AipSensitivityLabelAction

Artikel
04/04/2023

Azure Information Protection ist ein Dienst, mit dem Organisationen vertrauliche Daten klassifizieren und bezeichnen und Richtlinien anwenden können, um zu steuern, wie auf diese Daten zugegriffen und freigegeben wird.

AipSensitivityLabelAction ist ein Ereignistyp, der im Office 365 einheitlichen Überwachungsprotokoll aufgezeichnet wird. Es stellt einen Versuch dar, eine Vertraulichkeitsbezeichnung anzuwenden oder zu ändern. Einige der Szenarien, die in diesem Überwachungsprotokoll enthalten sind, sind das Anwenden einer Bezeichnung, das Aktualisieren einer Bezeichnung, das Entfernen einer Bezeichnung und das Öffnen einer Datei mit einer Bezeichnung. Das Ereignis ist nützlich, da es zeigt, wie bezeichnete Daten innerhalb eines organization geändert werden.

Zugreifen auf das Office 365 einheitliche Überwachungsprotokoll

Auf die Überwachungsprotokolle kann mit den folgenden Methoden zugegriffen werden.

Das Überwachungsprotokoll-Suchtool im Microsoft Purview-Complianceportal.
Das Search-UnifiedAuditLog-Cmdlet in Exchange Online PowerShell.
Die Office 365-Verwaltungsaktivitäts-API.

Suchtool für Überwachungsprotokolle

Wechseln Sie zum Microsoft Purview-Complianceportal, und melden Sie sich an.
Wählen Sie im linken Bereich des Complianceportals Die Option Überwachen aus.

Hinweis

Wenn Überwachung im linken Bereich nicht angezeigt wird, finden Sie informationen zu Berechtigungen unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
Legen Sie auf der Registerkarte Neue Suche den Eintragstyp auf AipDiscover fest, und konfigurieren Sie die anderen Parameter.
Klicken Sie auf Suchen , um die Suche nach den Kriterien auszuführen. Wählen Sie im Ergebnisbereich ein Ereignis aus, um die Ergebnisse anzuzeigen. Sowohl Ermittlungs- als auch Zugriffsvorgänge können angezeigt werden.

Weitere Informationen zum Anzeigen der Überwachungsprotokolle im Microsoft Purview-Complianceportal finden Sie unter Überwachungsprotokollaktivitäten.

Durchsuchen des einheitlichen Überwachungsprotokolls in PowerShell

Um mithilfe von PowerShell auf das einheitliche Überwachungsprotokoll zuzugreifen, stellen Sie zunächst eine Verbindung mit einer Exchange Online PowerShell-Sitzung her, indem Sie die folgenden Schritte ausführen.

Einrichten einer PowerShell-Remotesitzung

Dadurch wird eine PowerShell-Remotesitzung mit Exchange Online. Nachdem die Verbindung hergestellt wurde, können Sie Exchange Online Cmdlets ausführen, um Ihre Exchange Online-Umgebung zu verwalten.

Öffnen Sie ein PowerShell-Fenster, und führen Sie den Befehl Install-Module -Name ExchangeOnlineManagement aus, um das modul Exchange Online Management zu installieren. Dieses Modul stellt Cmdlets bereit, die zum Verwalten Exchange Online verwendet werden können.

Connect-IPPSSession ist ein PowerShell-Cmdlet, das zum Erstellen einer Remoteverbindung mit einer Exchange Online PowerShell-Sitzung verwendet wird.
Import-Module ExchangeOnlineManagement ist ein PowerShell-Cmdlet, das zum Importieren des Exchange Online Management-Moduls in die aktuelle PowerShell-Sitzung verwendet wird.

# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

Herstellen einer Verbindung mit einem bestimmten Benutzer

Befehl zum Eingeben eines bestimmten Benutzers für Ihre Exchange Online Anmeldeinformationen.

$UserCredential = Get-Credential

Befehl zum Herstellen einer Verbindung mit Exchange Online mithilfe der angegebenen Anmeldeinformationen.

 Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true

Herstellen einer Verbindung mit Anmeldeinformationen in der aktuellen Sitzung

Stellen Sie mithilfe der Anmeldeinformationen in der aktuellen Sitzung eine Verbindung mit Exchange Online her.

Connect-ExchangeOnline

Search-UnifiedAuditLog-Cmdlet

Das cmdlet Search-UnifiedAuditLog ist ein PowerShell-Befehl, der zum Durchsuchen des Office 365 einheitlichen Überwachungsprotokolls verwendet werden kann. Das einheitliche Überwachungsprotokoll ist ein Datensatz der Benutzer- und Administratoraktivitäten in Office 365, der zum Nachverfolgen von Ereignissen verwendet werden kann. Bewährte Methoden für die Verwendung dieses Cmdlets finden Sie unter Bewährte Methoden für die Verwendung von Search-UnifiedAuditLog.

Um die AipSensitivityLabelAction-Ereignisse mithilfe von PowerShell aus dem einheitlichen Überwachungsprotokoll zu extrahieren, können Sie den folgenden Befehl verwenden. Dadurch wird das einheitliche Überwachungsprotokoll nach dem angegebenen Datumsbereich durchsucht und alle Ereignisse mit dem Datensatztyp "AipSensitivityLabelAction" zurückgegeben. Die Ergebnisse werden unter dem angegebenen Pfad in eine CSV-Datei exportiert.

Search-UnifiedAuditLog -RecordType AipSensitivityLabelAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>

Verwenden Sie den folgenden Befehl, um speziell nach dem Szenario zu suchen, in dem die Vertraulichkeitsbezeichnung angewendet wurde. Ein Beispiel für das Ergebnis des PowerShell-Cmdlets ist ebenfalls unten dargestellt.

Search-UnifiedAuditLog -Operations SensitivityLabelApplied -RecordType AipSensitivityLabelAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Im Folgenden finden Sie ein Beispiel für das SensitivityLabelApplied-Ereignis aus PowerShell mit angewendeter Vertraulichkeitsbezeichnung.

RecordType   : AipSensitivityLabelAction
CreationDate : 12/13/2022 10:45:39 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : SensitivityLabelApplied
AuditData    : 
{
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionEventType":1,
    "ProtectionType":"Template",
    "TemplateId":"b00b3737-7542-4181-ab70-5dde2c266ccf",
    "IsProtected":true,
    "IsProtectedBefore":false,
    "ProtectionOwner":"ipadmin@champion365.onmicrosoft.com"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Word Add-In",
    "ProcessName":"WINWORD",
    "Platform":1,
    "DeviceName":"marketing-demo1",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Use",
  "SensitivityLabelEventData":{
    "SensitivityLabelId":"4eff011f-95b3-4371-8836-39da6458f464",
    "LabelEventType":4,
    "ActionSource":1
  },
  "ObjectId":"Document2",
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"20.163.159.46",
  "Id":"77b9a81f-aa2a-4e4a-bdb7-d35b03277fec",
  "RecordType":94,
  "CreationTime":"2022-12-13T22:45:39",
  "Operation":"SensitivityLabelApplied",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : 1
ResultCount  : 13
Identity     : 77b9a81f-aa2a-4e4a-bdb7-d35b03277fec
IsValid      : True
ObjectState  : Unchanged

Verwenden Sie den folgenden Befehl, um speziell nach dem Szenario zu suchen, in dem die Vertraulichkeitsbezeichnung aktualisiert wurde. Ein Beispiel für das Ergebnis des PowerShell-Cmdlets ist ebenfalls unten dargestellt.

Search-UnifiedAuditLog -Operations SensitivityLabelUpdated -RecordType AipSensitivityLabelAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Im Folgenden finden Sie ein Beispiel für das AipSensitivityLabelAction-Ereignis aus PowerShell mit aktualisierter Vertraulichkeitsbezeichnung.

RecordType   : AipSensitivityLabelAction
CreationDate : 12/22/2022 9:01:35 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : SensitivityLabelUpdated
AuditData    : RecordType:AipSensitivityLabelAction
CreationDate:12/22/2022 9:01:35 PM
UserIds:ipadmin@champion365.onmicrosoft.com
Operations:SensitivityLabelUpdated
AuditData:
{
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionEventType":1,
    "ProtectionType":"DoNotForward",
    "IsProtected":true,
    "IsProtectedBefore":false,
    "ProtectionOwner":"ipadmin@champion365.onmicrosoft.com"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Outlook Add-In",
    "ProcessName":"OUTLOOK",
    "Platform":1,
    "DeviceName":"forrester-demo1",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Use",
  "SensitivityLabelEventData":{
    "SensitivityLabelId":"6a10f3c2-a682-44ba-a911-52dcca64e78d",
    "OldSensitivityLabelId":"6282649d-9e2a-4063-8587-32eaaa9ad68e",
    "LabelEventType":1,
    "ActionSource":3
  },
  "ObjectId":"test.msg",
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"20.163.159.46",
  "Id":"ca08441d-7876-4320-9c75-c0a3d99bcc4a",
  "RecordType":94,
  "CreationTime":"2022-12-22T21:01:35",
  "Operation":"SensitivityLabelUpdated",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex:1
ResultCount:6
Identity:ca08441d-7876-4320-9c75-c0a3d99bcc4a
IsValid:True
ObjectState:Unchanged
ResultIndex  : 1
ResultCount  : 6
Identity     : ca08441d-7876-4320-9c75-c0a3d99bcc4a
IsValid      : True
ObjectState  : Unchanged

Zu den anderen Vorgängen, nach denen in AipSensitivityLabelAction gezielt gesucht werden kann, gehören SensitivityLabelRemoved, SensitivityLabelPolicyMatched und SensitivityLabeledFileOpened.

Hinweis

Dies ist nur ein Beispiel dafür, wie das Cmdlet Search-UnifiedAuditLog verwendet werden kann. Möglicherweise müssen Sie den Befehl anpassen und zusätzliche Parameter basierend auf Ihren spezifischen Anforderungen angeben. Weitere Informationen zur Verwendung von PowerShell für einheitliche Überwachungsprotokolle finden Sie unter Durchsuchen des einheitlichen Überwachungsprotokolls.

Office 365-Verwaltungsaktivitäts-API

Um die endpunkte der Office 365 Management-API abfragen zu können, müssen Sie Ihre Anwendung mit den richtigen Berechtigungen konfigurieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter Erste Schritte mit Office 365 Management-APIs.