Blog Datensicherheit

Anleitung für die Journal- und Diagnosefunktion in Exchange

von Manuel Roldan-Vega Die Erstellung von Journalen und Diagnoseprotokollen sind Dienste zur Überwachung und Überprüfung von Aktivitäten auf Microsoft-Exchange-Servern. Sie bieten grundlegende Auditing-Funktionen für E-Mail-Vorgänge (z. B. wer welche Nachricht an...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Contents

    von Manuel Roldan-Vega

    Die Erstellung von Journalen und Diagnoseprotokollen sind Dienste zur Überwachung und Überprüfung von Aktivitäten auf Microsoft-Exchange-Servern. Sie bieten grundlegende Auditing-Funktionen für E-Mail-Vorgänge (z. B. wer welche Nachricht an wen versendet hat) und ermöglichen es Organisationen, durch die Erfassung und Analyse dieser Informationen wichtige Fragen über die E-Mail-Verwendung zu beantworten und die Einhaltung von Richtlinien und Vorschriften sicherzustellen. (Hinweis: Varonis DatAdvantage für Exchange benötigt die Journal- und Diagnosefunktion nicht, um Exchange-Aktivitäten zu überwachen.)

    Mithilfe von Journalen wird der E-Mail-Verkehr erfasst und Nachrichten auf den Hub-Transport-Servern verarbeitet. Die vom Journal-Agenten aufgezeichneten Informationen können in Journalberichten dargestellt werden, die auch die Originalnachrichten inklusive aller Anhänge beinhalten.

    Die Diagnosefunktion schreibt zusätzliche Aktivitäten in das Ereignisprotokoll, das über die Windows-Ereignisanzeige zugänglich ist. Zu diesen Aktivitäten gehören „Nachricht gesendet als“ und „Nachricht gesendet im Auftrag von“. Die Diagnosefunktion lässt sich in der Exchange-Verwaltungskonsole im Fenster „Eigenschaften der Diagnoseprotokollierung verwalten“ konfigurieren.

    Mithilfe von Journalen und Diagnoseprotokollen werden enorme Mengen von Ereignissen erfasst und große Mengen von Rohdaten generiert. Deshalb ist es äußerst wichtig, zu planen, welche Postfächer und Nachrichten überwacht werden sollen, und vor der Aktivierung der Funktion zusätzlichen Speicherplatz zur Verfügung zu stellen.

    Hier erfahren Sie, wie Sie die Journal- und Diagnosefunktion auf Ihrem Exchange-Server aktivieren.

    Einrichten der Journalfunktion in Exchange

    Sie können zwischen Standard- und Premiumjournalen wählen. Bei der Standardvariante werden alle gesendeten und empfangenen Nachrichten von Postfächern in einer bestimmten Postfachdatenbank protokolliert. Die Premiumfunktion erlaubt hingegen das Protokollieren einzelner Empfänger mithilfe von Journalregeln.

    So richten Sie die Journalfunktion auf Ihrem Exchange-Server ein:

    1. Erstellen Sie zunächst ein Journalpostfach. Dieses Postfach wird so konfiguriert, dass darin alle Journalberichte gesammelt werden. Idealerweise sollte kein Speicherlimit gesetzt werden, damit alle Berichte erfasst werden können. Einrichten des Postfachs:
      1. Wählen Sie eine Organisationseinheit aus (nicht die Standardeinstellung).
      2. Weisen Sie einen Anzeigenamen zu.
      3. Weisen Sie einen Benutzeranmeldenamen zu. Der Nutzer verwendet diesen Namen für die Anmeldung bei diesem Postfach.
      4. Richten Sie ein Kennwort ein. Denken Sie daran, dass Journalpostfächer sensible Informationen enthalten können, da zusammen mit dem Bericht jeweils eine Kopie der Nachrichten gespeichert wird.
    2. Für die Standard-Journalfunktion müssen die Eigenschaften der Postfachdatenbank geändert werden. Geben Sie auf der Registerkarte „Knoten“/„Organisationskonfiguration“/„Postfach“/„Datenbankverwaltung“/„Wartung“ das Journalpostfach an, an das die Journalberichte gesendet werden sollen.
    3. Für Premium-Journale ist eine Exchange-Enterprise-Client-Lizenz erforderlich. Zum Einrichten von Premium-Journalen müssen Journalregeln zur Konfiguration der Journalfunktion für bestimmte Empfänger erstellt werden. Auf der Exchange-Verwaltungskonsole können die Journalregeln in der Organisationskonfiguration auf der Registerkarte „Journalregeln“ im Abschnitt „Hub-Transport“ erstellt werden. Hier stehen die folgenden Felder zur Verfügung:
      1. Name
      2. Journalberichte an E-Mail-Adresse senden
      3. Bereich
        • Global – alle Nachrichten über den Hub-Transport
        • Intern – Nachrichten, die von Nutzern innerhalb der Organisation gesendet und empfangen werden
        • Extern – Nachrichten, die an Empfänger außerhalb der Organisation gesendet bzw. von ihnen empfangen werden
      4. Journal für Nachrichten des Empfängers erstellen – Journal für Nachrichten erstellen, die an oder von einem bestimmten Empfänger gesendet werden
      5. Regel aktivieren – Kontrollkästchen

    Stellen Sie sicher, dass anschließend „Abgeschlossen“ angezeigt und die Regel erfolgreich erstellt wird.

    Einrichten der Diagnosefunktion in Exchange

    Die Diagnoseprotokollierung wird für jeden Dienst auf jedem Server einzeln konfiguriert. So richten Sie die Diagnoseprotokollierung ein:

    1. Klicken Sie auf der Exchange-Verwaltungskonsole auf „Serverkonfiguration“.
    2. Zum Aktivieren der Diagnoseprotokollierung für einen Exchange-Server klicken Sie mit der rechten Maustaste auf den entsprechenden Server.
    3. Klicken Sie auf „Eigenschaften der Diagnoseprotokollierung verwalten“.
    4. Wählen Sie im Fenster „Eigenschaften der Diagnoseprotokollierung verwalten“ die Dienste aus, für die Sie die Diagnoseprotokollierung aktivieren möchten.
    5. Wählen Sie die gewünschte Diagnosestufe für den Dienst:
      • Niedrigste – nur kritische Ereignisse werden protokolliert
      • Niedrig – nur Ereignisse mit der Protokollierungsstufe 1 oder niedriger werden protokolliert
      • Mittel – Ereignisse mit der Protokollierungsstufe 3 oder niedriger werden protokolliert
      • Hoch – Ereignisse mit der Protokollierungsstufe 5 oder niedriger werden protokolliert
      • Experte – Ereignisse mit der Protokollierungsstufe 7 oder niedriger werden protokolliert
    6. Klicken Sie auf „Konfigurieren“. Es erscheint ein Bestätigungsbildschirm.

    Die Postfachüberwachungsprotokoll-Funktion in Microsoft Exchange 2010 wird Thema eines späteren Posts sein.

    The post Anleitung für die Journal- und Diagnosefunktion in Exchange appeared first on Varonis Deutsch.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    licht-am-ende-des-tunnels:-die-eu-datenschutzverordnung
    Licht am Ende des Tunnels: Die EU Datenschutzverordnung
    licht-am-ende-des-tunnels:-die-eu-datenschutzverordnung
    Michael Buckbee
    24. Juni 2015
    Über zwei Jahre lang haben wir kontinuierlich über die neuen EU Regelungen berichtet und beobachtet, wie sich die Ausarbeitungen, einer alten Dampflok nicht unähnlich, mit Schnaufen und Stampfen schrittweise vorwärts...
    war-es-x64dbg-und-wie-verwendet-man-es?
    War es x64dbg und wie verwendet man es?
    war-es-x64dbg-und-wie-verwendet-man-es?
    Neil Fox
    7. Juni 2021
    Eine Einführung und Übersicht über die Verwendung von x64dbg als Tool zur Malware-Analyse - dieser Beitrag ist der Auftakt zu einer vierteiligen Serie über x64dbg.
    ghidra-für-das-reverse-engineering-von-malware
    Ghidra für das Reverse Engineering von Malware
    ghidra-für-das-reverse-engineering-von-malware
    Neil Fox
    24. Mai 2022
    Eine Übersicht über das Malware-Analysetool Ghidra. In diesem Artikel erfahren Sie, wie Sie die Ghidra-Schnittstelle installieren und navigieren.
    stapelspeicher:-eine-übersicht-(teil-3)
    Stapelspeicher: Eine Übersicht (Teil 3)
    stapelspeicher:-eine-übersicht-(teil-3)
    Neil Fox
    29. September 2021
    Eine Übersicht über Stapelspeicher, seine Architektur und wie man ihn zum Reverse Engineering von Malware mit x64dbg nutzen kann.