AipHeartBeat
Azure Information Protection es un servicio que permite a las organizaciones clasificar y etiquetar datos confidenciales, y aplicar directivas para controlar cómo se accede a esos datos y se comparten.
AipHeartBeat es un tipo de evento que se registra en el registro de auditoría unificado de Office 365. Los eventos de AipHeartBeat se generan automáticamente y son útiles para realizar un seguimiento del estado y el estado del servicio AIP.
Acceso al registro de auditoría unificado de Office 365
Se puede acceder a los registros de auditoría mediante los métodos siguientes:
- La herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview.
- El cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell.
- La API de Actividad de administración de Office 365.
Herramienta de búsqueda de registros de auditoría
- Vaya al portal de cumplimiento Microsoft Purview e inicie sesión.
- En el panel izquierdo del portal de cumplimiento, seleccione Auditar.
Nota:
Si no ve Auditoría en el panel izquierdo, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y Cumplimiento de Microsoft Purview para obtener información sobre los permisos.
- En la pestaña Nueva búsqueda , establezca Tipo de registro en AipDiscover y configure los demás parámetros.
- Haga clic en Buscar para ejecutar la búsqueda con los criterios. En el panel de resultados, seleccione un evento para ver los resultados. Se pueden ver las operaciones de detección y acceso.
Para obtener más información sobre cómo ver los registros de auditoría en el portal de cumplimiento Microsoft Purview, consulte Actividades de registro de auditoría.
Búsqueda del registro de auditoría unificado en PowerShell
Para acceder al registro de auditoría unificado mediante PowerShell, conéctese primero a una sesión de PowerShell Exchange Online completando los pasos siguientes.
Establecer una sesión remota de PowerShell
Esto establecerá una sesión remota de PowerShell con Exchange Online. Una vez establecida la conexión, puede ejecutar cmdlets de Exchange Online para administrar el entorno de Exchange Online.
Abra una ventana de PowerShell y ejecute el comando Install-Module -Name ExchangeOnlineManagement para instalar el módulo Exchange Online Management. Este módulo proporciona cmdlets que se pueden usar para administrar Exchange Online.
- Connect-IPPSSession es un cmdlet de PowerShell que se usa para crear una conexión remota a una sesión de PowerShell Exchange Online.
- Import-Module ExchangeOnlineManagement es un cmdlet de PowerShell que se usa para importar el módulo Exchange Online Management en la sesión actual de PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
Conexión con un usuario específico
Comando para solicitar a un usuario específico las credenciales de Exchange Online.
$UserCredential = Get-Credential
Comando para conectarse a Exchange Online con las credenciales proporcionadas.
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
Conexión con credenciales en la sesión actual
Conexión a Exchange Online con las credenciales de la sesión actual
Connect-ExchangeOnline
Cmdlet Search-UnifiedAuditLog
El cmdlet Search-UnifiedAuditLog es un comando de PowerShell que se puede usar para buscar en el Office 365 registro de auditoría unificado. El registro de auditoría unificado es un registro de la actividad de usuario y administrador en Office 365 que se puede usar para realizar el seguimiento de eventos. Para conocer los procedimientos recomendados para usar este cmdlet, consulte Procedimientos recomendados para usar Search-UnifiedAuditLog.
Para extraer los eventos de AipHeartBeat del registro de auditoría unificado mediante PowerShell, puede usar el siguiente comando. Esto buscará en el registro de auditoría unificado el intervalo de fechas especificado y devolverá cualquier evento con el tipo de registro "AipHeartBeat". Los resultados se exportarán a un archivo CSV en la ruta de acceso especificada.
Search-UnifiedAuditLog -RecordType AipHeartBeat -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>
Evento AipHeartBeat desde PowerShell
A continuación se muestra un ejemplo de un evento AipHeartBeat de PowerShell.
RecordType : AipHeartBeat
CreationDate : 12/22/2022 8:50:10 PM
UserIds : ipadmin@champion365.onmicrosoft.com
Operations : HeartBeat
AuditData :
{
"Common":{
"ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
"ApplicationName":"Microsoft Azure Information Protection Explorer Extension",
"ProcessName":"MSIP.App",
"Platform":1,
"DeviceName":"marketing-demo1",
"ProductVersion":"2.14.90.0"
},
"UserId":"ipadmin@champion365.onmicrosoft.com",
"ClientIP":"20.163.159.46",
"Id":"2e7b94ee-92f7-480f-8b14-89d4bc0c0e43",
"RecordType":97,
"CreationTime":"2022-12-22T20:50:10",
"Operation":"HeartBeat",
"OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
"UserType":0,
"UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
"Workload":"Aip",
"Version":1,
"Scope":1
}
ResultIndex : 9
ResultCount : 11
Identity : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid : True
ObjectState : Unchanged
Nota:
Este es solo un ejemplo de cómo se puede usar el cmdlet Search-UnifiedAuditLog. Es posible que tenga que ajustar el comando y especificar parámetros adicionales en función de sus requisitos específicos. Para obtener más información sobre el uso de PowerShell para registros de auditoría unificados, consulte Buscar registro de auditoría unificado.
API de Actividad de administración de Office 365
Para poder consultar los puntos de conexión de api de Office 365 Management, deberá configurar la aplicación con los permisos adecuados. Para obtener una guía paso a paso, consulte Introducción a las API de administración de Office 365.
Evento AipHeartBeat de la API REST
A continuación se muestra un ejemplo de un evento AipHeartBeat de la API REST.
TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-21T17:18:20Z
EventCreationTime [UTC] : 2022-12-21T17:18:20Z
Id : a5ee064a-9508-4332-9853-db4bc8813f4c
Operation : HeartBeat
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 97
UserType : 0
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Explorer Extension
Common_ProcessName : MSIP.App
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
Type : AuditGeneral
Atributos del evento AipHeartBeat
| Evento | Tipo | Descripción |
|---|---|---|
| ApplicationId | GUID | El identificador de la aplicación que realiza la operación. |
| ApplicationName | Cadena | Nombre descriptivo de la aplicación que realiza la operación. (Outlook, OWA, Word, Excel, PowerPoint, etc.) |
| ClientIP | IPv4/IPv6 | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. |
| CreationTime | Fecha y hora | La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad. |
| DeviceName | Cadena | Dispositivo en el que se produjo la actividad. |
| Id | GUID | Identificador único de un registro de auditoría. |
| Operación | Cadena | Tipo de operación para el registro de auditoría. Para AipHeartBeat, la operación es Latido. |
| OrganizationId | GUID | El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce. |
| Plataforma | Doble | Plataforma desde la que se produjo la actividad. 0 = Desconocido 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Explorador web |
| ProcessName | Cadena | Nombre del proceso correspondiente (Outlook, MSIP.App, WinWord, etc.) |
| ProductVersion | Cadena | Versión del cliente de AIP. |
| RecordType | Doble | El tipo de operación indicado por el registro. 97 representa un registro de AipHeartBeat. |
| Ámbito | Doble | 0 representa que un servicio de O365 hospedado creó el evento. 1 representa que un servidor local creó el evento. |
| UserId | Cadena | Nombre principal de usuario (UPN) del usuario que realizó la acción que provocó que se registrara el registro. |
| UserKey | GUID | Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange. |
| UserType | Doble | El tipo de usuario que llevó a cabo la operación. 0 = Normal 1 = Reservado 2 = Administración 3 = DcAdmin 4 = Sistema 5 = Aplicación 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Versión | Doble | El id. de versión del archivo en la operación. |
| Carga de trabajo | Cadena | Almacena el servicio Office 365 donde se produjo la actividad (Exchange, SharePoint, OneDrive, etc.). |