Compartir a través de


AipHeartBeat

Azure Information Protection es un servicio que permite a las organizaciones clasificar y etiquetar datos confidenciales, y aplicar directivas para controlar cómo se accede a esos datos y se comparten.

AipHeartBeat es un tipo de evento que se registra en el registro de auditoría unificado de Office 365. Los eventos de AipHeartBeat se generan automáticamente y son útiles para realizar un seguimiento del estado y el estado del servicio AIP.

Acceso al registro de auditoría unificado de Office 365

Se puede acceder a los registros de auditoría mediante los métodos siguientes:

Herramienta de búsqueda de registros de auditoría

  1. Vaya al portal de cumplimiento Microsoft Purview e inicie sesión.
  2. En el panel izquierdo del portal de cumplimiento, seleccione Auditar.

    Nota:

    Si no ve Auditoría en el panel izquierdo, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y Cumplimiento de Microsoft Purview para obtener información sobre los permisos.

  3. En la pestaña Nueva búsqueda , establezca Tipo de registro en AipDiscover y configure los demás parámetros. Configuraciones de auditoría de AipDiscover
  4. Haga clic en Buscar para ejecutar la búsqueda con los criterios. En el panel de resultados, seleccione un evento para ver los resultados. Se pueden ver las operaciones de detección y acceso. Resultados de auditoría de AipDiscover

Para obtener más información sobre cómo ver los registros de auditoría en el portal de cumplimiento Microsoft Purview, consulte Actividades de registro de auditoría.

Búsqueda del registro de auditoría unificado en PowerShell

Para acceder al registro de auditoría unificado mediante PowerShell, conéctese primero a una sesión de PowerShell Exchange Online completando los pasos siguientes.

Establecer una sesión remota de PowerShell

Esto establecerá una sesión remota de PowerShell con Exchange Online. Una vez establecida la conexión, puede ejecutar cmdlets de Exchange Online para administrar el entorno de Exchange Online.

Abra una ventana de PowerShell y ejecute el comando Install-Module -Name ExchangeOnlineManagement para instalar el módulo Exchange Online Management. Este módulo proporciona cmdlets que se pueden usar para administrar Exchange Online.

  1. Connect-IPPSSession es un cmdlet de PowerShell que se usa para crear una conexión remota a una sesión de PowerShell Exchange Online.
  2. Import-Module ExchangeOnlineManagement es un cmdlet de PowerShell que se usa para importar el módulo Exchange Online Management en la sesión actual de PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

Conexión con un usuario específico

Comando para solicitar a un usuario específico las credenciales de Exchange Online.

$UserCredential = Get-Credential 

Comando para conectarse a Exchange Online con las credenciales proporcionadas.

 Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true 

Conexión con credenciales en la sesión actual

Conexión a Exchange Online con las credenciales de la sesión actual

Connect-ExchangeOnline

Cmdlet Search-UnifiedAuditLog

El cmdlet Search-UnifiedAuditLog es un comando de PowerShell que se puede usar para buscar en el Office 365 registro de auditoría unificado. El registro de auditoría unificado es un registro de la actividad de usuario y administrador en Office 365 que se puede usar para realizar el seguimiento de eventos. Para conocer los procedimientos recomendados para usar este cmdlet, consulte Procedimientos recomendados para usar Search-UnifiedAuditLog.

Para extraer los eventos de AipHeartBeat del registro de auditoría unificado mediante PowerShell, puede usar el siguiente comando. Esto buscará en el registro de auditoría unificado el intervalo de fechas especificado y devolverá cualquier evento con el tipo de registro "AipHeartBeat". Los resultados se exportarán a un archivo CSV en la ruta de acceso especificada.

Search-UnifiedAuditLog -RecordType AipHeartBeat -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>

Evento AipHeartBeat desde PowerShell

A continuación se muestra un ejemplo de un evento AipHeartBeat de PowerShell.

RecordType   : AipHeartBeat
CreationDate : 12/22/2022 8:50:10 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : HeartBeat
AuditData    : 
{
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Explorer Extension",
    "ProcessName":"MSIP.App",
    "Platform":1,
    "DeviceName":"marketing-demo1",
    "ProductVersion":"2.14.90.0"
  },
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"20.163.159.46",
  "Id":"2e7b94ee-92f7-480f-8b14-89d4bc0c0e43",
  "RecordType":97,
  "CreationTime":"2022-12-22T20:50:10",
  "Operation":"HeartBeat",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : 9
ResultCount  : 11
Identity     : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid      : True
ObjectState  : Unchanged

Nota:

Este es solo un ejemplo de cómo se puede usar el cmdlet Search-UnifiedAuditLog. Es posible que tenga que ajustar el comando y especificar parámetros adicionales en función de sus requisitos específicos. Para obtener más información sobre el uso de PowerShell para registros de auditoría unificados, consulte Buscar registro de auditoría unificado.

API de Actividad de administración de Office 365

Para poder consultar los puntos de conexión de api de Office 365 Management, deberá configurar la aplicación con los permisos adecuados. Para obtener una guía paso a paso, consulte Introducción a las API de administración de Office 365.

Evento AipHeartBeat de la API REST

A continuación se muestra un ejemplo de un evento AipHeartBeat de la API REST.

TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-21T17:18:20Z
EventCreationTime [UTC] : 2022-12-21T17:18:20Z
Id : a5ee064a-9508-4332-9853-db4bc8813f4c
Operation : HeartBeat
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 97
UserType : 0
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Explorer Extension
Common_ProcessName : MSIP.App
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
Type : AuditGeneral

Atributos del evento AipHeartBeat

Evento Tipo Descripción
ApplicationId GUID El identificador de la aplicación que realiza la operación.
ApplicationName Cadena Nombre descriptivo de la aplicación que realiza la operación. (Outlook, OWA, Word, Excel, PowerPoint, etc.)
ClientIP IPv4/IPv6 La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.
CreationTime Fecha y hora La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad.
DeviceName Cadena Dispositivo en el que se produjo la actividad.
Id GUID Identificador único de un registro de auditoría.
Operación Cadena Tipo de operación para el registro de auditoría. Para AipHeartBeat, la operación es Latido.
OrganizationId GUID El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.
Plataforma Doble Plataforma desde la que se produjo la actividad.
0 = Desconocido
1 = Windows
2 = MacOS
3 = iOS
4 = Android
5 = Explorador web
ProcessName Cadena Nombre del proceso correspondiente (Outlook, MSIP.App, WinWord, etc.)
ProductVersion Cadena Versión del cliente de AIP.
RecordType Doble El tipo de operación indicado por el registro. 97 representa un registro de AipHeartBeat.
Ámbito Doble 0 representa que un servicio de O365 hospedado creó el evento. 1 representa que un servidor local creó el evento.
UserId Cadena Nombre principal de usuario (UPN) del usuario que realizó la acción que provocó que se registrara el registro.
UserKey GUID Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.
UserType Doble El tipo de usuario que llevó a cabo la operación.
0 = Normal
1 = Reservado
2 = Administración
3 = DcAdmin
4 = Sistema
5 = Aplicación
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
Versión Doble El id. de versión del archivo en la operación.
Carga de trabajo Cadena Almacena el servicio Office 365 donde se produjo la actividad (Exchange, SharePoint, OneDrive, etc.).