Поделиться через


AipFileDeleted

Azure Information Protection — это служба, которая позволяет организациям классифицировать конфиденциальные данные и помечать их, а также применять политики для управления доступом к этим данным и общим доступом к ним.

AipFileDeleted — это тип события, который записывается в единый журнал аудита Office 365. События AipFileDeleted представляют собой попытку удаления файла с метками azure Information Protection (AIP). В событии ResultStatus показывает, было ли удаление файла успешным.

Доступ к единому журналу аудита Office 365

Доступ к журналам аудита можно получить с помощью следующих методов:

Средство поиска по журналам аудита

  1. Перейдите к Портал соответствия требованиям Microsoft Purview и выполните вход.
  2. В левой области портала соответствия требованиям выберите Аудит.

    Примечание.

    Если вы не видите элемент Аудит на панели слева, сведения о разрешениях см. в разделе Роли и группы ролей в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview.

  3. На вкладке Новый поиск задайте для параметра Тип записи значение AipDiscover и настройте другие параметры. Конфигурации аудита AipDiscover
  4. Щелкните Поиск , чтобы выполнить поиск с помощью условий. В области результатов выберите событие для просмотра результатов. Можно просматривать операции обнаружения и доступа. Результаты аудита AipDiscover

Дополнительные сведения о просмотре журналов аудита в Портал соответствия требованиям Microsoft Purview см. в разделе Действия журнала аудита.

Поиск единого журнала аудита в PowerShell

Чтобы получить доступ к единому журналу аудита с помощью PowerShell, сначала подключитесь к сеансу Exchange Online PowerShell, выполнив следующие действия.

Установка удаленного сеанса PowerShell

После установки подключения можно запустить командлеты Exchange Online для управления средой Exchange Online.

Откройте окно PowerShell и выполните команду Install-Module -Name ExchangeOnlineManagement, чтобы установить модуль управления Exchange Online. Этот модуль предоставляет командлеты, которые можно использовать для управления Exchange Online.

  1. Connect-IPPSSession — это командлет PowerShell, используемый для создания удаленного подключения к сеансу PowerShell Exchange Online.
  2. Import-Module ExchangeOnlineManagement — это командлет PowerShell, используемый для импорта модуля управления Exchange Online в текущий сеанс PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

Подключение к конкретному пользователю

Команда для запроса определенного пользователя для учетных данных Exchange Online.

$UserCredential = Get-Credential 

Команда для подключения к Exchange Online с помощью предоставленных учетных данных.

 Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true 

Подключение с учетными данными в текущем сеансе

Подключение к Exchange Online с помощью учетных данных в текущем сеансе

Connect-ExchangeOnline

Командлет Search-UnifiedAuditLog

Командлет Search-UnifiedAuditLog — это команда PowerShell, которую можно использовать для поиска в едином журнале аудита Office 365. Единый журнал аудита — это запись действий пользователей и администраторов в Office 365, которую можно использовать для отслеживания событий. Рекомендации по использованию этого командлета см. в разделе Рекомендации по использованию Search-UnifiedAuditLog.

Чтобы извлечь события AipFileDeleted из единого журнала аудита с помощью PowerShell, можно использовать следующую команду. При этом в едином журнале аудита будет выполнен поиск указанного диапазона дат и возвращаются все события с типом записи "AipFileDeleted". Результаты будут экспортированы в CSV-файл по указанному пути.

Search-UnifiedAuditLog -RecordType AipFileDeleted -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>

Ниже приведен пример события AipFileDeleted из PowerShell.

RecordType   : AipFileDeleted
CreationDate : 12/22/2022 8:50:10 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : FileDeleted
AuditData    : 
{
  "SensitiveInfoTypeData":[],
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Scanners",
    "ProcessName":"MSIP.Scanner",
    "Platform":1,
    "DeviceName":"AIPSCANNER1.mscompliance.click",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Rest",
  "ObjectId":"fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc",
  "UserId":"AdeleV@champion365.onmicrosoft.com",
  "UserId":"mipscanner@kazdemos.org",
  "ClientIP":" 52.159.112.221",
  "Id":"8417bbf6-3469-57bf-d48e-ee80f34c3d71",
  "RecordType":96,
  "CreationTime":"2022-12-22T20:50:10",
  "Operation":"FileDeleted",
  "OrganizationId":"ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c",
  "UserType":5,
  "UserKey":"cab9530a-5b06-4c61-b09b-590fda6a40f8",
  "ResultStatus":"Succeeded"
}
ResultIndex  : 9
ResultCount  : 11
Identity     : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid      : True
ObjectState  : Unchanged

Примечание.

Это лишь пример использования командлета Search-UnifiedAuditLog. Может потребоваться настроить команду и указать дополнительные параметры в соответствии с конкретными требованиями. Дополнительные сведения об использовании PowerShell для унифицированных журналов аудита см. в статье Поиск в едином журнале аудита.

API действий управления Office 365

Чтобы иметь возможность запрашивать конечные точки API управления Office 365, необходимо настроить приложение с правильными разрешениями. Пошаговые инструкции см. в статье Начало работы с API управления Office 365.

Ниже приведен пример события AipFileDeleted из REST API.

TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-04T21:59:50.7763106Z
EventCreationTime [UTC] : 2022-12-01T22:10:41Z
Id : 8417bbf6-3469-57bf-d48e-ee80f34c3d71
Operation : FileDeleted
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 96
UserType : 5
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : cab9530a-5b06-4c61-b09b-590fda6a40f8
ResultStatus : Succeeded
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Scanner
Common_ProcessName : MSIP.Scanner
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
ObjectId : \\fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc
SensitiveInfoTypeData : []
Common_Location : On-premises file shares
DataState : Rest
Type : AuditGeneral_CL

Атрибуты события AipFileDeleted

Событие Тип Описание
ApplicationId Глобальный уникальный идентификатор (GUID) ID приложения, которое выполняет операцию.
ApplicationName String Понятное имя приложения, выполняющего операцию. (Outlook, OWA, Word, Excel, PowerPoint и т. д.)
ClientIP IPv4/IPv6 IP-адрес устройства, которое использовалось при регистрации действия в журнале. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие.
CreationTime Дата и время Дата и время выполнения действия пользователем в формате UTC.
DataState String Rest = Файл не был открыт, когда событие было зарегистрировано
в журнале Use = File was in use when event was logged.
DeviceName String Устройство, на котором произошло действие.
Id Глобальный уникальный идентификатор (GUID) Уникальный идентификатор записи аудита.
IsProtected Boolean Указывает, защищены ли данные с помощью шифрования.
Location Строка Расположение документа относительно устройства пользователя.
ObjectId String Полный путь к файлу (URL-адрес), к которому обращается пользователь.
Operation String Тип операции для журнала аудита. Для AipFileDeleted операция имеет значение FileDeleted.
OrganizationId Глобальный уникальный идентификатор (GUID) GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается.
Платформа Двойное с плавающей точкой Платформа, откуда произошло действие.
0 = Неизвестно
1 = Windows
2 = MacOS
3 = iOS
4 = Android
5 = Веб-браузер
ProcessName String Имя соответствующего процесса (Outlook, MSIP.App, WinWord и т. д.)
ProductVersion String Версия клиента AIP.
RecordType Двойное с плавающей точкой Тип операции, указанный в записи. 96 представляет запись AipFileDeleted.
ResultStatus String Указывает, удалось ли удалить файл.
Scope Двойное с плавающей точкой 0 представляет, что событие было создано размещенной службой O365. 1 представляет, что событие было создано локальным сервером.
SensitiveInfoTypeData String Типы конфиденциальной информации, обнаруженные в данных.
SensitivityLabelId Глобальный уникальный идентификатор (GUID) Идентификатор GUID текущей метки конфиденциальности MIP. Используйте cmdlt Get-Label, чтобы получить полные значения GUID.
UserId String Имя участника-пользователя (UPN) пользователя, выполнившего действие, которое привело к регистрации записи.
UserKey Глобальный уникальный идентификатор (GUID) Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange.
UserType Двойное с плавающей точкой Тип пользователя, который выполнил операцию.
0 = regular
1 = Reserved
2 = Администратор
3 = DcAdmin
4 = System
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy