AipSensitivityLabelAction

Azure Information Protection es un servicio que permite a las organizaciones clasificar y etiquetar datos confidenciales, y aplicar directivas para controlar cómo se accede a esos datos y se comparten.

AipSensitivityLabelAction es un tipo de evento que se registra en el Office 365 registro de auditoría unificado. Representa un intento de aplicar o modificar una etiqueta de confidencialidad. Algunos de los escenarios incluidos en este registro de auditoría incluyen la aplicación de una etiqueta, la actualización de una etiqueta, la eliminación de una etiqueta y la apertura de un archivo con una etiqueta. El evento es útil porque muestra cómo se cambian los datos etiquetados dentro de una organización.

Acceso al registro de auditoría unificado de Office 365

Se puede acceder a los registros de auditoría mediante los métodos siguientes.

• La herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview.
• El cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell.
• La API de Actividad de administración de Office 365.

Herramienta de búsqueda de registros de auditoría

1. Vaya al portal de cumplimiento Microsoft Purview e inicie sesión.
2. En el panel izquierdo del portal de cumplimiento, seleccione Auditar.

   Nota:

   Si no ve Auditoría en el panel izquierdo, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y Cumplimiento de Microsoft Purview para obtener información sobre los permisos.

3. En la pestaña Nueva búsqueda , establezca Tipo de registro en AipDiscover y configure los demás parámetros.
4. Haga clic en Buscar para ejecutar la búsqueda con los criterios. En el panel de resultados, seleccione un evento para ver los resultados. Se pueden ver las operaciones de detección y acceso.

Para obtener más información sobre cómo ver los registros de auditoría en el portal de cumplimiento Microsoft Purview, consulte Actividades de registro de auditoría.

Búsqueda del registro de auditoría unificado en PowerShell

Para acceder al registro de auditoría unificado mediante PowerShell, conéctese primero a una sesión de PowerShell Exchange Online completando los pasos siguientes.

Establecimiento de una sesión remota de PowerShell

Esto establecerá una sesión remota de PowerShell con Exchange Online. Una vez establecida la conexión, puede ejecutar cmdlets de Exchange Online para administrar el entorno de Exchange Online.

Abra una ventana de PowerShell y ejecute el comando Install-Module -Name ExchangeOnlineManagement para instalar el módulo Exchange Online Management. Este módulo proporciona cmdlets que se pueden usar para administrar Exchange Online.

1. Connect-IPPSSession es un cmdlet de PowerShell que se usa para crear una conexión remota a una sesión de PowerShell Exchange Online.
2. Import-Module ExchangeOnlineManagement es un cmdlet de PowerShell que se usa para importar el módulo Exchange Online Management en la sesión actual de PowerShell.

# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

Conexión con un usuario específico

Comando para solicitar a un usuario específico las credenciales de Exchange Online.

$UserCredential = Get-Credential 

Comando para conectarse a Exchange Online con las credenciales proporcionadas.

 Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true 

Conexión con credenciales en la sesión actual

Conéctese a Exchange Online con las credenciales de la sesión actual.

Connect-ExchangeOnline

Cmdlet Search-UnifiedAuditLog

El cmdlet Search-UnifiedAuditLog es un comando de PowerShell que se puede usar para buscar en el Office 365 registro de auditoría unificado. El registro de auditoría unificado es un registro de la actividad de usuario y administrador en Office 365 que se puede usar para realizar el seguimiento de eventos. Para conocer los procedimientos recomendados para usar este cmdlet, consulte Procedimientos recomendados para usar Search-UnifiedAuditLog.

Para extraer los eventos AipSensitivityLabelAction del registro de auditoría unificado mediante PowerShell, puede usar el siguiente comando. Esto buscará en el registro de auditoría unificado el intervalo de fechas especificado y devolverá cualquier evento con el tipo de registro "AipSensitivityLabelAction". Los resultados se exportarán a un archivo CSV en la ruta de acceso especificada.

Search-UnifiedAuditLog -RecordType AipSensitivityLabelAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>

Use el siguiente comando para buscar específicamente el escenario en el que se aplicó la etiqueta de confidencialidad. A continuación también se muestra un ejemplo del resultado del cmdlet de PowerShell.

Search-UnifiedAuditLog -Operations SensitivityLabelApplied -RecordType AipSensitivityLabelAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

A continuación se muestra un ejemplo del evento SensitivityLabelApplied de PowerShell, con la etiqueta de confidencialidad aplicada.

RecordType   : AipSensitivityLabelAction
CreationDate : 12/13/2022 10:45:39 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : SensitivityLabelApplied
AuditData    : 
{
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionEventType":1,
    "ProtectionType":"Template",
    "TemplateId":"b00b3737-7542-4181-ab70-5dde2c266ccf",
    "IsProtected":true,
    "IsProtectedBefore":false,
    "ProtectionOwner":"ipadmin@champion365.onmicrosoft.com"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Word Add-In",
    "ProcessName":"WINWORD",
    "Platform":1,
    "DeviceName":"marketing-demo1",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Use",
  "SensitivityLabelEventData":{
    "SensitivityLabelId":"4eff011f-95b3-4371-8836-39da6458f464",
    "LabelEventType":4,
    "ActionSource":1
  },
  "ObjectId":"Document2",
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"20.163.159.46",
  "Id":"77b9a81f-aa2a-4e4a-bdb7-d35b03277fec",
  "RecordType":94,
  "CreationTime":"2022-12-13T22:45:39",
  "Operation":"SensitivityLabelApplied",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : 1
ResultCount  : 13
Identity     : 77b9a81f-aa2a-4e4a-bdb7-d35b03277fec
IsValid      : True
ObjectState  : Unchanged

Use el siguiente comando para buscar específicamente el escenario en el que se actualizó la etiqueta de confidencialidad. A continuación también se muestra un ejemplo del resultado del cmdlet de PowerShell.

Search-UnifiedAuditLog -Operations SensitivityLabelUpdated -RecordType AipSensitivityLabelAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

A continuación se muestra un ejemplo del evento AipSensitivityLabelAction de PowerShell, con la etiqueta de confidencialidad actualizada.

RecordType   : AipSensitivityLabelAction
CreationDate : 12/22/2022 9:01:35 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : SensitivityLabelUpdated
AuditData    : RecordType:AipSensitivityLabelAction
CreationDate:12/22/2022 9:01:35 PM
UserIds:ipadmin@champion365.onmicrosoft.com
Operations:SensitivityLabelUpdated
AuditData:
{
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionEventType":1,
    "ProtectionType":"DoNotForward",
    "IsProtected":true,
    "IsProtectedBefore":false,
    "ProtectionOwner":"ipadmin@champion365.onmicrosoft.com"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Outlook Add-In",
    "ProcessName":"OUTLOOK",
    "Platform":1,
    "DeviceName":"forrester-demo1",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Use",
  "SensitivityLabelEventData":{
    "SensitivityLabelId":"6a10f3c2-a682-44ba-a911-52dcca64e78d",
    "OldSensitivityLabelId":"6282649d-9e2a-4063-8587-32eaaa9ad68e",
    "LabelEventType":1,
    "ActionSource":3
  },
  "ObjectId":"test.msg",
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"20.163.159.46",
  "Id":"ca08441d-7876-4320-9c75-c0a3d99bcc4a",
  "RecordType":94,
  "CreationTime":"2022-12-22T21:01:35",
  "Operation":"SensitivityLabelUpdated",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex:1
ResultCount:6
Identity:ca08441d-7876-4320-9c75-c0a3d99bcc4a
IsValid:True
ObjectState:Unchanged
ResultIndex  : 1
ResultCount  : 6
Identity     : ca08441d-7876-4320-9c75-c0a3d99bcc4a
IsValid      : True
ObjectState  : Unchanged

Las otras operaciones que se pueden buscar específicamente en AipSensitivityLabelAction incluyen SensitivityLabelRemoved, SensitivityLabelPolicyMatched y SensitivityLabeledFileOpened.

Nota:

Este es solo un ejemplo de cómo se puede usar el cmdlet Search-UnifiedAuditLog. Es posible que tenga que ajustar el comando y especificar parámetros adicionales en función de sus requisitos específicos. Para obtener más información sobre el uso de PowerShell para registros de auditoría unificados, consulte Buscar registro de auditoría unificado.

API de Actividad de administración de Office 365

Para poder consultar los puntos de conexión de api de Office 365 Management, deberá configurar la aplicación con los permisos adecuados. Para obtener una guía paso a paso, consulte Introducción a las API de administración de Office 365.

Evento AipSensitivityLabelAction de la API REST

A continuación se muestra un ejemplo del evento AipSensitivityLabelAction de la API REST.

TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-07T18:04:40Z
EventCreationTime [UTC] : 2022-12-07T18:04:40Z
ProtectionEventData_ProtectionEventType : 1
Id : e22455c0-3f3e-4983-8067-adf7aebac2b7
Operation : SensitivityLabelApplied
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 94
UserType : 5
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 168.245.201.7
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Scanner
Common_ProcessName : MSIP.Scanner
Common_Platform : 1
Common_DeviceName : AIPConnector.AIPTest.local
Common_ProductVersion : 2.14.90.0
ObjectId : c:\Data\Data03\Concert Schedule.docx
SensitivityLabelEventData_ActionSource : 3
SensitivityLabelEventData_LabelEventType : 4
SensitivityLabelEventData_SensitivityLabelId : 14332bd2-1fed-4838-954b-646f71db45b1
SensitiveInfoTypeData : []
ProtectionEventData_ProtectionType : Template
ProtectionEventData_TemplateId : 7ef1852d-f4a9-460a-a59f-60ee8c3fe291
ProtectionEventData_IsProtected : true
ProtectionEventData_ProtectionOwner : mipscanner@kazdemos.org
Common_Location : On-premises file shares
DataState : Rest
ProtectionEventData_IsProtectedBefore : false
Type : AuditGeneral

Atributos del evento AipSensitivityLabelAction

La tabla siguiente contiene información relacionada con los eventos de etiqueta de confidencialidad de AIP.

Evento	Tipo	Descripción
ActionSource	Doble	Indica si la etiqueta se aplicó manualmente o automáticamente. 0 = Ninguno 1 = Valor predeterminado 2 = Auto 3 = Manual 4 = Recomendado
ApplicationId	GUID	El identificador de la aplicación que realiza la operación.
ApplicationName	Cadena	Nombre descriptivo de la aplicación que realiza la operación. (Outlook, OWA, Word, Excel, PowerPoint, etc.)
ClientIP	IPv4/IPv6	La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.
CreationTime	Fecha y hora	La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad.
DataState	Cadena	Rest = El archivo no estaba abierto cuando se registró el evento Use = El archivo estaba en uso cuando se registró el evento.
DeviceName	Cadena	Dispositivo en el que se produjo la actividad.
Id	GUID	Identificador único de un registro de auditoría.
IsProtected	Booleano	Indica si los datos están protegidos con cifrado.
LabelEventType	Doble	Describe cómo se cambió la etiqueta. 0 = Ninguno 1 = LabelUpgraded 2 = LabelDowngraded 3 = LabelRemoved 4 = LabelChangedSameOrder
Ubicación	Cadena	Ubicación del documento con respecto al dispositivo del usuario (recursos compartidos de archivos locales).
ObjectId	Cadena	Ruta de acceso completa de archivo (URL) a la que está accediendo el usuario.
OldSensitivityLabelId	GUID	GUID de la etiqueta de confidencialidad anterior.
Operación	Cadena	Tipo de operación para el registro de auditoría. Para AipSensitivityLabelAction, las operaciones pueden incluir: - SensitivityLabelApplied - SensitivityLabelUpdated - SensitivityLabelRemoved - SensitivityLabelPolicyMatched - SensitivityLabeledFileOpened
OrganizationId	GUID	El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.
Plataforma	Doble	Plataforma desde la que se produjo la actividad. 0 = Desconocido 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Explorador web
ProcessName	Cadena	Nombre del proceso correspondiente (Outlook, MSIP.App, WinWord, etc.)
ProductVersion	Cadena	Versión del cliente de AIP.
ProtectionOwner	Cadena	Propietario de Rights Management en formato UPN.
ProtectionType	Cadena	Tipo de protección que se usó para los datos. La plantilla significa que el administrador ha predefinido la protección. Personalizado significa que el usuario definió la protección.
RecordType	Doble	El tipo de operación indicado por el registro. 94 representa un registro AipSensitivityLabelAction.
Ámbito	Doble	0 representa que un servicio de O365 hospedado creó el evento. 1 representa que un servidor local creó el evento.
SensitiveInfoTypeData	Cadena	Los tipos de información confidencial que se han detectado dentro de los datos.
SensitivityLabelId	GUID	GUID de la etiqueta de confidencialidad actual. Use cmdlt Get-Label para obtener los valores completos del GUID.
TemplateId	GUID	Identificador de la plantilla usada para la protección. Si ProtectionType = Template, TemplateId tendrá GUID. Si ProtectionType = Custom, TemplateId estará en blanco. El cmdlet Get-AipServiceTemplate obtiene todas las plantillas de protección existentes o seleccionadas de Azure Information Protection.
UserId	Cadena	Nombre principal de usuario (UPN) del usuario que realizó la acción que provocó que se registrara el registro.
UserKey	GUID	Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.
UserType	Doble	El tipo de usuario que llevó a cabo la operación. 0 = Normal 1 = Reservado 2 = Administración 3 = DcAdmin 4 = Sistema 5 = Aplicación 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
Versión	Doble	El id. de versión del archivo en la operación.
Carga de trabajo	Cadena	Almacena el servicio Office 365 donde se produjo la actividad (Exchange, SharePoint, OneDrive, etc.).