AipFileDeleted
Azure Information Protection — это служба, которая позволяет организациям классифицировать конфиденциальные данные и помечать их, а также применять политики для управления доступом к этим данным и общим доступом к ним.
AipFileDeleted — это тип события, который записывается в единый журнал аудита Office 365. События AipFileDeleted представляют собой попытку удаления файла с метками azure Information Protection (AIP). В событии ResultStatus показывает, было ли удаление файла успешным.
Доступ к единому журналу аудита Office 365
Доступ к журналам аудита можно получить с помощью следующих методов:
- Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview
- Командлет PowerShell Search-UnifiedAuditLog в Exchange Online.
- API действий управления Office 365
Средство поиска по журналам аудита
- Перейдите к Портал соответствия требованиям Microsoft Purview и выполните вход.
- В левой области портала соответствия требованиям выберите Аудит.
Примечание.
Если вы не видите элемент Аудит на панели слева, сведения о разрешениях см. в разделе Роли и группы ролей в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview.
- На вкладке Новый поиск задайте для параметра Тип записи значение AipDiscover и настройте другие параметры.
- Щелкните Поиск , чтобы выполнить поиск с помощью условий. В области результатов выберите событие для просмотра результатов. Можно просматривать операции обнаружения и доступа.
Дополнительные сведения о просмотре журналов аудита в Портал соответствия требованиям Microsoft Purview см. в разделе Действия журнала аудита.
Поиск единого журнала аудита в PowerShell
Чтобы получить доступ к единому журналу аудита с помощью PowerShell, сначала подключитесь к сеансу Exchange Online PowerShell, выполнив следующие действия.
Установка удаленного сеанса PowerShell
После установки подключения можно запустить командлеты Exchange Online для управления средой Exchange Online.
Откройте окно PowerShell и выполните команду Install-Module -Name ExchangeOnlineManagement, чтобы установить модуль управления Exchange Online. Этот модуль предоставляет командлеты, которые можно использовать для управления Exchange Online.
- Connect-IPPSSession — это командлет PowerShell, используемый для создания удаленного подключения к сеансу PowerShell Exchange Online.
- Import-Module ExchangeOnlineManagement — это командлет PowerShell, используемый для импорта модуля управления Exchange Online в текущий сеанс PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
Подключение к конкретному пользователю
Команда для запроса определенного пользователя для учетных данных Exchange Online.
$UserCredential = Get-Credential
Команда для подключения к Exchange Online с помощью предоставленных учетных данных.
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
Подключение с учетными данными в текущем сеансе
Подключение к Exchange Online с помощью учетных данных в текущем сеансе
Connect-ExchangeOnline
Командлет Search-UnifiedAuditLog
Командлет Search-UnifiedAuditLog — это команда PowerShell, которую можно использовать для поиска в едином журнале аудита Office 365. Единый журнал аудита — это запись действий пользователей и администраторов в Office 365, которую можно использовать для отслеживания событий. Рекомендации по использованию этого командлета см. в разделе Рекомендации по использованию Search-UnifiedAuditLog.
Чтобы извлечь события AipFileDeleted из единого журнала аудита с помощью PowerShell, можно использовать следующую команду. При этом в едином журнале аудита будет выполнен поиск указанного диапазона дат и возвращаются все события с типом записи "AipFileDeleted". Результаты будут экспортированы в CSV-файл по указанному пути.
Search-UnifiedAuditLog -RecordType AipFileDeleted -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>
Ниже приведен пример события AipFileDeleted из PowerShell.
RecordType : AipFileDeleted
CreationDate : 12/22/2022 8:50:10 PM
UserIds : ipadmin@champion365.onmicrosoft.com
Operations : FileDeleted
AuditData :
{
"SensitiveInfoTypeData":[],
"Common":{
"ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
"ApplicationName":"Microsoft Azure Information Protection Scanners",
"ProcessName":"MSIP.Scanner",
"Platform":1,
"DeviceName":"AIPSCANNER1.mscompliance.click",
"Location":"On-premises file shares",
"ProductVersion":"2.14.90.0"
},
"DataState":"Rest",
"ObjectId":"fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc",
"UserId":"AdeleV@champion365.onmicrosoft.com",
"UserId":"mipscanner@kazdemos.org",
"ClientIP":" 52.159.112.221",
"Id":"8417bbf6-3469-57bf-d48e-ee80f34c3d71",
"RecordType":96,
"CreationTime":"2022-12-22T20:50:10",
"Operation":"FileDeleted",
"OrganizationId":"ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c",
"UserType":5,
"UserKey":"cab9530a-5b06-4c61-b09b-590fda6a40f8",
"ResultStatus":"Succeeded"
}
ResultIndex : 9
ResultCount : 11
Identity : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid : True
ObjectState : Unchanged
Примечание.
Это лишь пример использования командлета Search-UnifiedAuditLog. Может потребоваться настроить команду и указать дополнительные параметры в соответствии с конкретными требованиями. Дополнительные сведения об использовании PowerShell для унифицированных журналов аудита см. в статье Поиск в едином журнале аудита.
API действий управления Office 365
Чтобы иметь возможность запрашивать конечные точки API управления Office 365, необходимо настроить приложение с правильными разрешениями. Пошаговые инструкции см. в статье Начало работы с API управления Office 365.
Ниже приведен пример события AipFileDeleted из REST API.
TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-04T21:59:50.7763106Z
EventCreationTime [UTC] : 2022-12-01T22:10:41Z
Id : 8417bbf6-3469-57bf-d48e-ee80f34c3d71
Operation : FileDeleted
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 96
UserType : 5
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : cab9530a-5b06-4c61-b09b-590fda6a40f8
ResultStatus : Succeeded
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Scanner
Common_ProcessName : MSIP.Scanner
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
ObjectId : \\fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc
SensitiveInfoTypeData : []
Common_Location : On-premises file shares
DataState : Rest
Type : AuditGeneral_CL
Атрибуты события AipFileDeleted
| Событие | Тип | Описание |
|---|---|---|
| ApplicationId | Глобальный уникальный идентификатор (GUID) | ID приложения, которое выполняет операцию. |
| ApplicationName | String | Понятное имя приложения, выполняющего операцию. (Outlook, OWA, Word, Excel, PowerPoint и т. д.) |
| ClientIP | IPv4/IPv6 | IP-адрес устройства, которое использовалось при регистрации действия в журнале. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. |
| CreationTime | Дата и время | Дата и время выполнения действия пользователем в формате UTC. |
| DataState | String | Rest = Файл не был открыт, когда событие было зарегистрировано в журнале Use = File was in use when event was logged. |
| DeviceName | String | Устройство, на котором произошло действие. |
| Id | Глобальный уникальный идентификатор (GUID) | Уникальный идентификатор записи аудита. |
| IsProtected | Boolean | Указывает, защищены ли данные с помощью шифрования. |
| Location | Строка | Расположение документа относительно устройства пользователя. |
| ObjectId | String | Полный путь к файлу (URL-адрес), к которому обращается пользователь. |
| Operation | String | Тип операции для журнала аудита. Для AipFileDeleted операция имеет значение FileDeleted. |
| OrganizationId | Глобальный уникальный идентификатор (GUID) | GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается. |
| Платформа | Двойное с плавающей точкой | Платформа, откуда произошло действие. 0 = Неизвестно 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Веб-браузер |
| ProcessName | String | Имя соответствующего процесса (Outlook, MSIP.App, WinWord и т. д.) |
| ProductVersion | String | Версия клиента AIP. |
| RecordType | Двойное с плавающей точкой | Тип операции, указанный в записи. 96 представляет запись AipFileDeleted. |
| ResultStatus | String | Указывает, удалось ли удалить файл. |
| Scope | Двойное с плавающей точкой | 0 представляет, что событие было создано размещенной службой O365. 1 представляет, что событие было создано локальным сервером. |
| SensitiveInfoTypeData | String | Типы конфиденциальной информации, обнаруженные в данных. |
| SensitivityLabelId | Глобальный уникальный идентификатор (GUID) | Идентификатор GUID текущей метки конфиденциальности MIP. Используйте cmdlt Get-Label, чтобы получить полные значения GUID. |
| UserId | String | Имя участника-пользователя (UPN) пользователя, выполнившего действие, которое привело к регистрации записи. |
| UserKey | Глобальный уникальный идентификатор (GUID) | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
| UserType | Двойное с плавающей точкой | Тип пользователя, который выполнил операцию. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |