AipFileDeleted
Azure 信息保护 是一项服务,允许组织对敏感数据进行分类和标记,并应用策略来控制数据的访问和共享方式。
AipFileDeleted 是Office 365统一审核日志中记录的事件类型。 AipFileDeleted 事件表示尝试删除 Azure 信息保护 (AIP) 标记的文件。 在 事件中,ResultStatus 显示文件删除是否成功。
访问Office 365统一审核日志
可以使用以下方法访问审核日志:
- Microsoft Purview 合规性门户中的审核日志搜索工具。
- Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet。
- Office 365 管理活动 API。
审核日志搜索工具
- 转到Microsoft Purview 合规门户并登录。
- 在合规性门户的左窗格中,选择“ 审核”。
注意
如果在左窗格中看不到“审核”,请参阅 Microsoft Defender for Office 365 中的角色和角色组和 Microsoft Purview 合规性,了解有关权限的信息。
- 在“ 新建搜索 ”选项卡上,将“记录类型”设置为 “AipDiscover ”并配置其他参数。
- 单击“ 搜索 ”以使用条件运行搜索。 在结果窗格中,选择事件以查看结果。 可查看发现和访问操作。
有关在Microsoft Purview 合规门户中查看审核日志的详细信息,请参阅审核日志活动。
在 PowerShell 中搜索统一审核日志
若要使用 PowerShell 访问统一审核日志,请首先通过完成以下步骤连接到 Exchange Online PowerShell 会话。
建立远程 PowerShell 会话
建立连接后,可以运行Exchange Online cmdlet 来管理Exchange Online环境。
打开 PowerShell 窗口并运行 Install-Module -Name ExchangeOnlineManagement 命令以安装 Exchange Online 管理模块。 此模块提供可用于管理Exchange Online的 cmdlet。
- Connect-IPPSSession 是一个 PowerShell cmdlet,用于创建与Exchange Online PowerShell 会话的远程连接。
- Import-Module ExchangeOnlineManagement 是一个 PowerShell cmdlet,用于将Exchange Online管理模块导入当前 PowerShell 会话。
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
与特定用户连接
用于提示特定用户输入Exchange Online凭据的命令。
$UserCredential = Get-Credential
使用提供的凭据连接到Exchange Online的命令。
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
使用当前会话中的凭据进行连接
使用当前会话中的凭据连接到Exchange Online
Connect-ExchangeOnline
Search-UnifiedAuditLog cmdlet
Search-UnifiedAuditLog cmdlet 是一个 PowerShell 命令,可用于搜索统一审核日志Office 365。 统一审核日志是Office 365中的用户和管理员活动记录,可用于跟踪事件。 有关使用此 cmdlet 的最佳做法,请参阅 使用 Search-UnifiedAuditLog 的最佳做法。
若要使用 PowerShell 从统一审核日志中提取 AipFileDeleted 事件,可以使用以下命令。 这将在统一审核日志中搜索指定日期范围,并返回记录类型为“AipFileDeleted”的任何事件。 结果将导出到指定路径处的 CSV 文件。
Search-UnifiedAuditLog -RecordType AipFileDeleted -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>
下面是 PowerShell 中的 AipFileDeleted 事件示例。
RecordType : AipFileDeleted
CreationDate : 12/22/2022 8:50:10 PM
UserIds : ipadmin@champion365.onmicrosoft.com
Operations : FileDeleted
AuditData :
{
"SensitiveInfoTypeData":[],
"Common":{
"ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
"ApplicationName":"Microsoft Azure Information Protection Scanners",
"ProcessName":"MSIP.Scanner",
"Platform":1,
"DeviceName":"AIPSCANNER1.mscompliance.click",
"Location":"On-premises file shares",
"ProductVersion":"2.14.90.0"
},
"DataState":"Rest",
"ObjectId":"fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc",
"UserId":"AdeleV@champion365.onmicrosoft.com",
"UserId":"mipscanner@kazdemos.org",
"ClientIP":" 52.159.112.221",
"Id":"8417bbf6-3469-57bf-d48e-ee80f34c3d71",
"RecordType":96,
"CreationTime":"2022-12-22T20:50:10",
"Operation":"FileDeleted",
"OrganizationId":"ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c",
"UserType":5,
"UserKey":"cab9530a-5b06-4c61-b09b-590fda6a40f8",
"ResultStatus":"Succeeded"
}
ResultIndex : 9
ResultCount : 11
Identity : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid : True
ObjectState : Unchanged
注意
这只是如何使用 Search-UnifiedAuditLog cmdlet 的示例。 可能需要调整命令并根据特定要求指定其他参数。 有关使用 PowerShell 获取统一审核日志的详细信息,请参阅 搜索统一审核日志。
Office 365 管理活动 API
为了能够查询Office 365管理 API 终结点,需要使用正确的权限配置应用程序。 有关分步指南,请参阅 Office 365 管理 API 入门。
下面是 REST API 中的 AipFileDeleted 事件示例。
TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-04T21:59:50.7763106Z
EventCreationTime [UTC] : 2022-12-01T22:10:41Z
Id : 8417bbf6-3469-57bf-d48e-ee80f34c3d71
Operation : FileDeleted
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 96
UserType : 5
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : cab9530a-5b06-4c61-b09b-590fda6a40f8
ResultStatus : Succeeded
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Scanner
Common_ProcessName : MSIP.Scanner
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
ObjectId : \\fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc
SensitiveInfoTypeData : []
Common_Location : On-premises file shares
DataState : Rest
Type : AuditGeneral_CL
AipFileDeleted 事件的属性
| 事件 | 类型 | 说明 |
|---|---|---|
| ApplicationId | GUID | 执行操作的应用程序的 ID。 |
| ApplicationName | String | 执行操作的应用程序的友好名称。 (Outlook、OWA、Word、Excel、PowerPoint 等 ) |
| ClientIP | IPv4/IPv6 | 记录活动时使用的设备的 IP 地址。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 |
| CreationTime | 日期/时间 | 用户执行活动时的协调世界时 (UTC) 日期和时间。 |
| DataState | String | Rest = 记录 事件时文件未打开 Use = 记录事件时文件处于使用状态。 |
| DeviceName | 字符串 | 发生活动的设备。 |
| Id | GUID | 审核记录的唯一标识符。 |
| IsProtected | 布尔值 | 说明数据是否受加密保护。 |
| 位置 | String | 文档相对于用户设备的位置。 |
| ObjectId | String | 用户正在访问的文件完整路径 (URL) 。 |
| 操作 | String | 审核日志的操作类型。 对于 AipFileDeleted,操作为 FileDeleted。 |
| OrganizationId | GUID | 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。 |
| 平台 | 双精度 | 活动发生自的平台。 0 = 未知 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Web 浏览器 |
| ProcessName | String | 相关进程名称 (Outlook、MSIP.App、WinWord 等 ) |
| productVersion | String | AIP 客户端的版本。 |
| RecordType | 双精度 | 记录指示的操作类型。 96 表示 AipFileDeleted 记录。 |
| ResultStatus | String | 指示文件删除是否成功。 |
| 范围 | 双精度 | 0 表示事件是由托管的 O365 服务创建的。 1 表示事件是由本地服务器创建的。 |
| SensitiveInfoTypeData | String | 在数据中发现的敏感信息类型。 |
| SensitivityLabelId | GUID | 当前 MIP 敏感度标签 GUID。 使用 cmdlt Get-Label 获取 GUID 的完整值。 |
| UserID | String | 用户主体名称 (UPN) 执行了导致记录被记录的操作的用户。 |
| UserKey | GUID | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
| UserType | 双精度 | 执行操作的用户类型。 0 = 常规 1 = 保留 2 = 管理员 3 = DcAdmin 4 = 系统 5 = 应用程序 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |