AipProtectionAction
Azure Information Protection — это служба, которая позволяет организациям классифицировать конфиденциальные данные и помечать их, а также применять политики для управления доступом к этим данным и общим доступом к ним.
AipProtectionAction — это тип события, который записывается в единый журнал аудита Office 365. Он представляет собой попытку применить защиту к файлу или электронной почте. Это событие полезно, так как показывает, как данные защищаются в организации.
Доступ к единому журналу аудита Office 365
Доступ к журналам аудита можно получить с помощью следующих методов:
- Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview
- Командлет PowerShell Search-UnifiedAuditLog в Exchange Online.
- API действий управления Office 365
Средство поиска по журналам аудита
- Перейдите к Портал соответствия требованиям Microsoft Purview и выполните вход.
- В левой области портала соответствия требованиям выберите Аудит.
Примечание.
Если вы не видите элемент Аудит на панели слева, сведения о разрешениях см. в разделе Роли и группы ролей в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview.
- На вкладке Новый поиск задайте для параметра Тип записи значение AipDiscover и настройте другие параметры.
- Щелкните Поиск , чтобы выполнить поиск с помощью условий. В области результатов выберите событие для просмотра результатов. Можно просматривать операции обнаружения и доступа.
Дополнительные сведения о просмотре журналов аудита в Портал соответствия требованиям Microsoft Purview см. в разделе Действия журнала аудита.
Поиск единого журнала аудита в PowerShell
Чтобы получить доступ к единому журналу аудита с помощью PowerShell, сначала подключитесь к сеансу Exchange Online PowerShell, выполнив следующие действия.
Установка удаленного сеанса PowerShell
Это позволит установить удаленный сеанс PowerShell с Exchange Online. После установки подключения выполните командлеты Exchange Online для управления средой Exchange Online.
Откройте окно PowerShell и выполните команду Install-Module -Name ExchangeOnlineManagement, чтобы установить модуль управления Exchange Online. Этот модуль предоставляет командлеты, которые можно использовать для управления Exchange Online.
- Connect-IPPSSession — это командлет PowerShell, используемый для создания удаленного подключения к сеансу PowerShell Exchange Online.
- Import-Module ExchangeOnlineManagement — это командлет PowerShell, используемый для импорта модуля управления Exchange Online в текущий сеанс PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
Подключение к конкретному пользователю
Команда для запроса определенного пользователя для учетных данных Exchange Online.
$UserCredential = Get-Credential
Команда для подключения к Exchange Online с помощью предоставленных учетных данных.
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
Подключение с учетными данными в текущем сеансе
Подключитесь к Exchange Online, используя учетные данные в текущем сеансе.
Connect-ExchangeOnline
Командлет Search-UnifiedAuditLog
Командлет Search-UnifiedAuditLog — это команда PowerShell, которую можно использовать для поиска в едином журнале аудита Office 365. Единый журнал аудита — это запись действий пользователей и администраторов в Office 365, которую можно использовать для отслеживания событий. Рекомендации по использованию этого командлета см. в разделе Рекомендации по использованию Search-UnifiedAuditLog.
Чтобы извлечь события AipProtectionAction из единого журнала аудита с помощью PowerShell, можно использовать следующую команду. При этом в едином журнале аудита будет выполнен поиск указанного диапазона дат и возвращаются все события с типом записи "AipProtectionAction". Результаты будут экспортированы в CSV-файл по указанному пути.
Search-UnifiedAuditLog -RecordType AipProtectionAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>
Примечание.
Это лишь пример использования командлета Search-UnifiedAuditLog. Может потребоваться настроить команду и указать дополнительные параметры в соответствии с конкретными требованиями. Дополнительные сведения об использовании PowerShell для унифицированных журналов аудита см. в статье Поиск в едином журнале аудита.
API действий управления Office 365
Чтобы иметь возможность запрашивать конечные точки API управления Office 365, необходимо настроить приложение с правильными разрешениями. Пошаговые инструкции см. в статье Начало работы с API управления Office 365.
Атрибуты события AipProtectionAction
| Событие | Тип | Описание |
|---|---|---|
| ApplicationId | Глобальный уникальный идентификатор (GUID) | ID приложения, которое выполняет операцию. |
| ApplicationName | String | Понятное имя приложения, выполняющего операцию. (Outlook, OWA, Word, Excel, PowerPoint и т. д.) |
| ClientIP | IPv4/IPv6 | IP-адрес устройства, которое использовалось при регистрации действия в журнале. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. |
| CreationTime | Дата и время | Дата и время выполнения действия пользователем в формате UTC. |
| DeviceName | String | Устройство, на котором произошло действие. |
| Id | Глобальный уникальный идентификатор (GUID) | Уникальный идентификатор записи аудита. |
| Operation | String | Тип операции для журнала аудита. Для AipProtectionAction операции могут включать: - SensitivityLabelApplied - SensitivityLabelUpdated - SensitivityLabelRemoved - SensitivityLabelPolicyMatched - SensitivityLabeledFileOpened |
| OrganizationId | Глобальный уникальный идентификатор (GUID) | GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается. |
| Платформа | Двойное с плавающей точкой | Платформа, откуда произошло действие. 0 = Неизвестно 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Веб-браузер |
| ProcessName | String | Имя соответствующего процесса (Outlook, MSIP.App, WinWord и т. д.) |
| ProductVersion | String | Версия клиента AIP. |
| RecordType | Двойное с плавающей точкой | Тип операции, указанный в записи. |
| Scope | Двойное с плавающей точкой | 0 представляет, что событие было создано размещенной службой O365. 1 представляет, что событие было создано локальным сервером. |
| UserId | String | Имя участника-пользователя (UPN) пользователя, выполнившего действие, которое привело к регистрации записи. |
| UserKey | Глобальный уникальный идентификатор (GUID) | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
| UserType | Двойное с плавающей точкой | Тип пользователя, который выполнил операцию. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Версия | Двойное с плавающей точкой | Идентификатор версии файла, с которым выполнена операция. |
| Workload | String | Хранит службу Office 365, в которой произошло действие (Exchange, SharePoint, OneDrive и т. д.). |