Architektur-Komponente nachgeliefert: Die explizite Klassifizierung von DLP-Alerts. Administratoren können Warnungen nun den Status True Positive, False Positive oder Benign Positive zuweisen. Diese Metadaten werden bidirektional mit dem Microsoft Defender-Portal synchronisiert.
Das UI ist für Einzelanalysen akzeptabel, für skalierbare Security Operations (SecOps) jedoch ineffizient. Um DLP-Daten wirklich nutzbar zu machen, etwa für automatisierte Reports oder die Fütterung von SIEM-Systemen, müssen wir die Datenschicht direkt ansprechen. Die Lösung ist der alerts_v2 Endpunkt der Microsoft Graph API.
Ein Alert ohne Kontext ist wertlos. Durch das Zurückschreiben der Klassifizierung („Triage“) schließen wir den Regelkreis:
- Policy Tuning: Wenn 90% der Alerts einer Regel als „False Positive“ markiert werden, ist die Regel defekt, nicht das Benutzerverhalten.
- Incident Response: Ein „True Positive“ triggert Eskalationsprozesse, während „Benign Positive“ (z. B. genehmigte Tests) für Compliance-Audits dokumentiert werden.
Voraussetzungen und Scope
Wir nutzen das Microsoft Graph PowerShell SDK, da es die Authentifizierung und Token-Handhabung abstrahiert.
Für den schreibenden Zugriff auf Alerts ist zwingend der Permission Scope SecurityAlert.ReadWrite.All erforderlich. Ein reines Read.All genügt für das Reporting, scheitert aber beim Update-Versuch.
# Verbindung mit dem notwendigen Scope herstellen
Connect-MgGraph -Scopes "SecurityAlert.ReadWrite.All" -NoWelcome
Hinweis: Der Scope ‚SecurityAlert.ReadWrite.All‘ benötigt einmalig die Zustimmung eines Global Admins (Admin Consent).
Schritt 1: Gezielter Abruf alerts_v2
Die Graph Security API aggregiert Signale aus diversen Quellen (Defender for Endpoint, Identity, Cloud Apps). Um nur DLP-relevante Daten zu erhalten, filtern wir serverseitig nach der serviceSource. Dies reduziert die Payload und Latenz signifikant.
Wir nutzen Get-MgSecurityAlertV2, das direkte Interface zum modernen alerts_v2 Endpunkt.
# Abruf der DLP-Alerts (Letzte 500, sortiert nach Erstellungsdatum)
[array]$DLPAlerts = Get-MgSecurityAlertV2 `
-Filter "serviceSource eq 'dataLossPrevention'" `
-PageSize 500 `
-All `
-Sort "CreatedDateTime Desc"
# Validierung der Rohdaten
$DLPAlerts | Select-Object -First 1 Id, Title, Classification, StatusSchritt 2: Alerts klassifizieren
Das manuelle Taggen im Purview Portal ist zeitintensiv. Via PowerShell können wir Massenänderungen vornehmen – etwa alle Alerts eines bestimmten Zeitfensters oder Titels als „In Bearbeitung“ setzen.
Hierbei kommt Update-MgSecurityAlertV2 zum Einsatz. Wir aktualisieren nicht nur die Klassifizierung, sondern auch den Bearbeitungsstatus (status) und die Zuweisung (assignedTo), um die „Chain of Custody“ sauber abzubilden.
Wichtig: Die API erwartet spezifische Enum-Werte für die Klassifizierung (truePositive, falsePositive, unknown, informationalExpectedActivity).
# Beispiel: Einen spezifischen Alert greifen und klassifizieren
$TargetAlertId = $DLPAlerts[0].Id
# Definition der Update-Parameter
$UpdateParams = @{
determination = "other" # Grund der Entscheidung
status = "inProgress" # Workflow-Status
assignedTo = "secops@contoso.com"
classification = "truePositive" # Die eigentliche Bewertung
}
# Update durchführen
Update-MgSecurityAlertV2 -AlertId $TargetAlertId -BodyParameter $UpdateParamsDurch diesen Aufruf wird der Status sofort im Backend gesetzt und ist kurz darauf sowohl im Purview Portal als auch in Microsoft Defender sichtbar.
Schritt 3: Management-Reports
Die rohen API-Antworten sind tief verschachtelte JSON-Objekte. Für Management-Summaries oder CSV-Exporte müssen wir die Daten „flachklopfen“. Wir extrahieren nur die operativ relevanten Felder in ein PSCustomObject.
Dieses Skript erzeugt eine bereinigte Liste, die sofort exportiert oder in einer GridView analysiert werden kann:
$Report = [System.Collections.Generic.List[Object]]::new()
ForEach ($Alert in $DLPAlerts) {
# Zeitstempel normalisieren
$LastUpdated = If ($Alert.LastUpdateDateTime) {
Get-Date $Alert.LastUpdateDateTime -Format 'dd.MM.yyyy HH:mm'
} Else {
"N/A"
}
# Custom Object für saubere Tabellenstruktur
$ReportLine = [PSCustomObject][Ordered]@{
Id = $Alert.Id
Title = $Alert.Title
Created = Get-Date $Alert.CreatedDateTime -Format 'dd.MM.yyyy HH:mm'
Severity = $Alert.Severity
Status = $Alert.Status
Category = $Alert.Category
AssignedTo = $Alert.AssignedTo
Updated = $LastUpdated
Classification = $Alert.Classification # Das neue Feld
}
$Report.Add($ReportLine)
}
# Ausgabe zur Analyse
$Report | Out-GridView -Title "DLP Alert Classification Report"
# Optional: Export
# $Report | Export-Csv -Path "C:\Temp\DLP_Report.csv" -NoTypeInformation -Encoding UTF8Fazit: Vom Rauschen zur Strategie
Ein isolierter DLP-Alert ist technisch gesehen wertlos – erst der Kontext macht ihn handlungsrelevant. Die wahre Kontrolle entsteht, wenn du die Silos zwischen Compliance (Purview) und Security (Defender/Sentinel) aufbrichst und die neuen Klassifizierungs-Möglichkeiten nicht nur als UI-Update verstehst.
Nutze die API (Update-MgSecurityAlertV2), um Alerts nicht nur zu konsumieren, sondern aktiv mit Kontext anzureichern. Dieser Prozess muss zirkulär sein: Die so gewonnene historische Datenbasis liefert dir die Metriken, um deine „Sensitive Information Types“ (SITs) und Confidence Levels präzise nachzuschärfen. Wer diesen Feedback-Loop automatisiert, transformiert DLP von einer reaktiven „Klick-Arbeit“ in ein proaktives Incident-Management, das echte Risiken zuverlässig vom Hintergrundrauschen trennt.
weitere Links
| PhinIT Features / Lizenz-Vergleich | MS365 | Service Wegweiser |
| Purview Azure Information Protection (AIP) | Sensitivity Labels: Architektur & Praxis-Guide |
| Purview Azure Information Protection (AIP) | Sensitivity Labels: Automatisierte Anwendung |
| DLP-Richtlinien im Simulationsmodus testen | https://learn.microsoft.com/en-us/purview/dlp-simulation-mode-learn |
| Berechtigungen für den Inhalts-Explorer | https://learn.microsoft.com/de-de/purview/data-classification-content-explorer#permissions |
| DLP-Warnungen in Defender XDR untersuchen | https://learn.microsoft.com/en-us/purview/dlp-alert-investigation-learn |
Microsoft Graph API alerts_v2 Dokumentation | https://learn.microsoft.com/de-de/graph/api/security-list-alerts_v2 |
| Microsoft Graph PowerShell SDK installieren | https://learn.microsoft.com/de-de/powershell/microsoftgraph/installation |
| Durchsuchen des Unified Audit Logs | https://learn.microsoft.com/de-de/purview/audit-search |
This post is also available in:
Deutsch
2 Trackbacks / Pingbacks