AipDiscover

Azure Information Protection ist ein Dienst, mit dem Organisationen vertrauliche Daten klassifizieren und bezeichnen und Richtlinien anwenden können, um zu steuern, wie auf diese Daten zugegriffen und freigegeben wird.

AipDiscover ist ein Ereignistyp, der im Office 365 Unified Audit Log aufgezeichnet wird. Es stellt einen Versuch dar, eine durch Azure Information Protection (AIP) geschützte Datei zu ermitteln oder darauf zuzugreifen. In dem Szenario, in dem ein AIPDiscover-Ereignis den Vorgang als discover anzeigt, bedeutet dies, dass die Datei in einer lokalen Dateifreigabe, einem SharePoint-Server usw. aufgeführt wurde, die von einem Benutzer oder einem Informationsschutzscanner angezeigt wird und der Status der Datei im Ruhezustand ist. In dem Szenario, in dem ein AIPDiscover-Ereignis die Vorgänge als Zugriff anzeigt, bedeutet dies, dass die Datei geöffnet wurde und vom Benutzer verwendet wird, als das Ereignis aufgezeichnet wurde.

Das AIPDiscover-Ereignis ist nützlich, da es die Benutzer, Geräte und Standorte anzeigt, die auf Azure zugreifen, Information Protection bezeichneten Informationen innerhalb eines organization.

Zugreifen auf das Office 365 einheitliche Überwachungsprotokoll

Auf die Überwachungsprotokolle kann mit den folgenden Methoden zugegriffen werden:

• Das Suchtool "Überwachungsprotokoll" im Microsoft Purview-Complianceportal.
• Das Search-UnifiedAuditLog-Cmdlet in Exchange Online PowerShell.
• Die Office 365-Verwaltungsaktivitäts-API.

Informationen zum Anzeigen von Beschreibungen der Datenfelder innerhalb eines Überwachungsereignisses finden Sie unter Attribute eines AipDiscover-Ereignisses.

Suchtool für Überwachungsprotokolle

1. Wechseln Sie zum Microsoft Purview-Complianceportal, und melden Sie sich an.
2. Wählen Sie im linken Bereich des Complianceportals Die Option Überwachen aus.

   Hinweis

   Wenn Überwachung im linken Bereich nicht angezeigt wird, finden Sie informationen zu Berechtigungen unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

3. Legen Sie auf der Registerkarte Neue Suche den Eintragstyp auf AipDiscover fest, und konfigurieren Sie die anderen Parameter.
4. Klicken Sie auf Suchen , um die Suche nach den Kriterien auszuführen. Wählen Sie im Ergebnisbereich ein Ereignis aus, um die Ergebnisse anzuzeigen. Sowohl Ermittlungs- als auch Zugriffsvorgänge können angezeigt werden.

Weitere Informationen zum Anzeigen der Überwachungsprotokolle im Microsoft Purview-Complianceportal finden Sie unter Überwachungsprotokollaktivitäten.

Durchsuchen des einheitlichen Überwachungsprotokolls in PowerShell

Um mithilfe von PowerShell auf das einheitliche Überwachungsprotokoll zuzugreifen, stellen Sie zunächst eine Verbindung mit einer Exchange Online PowerShell-Sitzung her, indem Sie die folgenden Schritte ausführen.

Einrichten einer PowerShell-Remotesitzung

Dadurch wird eine PowerShell-Remotesitzung mit Exchange Online. Nachdem die Verbindung hergestellt wurde, können Sie Exchange Online Cmdlets ausführen, um Ihre Exchange Online-Umgebung zu verwalten.

Öffnen Sie ein PowerShell-Fenster, und führen Sie den Befehl Install-Module -Name ExchangeOnlineManagement aus, um das modul Exchange Online Management zu installieren. Dieses Modul stellt Cmdlets bereit, die zum Verwalten Exchange Online verwendet werden können.

1. Connect-IPPSSession ist ein PowerShell-Cmdlet, das zum Erstellen einer Remoteverbindung mit einer Exchange Online PowerShell-Sitzung verwendet wird.
2. Import-Module ExchangeOnlineManagement ist ein PowerShell-Cmdlet, das zum Importieren des Exchange Online Management-Moduls in die aktuelle PowerShell-Sitzung verwendet wird.

# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

Herstellen einer Verbindung mit einem bestimmten Benutzer

Befehl zum Eingeben eines bestimmten Benutzers für Ihre Exchange Online Anmeldeinformationen.

$UserCredential = Get-Credential 

Befehl zum Herstellen einer Verbindung mit Exchange Online mithilfe der angegebenen Anmeldeinformationen.

Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true 

Herstellen einer Verbindung mit Anmeldeinformationen in der aktuellen Sitzung

Stellen Sie mithilfe der Anmeldeinformationen in der aktuellen Sitzung eine Verbindung mit Exchange Online her.

Connect-ExchangeOnline

Search-UnifiedAuditLog-Cmdlet

Das cmdlet Search-UnifiedAuditLog ist ein PowerShell-Befehl, der zum Durchsuchen des Office 365 einheitlichen Überwachungsprotokolls verwendet werden kann. Das einheitliche Überwachungsprotokoll ist ein Datensatz der Benutzer- und Administratoraktivitäten in Office 365, der zum Nachverfolgen von Ereignissen verwendet werden kann. Bewährte Methoden für die Verwendung dieses Cmdlets finden Sie unter Bewährte Methoden für die Verwendung von Search-UnifiedAuditLog.

Um die AipDiscover-Ereignisse mithilfe von PowerShell aus dem einheitlichen Überwachungsprotokoll zu extrahieren, können Sie den folgenden Befehl verwenden. Dadurch wird das einheitliche Überwachungsprotokoll nach dem angegebenen Datumsbereich durchsucht und alle Ereignisse mit dem Datensatztyp "AipDiscover" zurückgegeben. Die Ergebnisse werden unter dem angegebenen Pfad in eine CSV-Datei exportiert.

Search-UnifiedAuditLog -RecordType AipDiscover -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>

Verwenden Sie den folgenden Befehl, um speziell nach Ermittlungsereignissen zu suchen. Hierbei handelt es sich um das Szenario, in dem die Dateien vom Benutzer oder vom Informationsschutzscanner durch Anzeigen lokaler Dateifreigaben, SharePoint-Server usw. erkannt werden. Ein Beispiel für das Ergebnis des PowerShell-Cmdlets ist ebenfalls unten dargestellt.

Search-UnifiedAuditLog -Operations Discover -RecordType AipDiscover -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Im Folgenden finden Sie ein Beispiel für das AipDiscover-Ereignis aus PowerShell, Vorgang Discover.

RecordType   : AipDiscover
CreationDate : 12/6/2022 8:51:58 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : Discover
AuditData    : 
{
  "SensitivityLabelEventData":{},
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionType":"Custom",
    "IsProtected":true,
    "ProtectionOwner":"ipadmin@champion365.onmicrosoft.com"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Explorer Extension",
    "ProcessName":"MSIP.App",
    "Platform":1,
    "DeviceName":"WinDev2210Eval",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Rest",
  "ObjectId":"C:\\Users\\User\\OneDrive - champion365\\Cascade Car Schematics.docx",
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"104.190.163.53",
  "Id":"e15273c7-f07e-41ec-bac1-5da8739623a5",
  "RecordType":93,
  "CreationTime":"2022-12-06T20:51:58",
  "Operation":"Discover",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : -1
ResultCount  : 0
Identity     : e15273c7-f07e-41ec-bac1-5da8739623a5
IsValid      : True
ObjectState  : Unchanged

Verwenden Sie den folgenden Befehl, um speziell nach Zugriffsereignissen zu suchen– dem Szenario, in dem die Dateien geöffnet und vom Benutzer verwendet wurden. Ein Beispiel für das Ergebnis des PowerShell-Cmdlets ist ebenfalls unten dargestellt.

Search-UnifiedAuditLog -Operations Access -RecordType AipDiscover -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Es folgt ein Beispiel für das AipDiscover-Ereignis aus PowerShell, Vorgang Access.

RecordType   : AipDiscover
CreationDate : 11/6/2022 10:56:26 PM
UserIds      : AdeleV@champion365.onmicrosoft.com
Operations   : Access
AuditData    : 
{ 
  "SensitivityLabelEventData":{
    "SensitivityLabelId":"e14c1275-fa87-4421-8a59-5e3c3c214d61"
  },
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionType":"Template",
    "TemplateId":"2f0f4096-5629-405c-b2a1-8611053b0ed0",
    "IsProtected":true,
    "ProtectionOwner":"tony@smith.net"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Word Add-In",
    "ProcessName":"WINWORD",
    "Platform":1,
    "DeviceName":"chmp365-avance",
    "Location":"On-premises file shares",
    "ProductVersion":"2.13.49.0"
  },
  "Data State":"Use",
  "ObjectId":"C:\\Users\\AdeleVance\\Downloads\\dest.docx",
  "UserId":"AdeleV@champion365.onmicrosoft.com",
  "ClientIP":"76.135.237.70",
  "Id":"f8317892-3dc0-455d-9edd-8d6615addf41",
  "RecordType":93,
  "CreationTime":"2022-11-06T22:56:26",
  "Operation":"Access",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"aec5d8fc-bbbd-4ab0-b607-5d9ea1f067f2",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : 18
ResultCount  : 18
Identity     : f8317892-3dc0-455d-9edd-8d6615addf41
IsValid      : True
ObjectState  : Unchanged

Hinweis

Dies ist nur ein Beispiel für die Verwendung des Cmdlets Search-UnifiedAuditLog. Möglicherweise müssen Sie den Befehl anpassen und zusätzliche Parameter basierend auf Ihren spezifischen Anforderungen angeben. Weitere Informationen zur Verwendung von PowerShell für einheitliche Überwachungsprotokolle finden Sie unter Durchsuchen des einheitlichen Überwachungsprotokolls.

Office 365-Verwaltungsaktivitäts-API

Um die endpunkte der Office 365 Management-API abfragen zu können, müssen Sie Ihre Anwendung mit den richtigen Berechtigungen konfigurieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter Erste Schritte mit Office 365 Management-APIs.

Im Folgenden sehen Sie ein Beispiel für das AipDiscover-Ereignis aus der REST-API.

TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-21T17:18:20Z
EventCreationTime [UTC] : 2022-12-21T17:18:20Z
Id : b8ef4925-3bae-4982-8279-651d4e67b1ea
Operation : Discover
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 93
UserType : 0
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Explorer Extension
Common_ProcessName : MSIP.App
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
ObjectId : C:\Users\svc.aipscanner\AppData\Local\Microsoft\MSIP\Scanner\Reports\Reports2022-12-12_23_13_06.zip
SensitiveInfoTypeData : []
ProtectionEventData_IsProtected : false
Common_Location : On-premises file shares
DataState : Rest
Type : AuditGeneral

Attribute des AipDiscover-Ereignisses

Ereignis	Typ	Beschreibung
ApplicationId	GUID	Die ID der Anwendung, die den Vorgang ausführt.
ApplicationName	Zeichenfolge	Anzeigename der Anwendung, die den Vorgang ausführt. (Outlook, OWA, Word, Excel, PowerPoint usw.)
ClientIP	IPv4/IPv6	Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird.
CreationTime	Datum/Uhrzeit	Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Benutzer die Aktivität ausgeführt hat.
DataState	Zeichenfolge	Rest = Datei war nicht geöffnet, als das Ereignis protokolliert wurde Use = File wurde verwendet, als das Ereignis protokolliert wurde.
DeviceName	Zeichenfolge	Das Gerät, auf dem die Aktivität stattgefunden hat.
Id	GUID	Der eindeutige Bezeichner eines Überwachungsdatensatzes.
IsProtected	Boolesch	Gibt an, ob die Daten durch Verschlüsselung geschützt sind.
Ort	Zeichenfolge	Der Speicherort des Dokuments in Bezug auf das Gerät des Benutzers (lokale Dateifreigaben).
ObjectId	Zeichenfolge	Vollständiger Dateipfad (URL), auf den der Benutzer zugreift.
Vorgang	Zeichenfolge	Der Vorgangstyp für das Überwachungsprotokoll. Discover = Datei, die vom Benutzer oder Informationsschutzscanner im Ruhezustand angezeigt wird Access = Datei wurde geöffnet und vom Benutzer verwendet, als das Ereignis aufgezeichnet wurde.
OrganizationId	GUID	Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich.
Plattform	Gleitkommawert mit doppelter Genauigkeit	Die Plattform, von der aus die Aktivität aufgetreten ist. 0 = Unbekannt 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Webbrowser
ProcessName	Zeichenfolge	Der relevante Prozessname (Outlook, MSIP.App, WinWord usw.)
ProductVersion	Zeichenfolge	Version des AIP-Clients.
ProtectionOwner	Zeichenfolge	Rights Management-Besitzer im UPN-Format.
ProtectionType	Zeichenfolge	Der Typ des Schutzes, der für die Daten verwendet wurde. Vorlage bedeutet, dass der Schutz vom Administrator vordefiniert wurde. Benutzerdefiniert bedeutet, dass der Benutzer den Schutz definiert hat.
RecordType	Gleitkommawert mit doppelter Genauigkeit	Der vom Datensatz angegebene Vorgangstyp. 93 stellt einen AipDiscover-Datensatz dar.
Bereich	Gleitkommawert mit doppelter Genauigkeit	0 stellt dar, dass das Ereignis von einem gehosteten O365-Dienst erstellt wurde. 1 stellt dar, dass das Ereignis von einem lokalen Server erstellt wurde.
SensitiveInfoTypeData	Zeichenfolge	Die Typen vertraulicher Informationen, die in den Daten ermittelt wurden.
SensitivityLabelId	GUID	Die aktuelle GUID der MIP-Vertraulichkeitsbezeichnung. Verwenden Sie cmdlt Get-Label, um die vollständigen Werte der GUID abzurufen.
TemplateId	GUID	Die ID für die Vorlage, die für den Schutz verwendet wird. Wenn ProtectionType = Template, TemplateId eine GUID aufweist. Wenn ProtectionType = Benutzerdefiniert ist, ist TemplateId leer. Das Cmdlet Get-AipServiceTemplate ruft alle vorhandenen oder ausgewählten Schutzvorlagen aus Azure Information Protection ab.
UserId	Zeichenfolge	Der Benutzerprinzipalname (UPN) des Benutzers, der die Aktion ausgeführt hat, die zur Protokollierung des Datensatzes geführt hat.
UserKey	GUID	Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden.
UserType	Gleitkommawert mit doppelter Genauigkeit	Der Typ des Benutzers, der den Vorgang ausgeführt hat. 0 = Normal 1 = Reserviert 2 = Admin 3 = DcAdmin 4 = System 5 = Anwendung 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy