Referencia del conector Information Protection de Microsoft Purview: compatibilidad con actividades y tipos de fila del registro de auditoría
En este artículo, se enumeran las actividades y los tipos de fila del registro de auditoría admitidos al usar el conector Information Protection de Microsoft Purview con Microsoft Sentinel.
Cuando se usa el conector Information Protection de Microsoft Purview, los registros de auditoría se transmiten a la
tabla estandarizada MicrosoftPurviewInformationProtection. Los datos se recopilan mediante la API de administración de Office, que usa un esquema estructurado.
Tipos de fila del registro de auditoría admitidos
| Valor | Miembro | Nombre | Descripción | Operaciones |
|---|---|---|---|---|
| 93 | AipDiscover |
Eventos del analizador de Microsoft Purview. | Describe el tipo de acceso. | |
| 94 | AipSensitivityLabelAction |
Evento de etiqueta de confidencialidad de Microsoft Purview. | Tipo de operación del registro de auditoría. Nombre del usuario o la actividad de administrador para una descripción de las operaciones más comunes:
|
|
| 95 | AipProtectionAction |
Eventos de protección de Microsoft Purview. | Contiene información relacionada con los eventos de protección de Microsoft Purview. | |
| 96 | AipFileDeleted |
Evento de eliminación de archivos de Microsoft Purview. | Contiene información relacionada con los eventos de eliminación de archivos de Microsoft Purview. | |
| 97 | AipHeartBeat |
Evento de latido de Microsoft Purview. | Tipo de operación del registro de auditoría. Nombre del usuario o la actividad de administrador para una descripción de las operaciones o actividad más comunes:
SensitivityLabelUpdated |
|
| 43 | MipLabel |
Eventos detectados en la canalización de transporte de mensajes de correo electrónico etiquetados (manual o automáticamente) con etiquetas de confidencialidad. | ||
| 82 | SensitivityLabelPolicyMatch |
Eventos generados cuando se abre o cambia el nombre de un archivo etiquetado con una etiqueta confidencial. | ||
| 83 | SensitivityLabelAction |
Evento generado cuando se aplican, actualizan o quitan etiquetas de confidencialidad. | ||
| 84 | SensitivityLabeledFileAction |
Eventos generados cuando se abre o cambia el nombre de un archivo etiquetado con una etiqueta de confidencialidad. | ||
| 71 | MipAutoLabelSharePointItem |
Eventos de etiquetado automático en SharePoint | ||
| 72 | MipAutoLabelSharePointPolicyLocation |
Eventos de directiva de etiquetado automático en SharePoint. | ||
| 75 | MipAutoLabelExchangeItem |
Eventos de etiquetado automático en Microsoft Exchange. |
Actividades admitidas
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha aplicado una etiqueta de confidencialidad a un archivo. | FileSensitivityLabelApplied |
Se aplicó una etiqueta de confidencialidad a un documento mediante aplicaciones de Microsoft 365, Office en la Web o una directiva de etiquetado automático. |
| Se ha cambiado la etiqueta de confidencialidad aplicada a un archivo. | FileSensitivityLabelChanged |
Se aplicó una etiqueta de confidencialidad diferente a un documento. Se ha cambiado un documento de Office en la Web o una directiva de etiquetado automático. |
| Se ha quitado una etiqueta de confidencialidad de un archivo. | FileSensitivityLabelRemoved |
Se ha quitado una etiqueta de confidencialidad de un documento mediante aplicaciones de Microsoft 365, Office en la Web, una directiva de etiquetado automático o el cmdlet Unlock-SPOSensitivityLabelEncryptedFile. |
| Se ha aplicado una etiqueta de confidencialidad a un sitio. | SensitivityLabelApplied |
Se aplicó una etiqueta de confidencialidad a un sitio de SharePoint o Teams. |
| Se ha cambiado la etiqueta de confidencialidad aplicada a un archivo. | SensitivityLabelUpdated |
Se aplicó una etiqueta de confidencialidad diferente a un documento. |
| Se ha quitado una etiqueta de confidencialidad de un sitio. | SensitivityLabelRemoved |
Se ha quitado una etiqueta de confidencialidad de un sitio de SharePoint o Teams. |
SiteSensitivityLabelApplied |
Se aplicó una etiqueta de confidencialidad a un sitio de SharePoint o Teams. | |
| Se ha cambiado la etiqueta de confidencialidad de un sitio. | SensitivityLabelChanged |
Se aplicó una etiqueta de confidencialidad diferente a un sitio de SharePoint o Teams. |
| Se ha quitado una etiqueta de confidencialidad de un sitio. | SiteSensitivityLabelRemoved |
Se ha quitado una etiqueta de confidencialidad de un sitio de SharePoint o Teams. |
| Documento | DocumentSensitivityMismatchDetected |
Actividad no auditable. Indica al sustrato que se quitó el elemento de la vista SharedWithMe. Es igual que la operación RemovedFromSharedWithMe, pero sin auditoría. |
Pasos siguientes
En este artículo, ha obtenido información sobre las actividades y los tipos de fila del registro de auditoría admitidos al usar el conector Information Protection de Microsoft Purview. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Aprenda a obtener visibilidad de los datos y de posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.