AipFileDeleted
Azure Information Protection est un service qui permet aux organisations de classifier et d’étiqueter des données sensibles, et d’appliquer des stratégies pour contrôler la façon dont ces données sont consultées et partagées.
AipFileDeleted est un type d’événement enregistré dans le journal d’audit unifié Office 365. Les événements AipFileDeleted représentent une tentative de suppression d’un fichier étiqueté Azure Information Protection (AIP). Dans l’événement, ResultStatus indique si la suppression du fichier a réussi ou non.
Accéder au journal d’audit unifié Office 365
Les journaux d’audit sont accessibles à l’aide des méthodes suivantes :
- L’outil de recherche dans le journal d’audit dans le portail de conformité Microsoft Purview.
- La commande cmdlet Search-UnifiedAuditLog dans Exchange Online PowerShell.
- API Activité de gestion Office 365.
Outil de recherche dans les journaux d’audit
- Accédez au portail de conformité Microsoft Purview et connectez-vous.
- Dans le volet gauche du portail de conformité, sélectionnez Audit.
Remarque
Si vous ne voyez pas Audit dans le volet gauche, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et Conformité Microsoft Purview pour plus d’informations sur les autorisations.
- Sous l’onglet Nouvelle recherche , définissez Type d’enregistrement sur AipDiscover et configurez les autres paramètres.
- Cliquez sur Rechercher pour exécuter la recherche à l’aide des critères. Dans le volet de résultats, sélectionnez un événement pour afficher les résultats. Les opérations de découverte et d’accès peuvent être consultées.
Pour plus d’informations sur l’affichage des journaux d’audit dans le portail de conformité Microsoft Purview, consultez Activités du journal d’audit.
Rechercher dans le journal d’audit unifié dans PowerShell
Pour accéder au journal d’audit unifié à l’aide de PowerShell, commencez par vous connecter à une session PowerShell Exchange Online en effectuant les étapes suivantes.
Établir une session PowerShell à distance
Une fois la connexion établie, vous pouvez exécuter Exchange Online applets de commande pour gérer votre environnement Exchange Online.
Ouvrez une fenêtre PowerShell et exécutez la commande Install-Module -Name ExchangeOnlineManagement pour installer le module gestion des Exchange Online. Ce module fournit des applets de commande qui peuvent être utilisées pour gérer Exchange Online.
- Connect-IPPSSession est une applet de commande PowerShell utilisée pour créer une connexion à distance à une session PowerShell Exchange Online.
- Import-Module ExchangeOnlineManagement est une applet de commande PowerShell utilisée pour importer le module Exchange Online Management dans la session PowerShell active.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
Se connecter avec un utilisateur spécifique
Commande permettant d’inviter un utilisateur spécifique à entrer vos informations d’identification Exchange Online.
$UserCredential = Get-Credential
Commande permettant de se connecter à Exchange Online à l’aide des informations d’identification fournies.
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
Se connecter avec des informations d’identification dans la session active
Se connecter à Exchange Online à l’aide des informations d’identification dans la session active
Connect-ExchangeOnline
Cmdlet Search-UnifiedAuditLog.
L’applet de commande Search-UnifiedAuditLog est une commande PowerShell qui peut être utilisée pour rechercher dans le journal d’audit unifié Office 365. Le journal d’audit unifié est un enregistrement de l’activité de l’utilisateur et de l’administrateur dans Office 365 qui peut être utilisé pour suivre les événements. Pour connaître les meilleures pratiques relatives à l’utilisation de cette applet de commande, consultez Meilleures pratiques pour l’utilisation de Search-UnifiedAuditLog.
Pour extraire les événements AipFileDeleted du journal d’audit unifié à l’aide de PowerShell, vous pouvez utiliser la commande suivante. Cela permet de rechercher dans le journal d’audit unifié la plage de dates spécifiée et de renvoyer tous les événements avec le type d’enregistrement « AipFileDeleted ». Les résultats sont exportés vers un fichier CSV au chemin d’accès spécifié.
Search-UnifiedAuditLog -RecordType AipFileDeleted -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>
Voici un exemple d’événement AipFileDeleted de PowerShell.
RecordType : AipFileDeleted
CreationDate : 12/22/2022 8:50:10 PM
UserIds : ipadmin@champion365.onmicrosoft.com
Operations : FileDeleted
AuditData :
{
"SensitiveInfoTypeData":[],
"Common":{
"ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
"ApplicationName":"Microsoft Azure Information Protection Scanners",
"ProcessName":"MSIP.Scanner",
"Platform":1,
"DeviceName":"AIPSCANNER1.mscompliance.click",
"Location":"On-premises file shares",
"ProductVersion":"2.14.90.0"
},
"DataState":"Rest",
"ObjectId":"fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc",
"UserId":"AdeleV@champion365.onmicrosoft.com",
"UserId":"mipscanner@kazdemos.org",
"ClientIP":" 52.159.112.221",
"Id":"8417bbf6-3469-57bf-d48e-ee80f34c3d71",
"RecordType":96,
"CreationTime":"2022-12-22T20:50:10",
"Operation":"FileDeleted",
"OrganizationId":"ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c",
"UserType":5,
"UserKey":"cab9530a-5b06-4c61-b09b-590fda6a40f8",
"ResultStatus":"Succeeded"
}
ResultIndex : 9
ResultCount : 11
Identity : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid : True
ObjectState : Unchanged
Remarque
Il s’agit simplement d’un exemple de la façon dont vous pouvez utiliser l’applet de commande Search-UnifiedAuditLog. Vous devrez peut-être ajuster la commande et spécifier des paramètres supplémentaires en fonction de vos besoins spécifiques. Pour plus d’informations sur l’utilisation de PowerShell pour les journaux d’audit unifiés, consultez Rechercher dans le journal d’audit unifié.
API Activité de gestion Office 365
Pour pouvoir interroger les points de terminaison de l’API de gestion Office 365, vous devez configurer votre application avec les autorisations appropriées. Pour obtenir un guide pas à pas, consultez Prise en main des API de gestion Office 365.
Voici un exemple d’événement AipFileDeleted de l’API REST.
TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-04T21:59:50.7763106Z
EventCreationTime [UTC] : 2022-12-01T22:10:41Z
Id : 8417bbf6-3469-57bf-d48e-ee80f34c3d71
Operation : FileDeleted
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 96
UserType : 5
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : cab9530a-5b06-4c61-b09b-590fda6a40f8
ResultStatus : Succeeded
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Scanner
Common_ProcessName : MSIP.Scanner
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
ObjectId : \\fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc
SensitiveInfoTypeData : []
Common_Location : On-premises file shares
DataState : Rest
Type : AuditGeneral_CL
Attributs de l’événement AipFileDeleted
| Événement | Type | Description |
|---|---|---|
| ApplicationId | GUID | ID de l’application qui exécute l’opération. |
| ApplicationName | String | Nom convivial de l’application qui effectue l’opération. (Outlook, OWA, Word, Excel, PowerPoint, etc.) |
| ClientIP | IPv4/IPv6 | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. |
| CreationTime | Date/heure | Date et heure à l’heure UTC (temps universel coordonné) au moment où l’utilisateur a effectué l’activité. |
| DataState | String | Rest = Le fichier n’était pas ouvert lorsque l’événement a été journalisé Utilisation = Le fichier était en cours d’utilisation lorsque l’événement a été enregistré. |
| DeviceName | String | Appareil sur lequel l’activité s’est produite. |
| ID | GUID | Identificateur unique d’un enregistrement d’audit. |
| IsProtected | Boolean | Indique si les données sont protégées par le chiffrement ou non. |
| Emplacement | Chaîne | Emplacement du document par rapport à l’appareil de l’utilisateur. |
| ObjectId | String | Chemin d’accès complet (URL) du fichier auquel l’utilisateur accède. |
| Opération | String | Type d’opération pour le journal d’audit. Pour AipFileDeleted, l’opération est FileDeleted. |
| OrganizationId | GUID | GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours identique pour votre organisation, quel que soit le service Office 365 concerné. |
| Plateforme | Double | Plateforme à partir de laquelle l’activité s’est produite.
0 = Inconnu 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Navigateur web |
| ProcessName | String | Nom du processus approprié (Outlook, MSIP.App, WinWord, etc.) |
| ProductVersion | String | Version du client AIP. |
| RecordType | Double | Type d’opération indiqué par l’enregistrement. 96 représente un enregistrement AipFileDeleted. |
| ResultStatus | String | Indique si la suppression du fichier a réussi ou non. |
| Portée | Double | 0 représente que l’événement a été créé par un service O365 hébergé. 1 représente que l’événement a été créé par un serveur local. |
| SensitiveInfoTypeData | String | Types d’informations sensibles qui ont été découverts dans les données. |
| SensitivityLabelId | GUID | GUID actuel de l’étiquette de confidentialité MIP. Utilisez cmdlt Get-Label pour obtenir les valeurs complètes du GUID. |
| UserId | String | Nom d’utilisateur principal (UPN) de l’utilisateur qui a effectué l’action qui a entraîné la journaliser l’enregistrement. |
| UserKey | GUID | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique passport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive Entreprise et Exchange. |
| UserType | Double | Type d’utilisateur ayant effectué l’opération.
0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |