Поделиться через

AipDiscover

  • Статья

Azure Information Protection — это служба, которая позволяет организациям классифицировать конфиденциальные данные и помечать их, а также применять политики для управления доступом к этим данным и общим доступом к ним.

AipDiscover — это тип события, который записывается в единый журнал аудита Office 365. Он представляет собой попытку обнаружения или доступа к защищенному файлу Azure Information Protection (AIP). В сценарии, в котором событие AIPDiscover отображает операцию как обнаружение, что означает, что файл был указан в локальном файловом ресурсе, сервере SharePoint и т. д., который просматривается пользователем или сканером защиты информации, и состояние файла находится в состоянии неактивности. В сценарии, когда событие AIPDiscover отображает операции как доступ, что означает, что файл был открыт и используется пользователем при записи события.

Событие AIPDiscover полезно, так как в нем отображаются пользователи, устройства и расположения, которые обращаются к Azure Information Protection помеченные сведения в организации.

Доступ к единому журналу аудита Office 365

Доступ к журналам аудита можно получить с помощью следующих методов:

Описание полей данных в событии аудита см. в разделе Атрибуты события AipDiscover.

Средство поиска по журналам аудита

  1. Перейдите к Портал соответствия требованиям Microsoft Purview и выполните вход.
  2. В левой области портала соответствия требованиям выберите Аудит.

    Примечание.

    Если вы не видите элемент Аудит на панели слева, сведения о разрешениях см. в разделе Роли и группы ролей в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview.

  3. На вкладке Новый поиск задайте для параметра Тип записи значение AipDiscover и настройте другие параметры. Конфигурации аудита AipDiscover
  4. Щелкните Поиск , чтобы выполнить поиск с помощью условий. В области результатов выберите событие для просмотра результатов. Можно просматривать операции обнаружения и доступа. Результаты аудита AipDiscover

Дополнительные сведения о просмотре журналов аудита в Портал соответствия требованиям Microsoft Purview см. в разделе Действия журнала аудита.

Поиск единого журнала аудита в PowerShell

Чтобы получить доступ к единому журналу аудита с помощью PowerShell, сначала подключитесь к сеансу Exchange Online PowerShell, выполнив следующие действия.

Установка удаленного сеанса PowerShell

Это позволит установить удаленный сеанс PowerShell с Exchange Online. После установки подключения можно запустить командлеты Exchange Online для управления средой Exchange Online.

Откройте окно PowerShell и выполните команду Install-Module -Name ExchangeOnlineManagement, чтобы установить модуль управления Exchange Online. Этот модуль предоставляет командлеты, которые можно использовать для управления Exchange Online.

  1. Connect-IPPSSession — это командлет PowerShell, используемый для создания удаленного подключения к сеансу PowerShell Exchange Online.
  2. Import-Module ExchangeOnlineManagement — это командлет PowerShell, используемый для импорта модуля управления Exchange Online в текущий сеанс PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

Подключение к конкретному пользователю

Команда для запроса определенного пользователя для учетных данных Exchange Online.

$UserCredential = Get-Credential

Команда для подключения к Exchange Online с помощью предоставленных учетных данных.

Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true

Подключение с учетными данными в текущем сеансе

Подключитесь к Exchange Online, используя учетные данные в текущем сеансе.

Connect-ExchangeOnline

Командлет Search-UnifiedAuditLog

Командлет Search-UnifiedAuditLog — это команда PowerShell, которую можно использовать для поиска в едином журнале аудита Office 365. Единый журнал аудита — это запись действий пользователей и администраторов в Office 365, которую можно использовать для отслеживания событий. Рекомендации по использованию этого командлета см. в разделе Рекомендации по использованию Search-UnifiedAuditLog.

Чтобы извлечь события AipDiscover из единого журнала аудита с помощью PowerShell, можно использовать следующую команду. При этом в едином журнале аудита будет выполнен поиск указанного диапазона дат и возвращаются все события с типом записи "AipDiscover". Результаты будут экспортированы в CSV-файл по указанному пути.

Search-UnifiedAuditLog -RecordType AipDiscover -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>

Используйте следующую команду для специального поиска событий обнаружения — сценария, в котором файлы обнаруживаются пользователем или сканером защиты информации путем просмотра локальных общих папок, серверов SharePoint и т. д. Пример результата командлета PowerShell также показан ниже.

Search-UnifiedAuditLog -Operations Discover -RecordType AipDiscover -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Ниже приведен пример события AipDiscover из PowerShell, операция Обнаружения.

RecordType   : AipDiscover
CreationDate : 12/6/2022 8:51:58 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : Discover
AuditData    : 
{
  "SensitivityLabelEventData":{},
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionType":"Custom",
    "IsProtected":true,
    "ProtectionOwner":"ipadmin@champion365.onmicrosoft.com"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Explorer Extension",
    "ProcessName":"MSIP.App",
    "Platform":1,
    "DeviceName":"WinDev2210Eval",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Rest",
  "ObjectId":"C:\\Users\\User\\OneDrive - champion365\\Cascade Car Schematics.docx",
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"104.190.163.53",
  "Id":"e15273c7-f07e-41ec-bac1-5da8739623a5",
  "RecordType":93,
  "CreationTime":"2022-12-06T20:51:58",
  "Operation":"Discover",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : -1
ResultCount  : 0
Identity     : e15273c7-f07e-41ec-bac1-5da8739623a5
IsValid      : True
ObjectState  : Unchanged

Используйте следующую команду, чтобы специально найти события доступа — сценарий, в котором файлы были открыты и используются пользователем. Пример результата командлета PowerShell также показан ниже.

Search-UnifiedAuditLog -Operations Access -RecordType AipDiscover -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Ниже приведен пример события AipDiscover из PowerShell, операция Access.

RecordType   : AipDiscover
CreationDate : 11/6/2022 10:56:26 PM
UserIds      : AdeleV@champion365.onmicrosoft.com
Operations   : Access
AuditData    : 
{ 
  "SensitivityLabelEventData":{
    "SensitivityLabelId":"e14c1275-fa87-4421-8a59-5e3c3c214d61"
  },
  "SensitiveInfoTypeData":[],
  "ProtectionEventData":{
    "ProtectionType":"Template",
    "TemplateId":"2f0f4096-5629-405c-b2a1-8611053b0ed0",
    "IsProtected":true,
    "ProtectionOwner":"tony@smith.net"
  },
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Word Add-In",
    "ProcessName":"WINWORD",
    "Platform":1,
    "DeviceName":"chmp365-avance",
    "Location":"On-premises file shares",
    "ProductVersion":"2.13.49.0"
  },
  "Data State":"Use",
  "ObjectId":"C:\\Users\\AdeleVance\\Downloads\\dest.docx",
  "UserId":"AdeleV@champion365.onmicrosoft.com",
  "ClientIP":"76.135.237.70",
  "Id":"f8317892-3dc0-455d-9edd-8d6615addf41",
  "RecordType":93,
  "CreationTime":"2022-11-06T22:56:26",
  "Operation":"Access",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"aec5d8fc-bbbd-4ab0-b607-5d9ea1f067f2",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : 18
ResultCount  : 18
Identity     : f8317892-3dc0-455d-9edd-8d6615addf41
IsValid      : True
ObjectState  : Unchanged

Примечание.

Это лишь пример использования командлета Search-UnifiedAuditLog. Может потребоваться настроить команду и указать дополнительные параметры в соответствии с конкретными требованиями. Дополнительные сведения об использовании PowerShell для унифицированных журналов аудита см. в статье Поиск в едином журнале аудита.

API действий управления Office 365

Чтобы иметь возможность запрашивать конечные точки API управления Office 365, необходимо настроить приложение с правильными разрешениями. Пошаговые инструкции см. в статье Начало работы с API управления Office 365.

Ниже приведен пример события AipDiscover из REST API.

TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-21T17:18:20Z
EventCreationTime [UTC] : 2022-12-21T17:18:20Z
Id : b8ef4925-3bae-4982-8279-651d4e67b1ea
Operation : Discover
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 93
UserType : 0
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Explorer Extension
Common_ProcessName : MSIP.App
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
ObjectId : C:\Users\svc.aipscanner\AppData\Local\Microsoft\MSIP\Scanner\Reports\Reports2022-12-12_23_13_06.zip
SensitiveInfoTypeData : []
ProtectionEventData_IsProtected : false
Common_Location : On-premises file shares
DataState : Rest
Type : AuditGeneral

Атрибуты события AipDiscover

Событие Тип Описание
ApplicationId Глобальный уникальный идентификатор (GUID) ID приложения, которое выполняет операцию.
ApplicationName String Понятное имя приложения, выполняющего операцию. (Outlook, OWA, Word, Excel, PowerPoint и т. д.)
ClientIP IPv4/IPv6 IP-адрес устройства, которое использовалось при регистрации действия в журнале. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие.
CreationTime Дата и время Дата и время выполнения действия пользователем в формате UTC.
DataState String Rest = Файл не был открыт, когда событие было зарегистрировано
в журнале Use = File was in use when event was logged.
DeviceName String Устройство, на котором произошло действие.
Id Глобальный уникальный идентификатор (GUID) Уникальный идентификатор записи аудита.
IsProtected Boolean Указывает, защищены ли данные с помощью шифрования.
Location Строка Расположение документа относительно устройства пользователя (локальных общих папок).
ObjectId String Полный путь к файлу (URL-адрес), к которому обращается пользователь.
Operation String Тип операции для журнала аудита.
Discover = файл просматривается пользователем или сканером
защиты информации Доступ = Файл был открыт и используется пользователем при записи события.
OrganizationId Глобальный уникальный идентификатор (GUID) GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается.
Платформа Двойное с плавающей точкой Платформа, откуда произошло действие.
0 = Неизвестно
1 = Windows
2 = MacOS
3 = iOS
4 = Android
5 = Веб-браузер
ProcessName String Имя соответствующего процесса (Outlook, MSIP.App, WinWord и т. д.)
ProductVersion String Версия клиента AIP.
ProtectionOwner String Владелец Rights Management в формате имени участника-пользователя.
ProtectionType String Тип защиты, который использовался для данных. Шаблон означает, что защита была предопределена администратором. Пользовательский означает, что пользователь определил защиту.
RecordType Двойное с плавающей точкой Тип операции, указанный в записи. 93 представляет запись AipDiscover.
Scope Двойное с плавающей точкой 0 представляет, что событие было создано размещенной службой O365. 1 представляет, что событие было создано локальным сервером.
SensitiveInfoTypeData String Типы конфиденциальной информации, обнаруженные в данных.
SensitivityLabelId Глобальный уникальный идентификатор (GUID) Идентификатор GUID текущей метки конфиденциальности MIP. Используйте cmdlt Get-Label, чтобы получить полные значения GUID.
TemplateId Глобальный уникальный идентификатор (GUID) Идентификатор шаблона, используемого для защиты. Если ProtectionType = Template, TemplateId будет иметь GUID. Если ProtectionType = Пользовательский, TemplateId будет пустым. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из azure Information Protection.
UserId String Имя участника-пользователя (UPN) пользователя, выполнившего действие, которое привело к регистрации записи.
UserKey Глобальный уникальный идентификатор (GUID) Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange.
UserType Двойное с плавающей точкой Тип пользователя, который выполнил операцию.
0 = regular
1 = Reserved
2 = Администратор
3 = DcAdmin
4 = System
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy