AipHeartBeat
Azure Information Protection — это служба, которая позволяет организациям классифицировать конфиденциальные данные и помечать их, а также применять политики для управления доступом к этим данным и общим доступом к ним.
AipHeartBeat — это тип события, который записывается в единый журнал аудита Office 365. События AipHeartBeat создаются автоматически и полезны для отслеживания работоспособности и состояния службы AIP.
Доступ к единому журналу аудита Office 365
Доступ к журналам аудита можно получить с помощью следующих методов:
- Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview
- Командлет PowerShell Search-UnifiedAuditLog в Exchange Online.
- API действий управления Office 365
Средство поиска по журналам аудита
- Перейдите к Портал соответствия требованиям Microsoft Purview и выполните вход.
- В левой области портала соответствия требованиям выберите Аудит.
Примечание.
Если вы не видите элемент Аудит на панели слева, сведения о разрешениях см. в разделе Роли и группы ролей в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview.
- На вкладке Новый поиск задайте для параметра Тип записи значение AipDiscover и настройте другие параметры.
- Щелкните Поиск , чтобы выполнить поиск с помощью условий. В области результатов выберите событие для просмотра результатов. Можно просматривать операции обнаружения и доступа.
Дополнительные сведения о просмотре журналов аудита в Портал соответствия требованиям Microsoft Purview см. в разделе Действия журнала аудита.
Поиск единого журнала аудита в PowerShell
Чтобы получить доступ к единому журналу аудита с помощью PowerShell, сначала подключитесь к сеансу Exchange Online PowerShell, выполнив следующие действия.
Установка удаленного сеанса PowerShell
Это позволит установить удаленный сеанс PowerShell с Exchange Online. После установки подключения можно запустить командлеты Exchange Online для управления средой Exchange Online.
Откройте окно PowerShell и выполните команду Install-Module -Name ExchangeOnlineManagement, чтобы установить модуль управления Exchange Online. Этот модуль предоставляет командлеты, которые можно использовать для управления Exchange Online.
- Connect-IPPSSession — это командлет PowerShell, используемый для создания удаленного подключения к сеансу PowerShell Exchange Online.
- Import-Module ExchangeOnlineManagement — это командлет PowerShell, используемый для импорта модуля управления Exchange Online в текущий сеанс PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
Подключение к конкретному пользователю
Команда для запроса определенного пользователя для учетных данных Exchange Online.
$UserCredential = Get-Credential
Команда для подключения к Exchange Online с помощью предоставленных учетных данных.
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
Подключение с учетными данными в текущем сеансе
Подключение к Exchange Online с помощью учетных данных в текущем сеансе
Connect-ExchangeOnline
Командлет Search-UnifiedAuditLog
Командлет Search-UnifiedAuditLog — это команда PowerShell, которую можно использовать для поиска в едином журнале аудита Office 365. Единый журнал аудита — это запись действий пользователей и администраторов в Office 365, которую можно использовать для отслеживания событий. Рекомендации по использованию этого командлета см. в разделе Рекомендации по использованию Search-UnifiedAuditLog.
Чтобы извлечь события AipHeartBeat из единого журнала аудита с помощью PowerShell, можно использовать следующую команду. При этом в едином журнале аудита будет выполнен поиск указанного диапазона дат и возвращаются все события с типом записи "AipHeartBeat". Результаты будут экспортированы в CSV-файл по указанному пути.
Search-UnifiedAuditLog -RecordType AipHeartBeat -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>
Событие AipHeartBeat из PowerShell
Ниже приведен пример события AipHeartBeat из PowerShell.
RecordType : AipHeartBeat
CreationDate : 12/22/2022 8:50:10 PM
UserIds : ipadmin@champion365.onmicrosoft.com
Operations : HeartBeat
AuditData :
{
"Common":{
"ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
"ApplicationName":"Microsoft Azure Information Protection Explorer Extension",
"ProcessName":"MSIP.App",
"Platform":1,
"DeviceName":"marketing-demo1",
"ProductVersion":"2.14.90.0"
},
"UserId":"ipadmin@champion365.onmicrosoft.com",
"ClientIP":"20.163.159.46",
"Id":"2e7b94ee-92f7-480f-8b14-89d4bc0c0e43",
"RecordType":97,
"CreationTime":"2022-12-22T20:50:10",
"Operation":"HeartBeat",
"OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
"UserType":0,
"UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
"Workload":"Aip",
"Version":1,
"Scope":1
}
ResultIndex : 9
ResultCount : 11
Identity : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid : True
ObjectState : Unchanged
Примечание.
Это лишь пример использования командлета Search-UnifiedAuditLog. Может потребоваться настроить команду и указать дополнительные параметры в соответствии с конкретными требованиями. Дополнительные сведения об использовании PowerShell для унифицированных журналов аудита см. в статье Поиск в едином журнале аудита.
API действий управления Office 365
Чтобы иметь возможность запрашивать конечные точки API управления Office 365, необходимо настроить приложение с правильными разрешениями. Пошаговые инструкции см. в статье Начало работы с API управления Office 365.
Событие AipHeartBeat из REST API
Ниже приведен пример события AipHeartBeat из REST API.
TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-21T17:18:20Z
EventCreationTime [UTC] : 2022-12-21T17:18:20Z
Id : a5ee064a-9508-4332-9853-db4bc8813f4c
Operation : HeartBeat
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 97
UserType : 0
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Explorer Extension
Common_ProcessName : MSIP.App
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
Type : AuditGeneral
Атрибуты события AipHeartBeat
| Событие | Тип | Описание |
|---|---|---|
| ApplicationId | Глобальный уникальный идентификатор (GUID) | ID приложения, которое выполняет операцию. |
| ApplicationName | String | Понятное имя приложения, выполняющего операцию. (Outlook, OWA, Word, Excel, PowerPoint и т. д.) |
| ClientIP | IPv4/IPv6 | IP-адрес устройства, которое использовалось при регистрации действия в журнале. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. |
| CreationTime | Дата и время | Дата и время выполнения действия пользователем в формате UTC. |
| DeviceName | String | Устройство, на котором произошло действие. |
| Id | Глобальный уникальный идентификатор (GUID) | Уникальный идентификатор записи аудита. |
| Operation | String | Тип операции для журнала аудита. Для AipHeartBeat операция — Heartbeat. |
| OrganizationId | Глобальный уникальный идентификатор (GUID) | GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается. |
| Платформа | Двойное с плавающей точкой | Платформа, откуда произошло действие.
0 = Неизвестно 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Веб-браузер |
| ProcessName | String | Имя соответствующего процесса (Outlook, MSIP.App, WinWord и т. д.) |
| ProductVersion | String | Версия клиента AIP. |
| RecordType | Двойное с плавающей точкой | Тип операции, указанный в записи. 97 представляет запись AipHeartBeat. |
| Scope | Двойное с плавающей точкой | 0 представляет, что событие было создано размещенной службой O365. 1 представляет, что событие было создано локальным сервером. |
| UserId | String | Имя участника-пользователя (UPN) пользователя, выполнившего действие, которое привело к регистрации записи. |
| UserKey | Глобальный уникальный идентификатор (GUID) | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
| UserType | Двойное с плавающей точкой | Тип пользователя, который выполнил операцию.
0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Версия | Двойное с плавающей точкой | Идентификатор версии файла, с которым выполнена операция. |
| Workload | String | Хранит службу Office 365, в которой произошло действие (Exchange, SharePoint, OneDrive и т. д.). |