AipProtectionAction
Azure 信息保护 是一项服务,允许组织对敏感数据进行分类和标记,并应用策略来控制数据的访问和共享方式。
AipProtectionAction 是Office 365统一审核日志中记录的事件类型。 它表示尝试对文件或电子邮件应用保护。 该事件很有用,因为它显示了如何在组织内保护数据。
访问Office 365统一审核日志
可以使用以下方法访问审核日志:
- Microsoft Purview 合规性门户中的审核日志搜索工具。
- Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet。
- Office 365 管理活动 API。
审核日志搜索工具
- 转到Microsoft Purview 合规门户并登录。
- 在合规性门户的左窗格中,选择“ 审核”。
注意
如果在左窗格中看不到“审核”,请参阅 Microsoft Defender for Office 365 中的角色和角色组和 Microsoft Purview 合规性,了解有关权限的信息。
- 在“ 新建搜索 ”选项卡上,将“记录类型”设置为 “AipDiscover ”并配置其他参数。
- 单击“ 搜索 ”以使用条件运行搜索。 在结果窗格中,选择事件以查看结果。 可查看发现和访问操作。
有关在Microsoft Purview 合规门户中查看审核日志的详细信息,请参阅审核日志活动。
在 PowerShell 中搜索统一审核日志
若要使用 PowerShell 访问统一审核日志,请首先通过完成以下步骤连接到 Exchange Online PowerShell 会话。
建立远程 PowerShell 会话
这将与 Exchange Online 建立远程 PowerShell 会话。 建立连接后,运行 Exchange Online cmdlet 来管理Exchange Online环境。
打开 PowerShell 窗口并运行 Install-Module -Name ExchangeOnlineManagement 命令以安装 Exchange Online 管理模块。 此模块提供可用于管理Exchange Online的 cmdlet。
- Connect-IPPSSession 是一个 PowerShell cmdlet,用于创建与Exchange Online PowerShell 会话的远程连接。
- Import-Module ExchangeOnlineManagement 是一个 PowerShell cmdlet,用于将Exchange Online管理模块导入当前 PowerShell 会话。
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
与特定用户连接
用于提示特定用户输入Exchange Online凭据的命令。
$UserCredential = Get-Credential
使用提供的凭据连接到Exchange Online的命令。
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
使用当前会话中的凭据进行连接
使用当前会话中的凭据连接到Exchange Online。
Connect-ExchangeOnline
Search-UnifiedAuditLog cmdlet
Search-UnifiedAuditLog cmdlet 是一个 PowerShell 命令,可用于搜索统一审核日志Office 365。 统一审核日志是Office 365中的用户和管理员活动记录,可用于跟踪事件。 有关使用此 cmdlet 的最佳做法,请参阅 使用 Search-UnifiedAuditLog 的最佳做法。
若要使用 PowerShell 从统一审核日志中提取 AipProtectionAction 事件,可以使用以下命令。 这将在统一审核日志中搜索指定日期范围,并返回记录类型为“AipProtectionAction”的任何事件。 结果将导出到指定路径处的 CSV 文件。
Search-UnifiedAuditLog -RecordType AipProtectionAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>
注意
这只是如何使用 Search-UnifiedAuditLog cmdlet 的示例。 可能需要调整命令并根据特定要求指定其他参数。 有关使用 PowerShell 获取统一审核日志的详细信息,请参阅 搜索统一审核日志。
Office 365 管理活动 API
为了能够查询Office 365管理 API 终结点,需要使用正确的权限配置应用程序。 有关分步指南,请参阅 Office 365 管理 API 入门。
AipProtectionAction 事件的属性
| 事件 | 类型 | 说明 |
|---|---|---|
| ApplicationId | GUID | 执行操作的应用程序的 ID。 |
| ApplicationName | String | 执行操作的应用程序的友好名称。 (Outlook、OWA、Word、Excel、PowerPoint 等 ) |
| ClientIP | IPv4/IPv6 | 记录活动时使用的设备的 IP 地址。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 |
| CreationTime | 日期/时间 | 用户执行活动时的协调世界时 (UTC) 日期和时间。 |
| DeviceName | 字符串 | 发生活动的设备。 |
| Id | GUID | 审核记录的唯一标识符。 |
| 操作 | String | 审核日志的操作类型。 对于 AipProtectionAction,操作可能包括: - SensitivityLabelApplied - SensitivityLabelUpdated - SensitivityLabelRemoved - SensitivityLabelPolicyMatched - SensitivityLabeledFileOpened |
| OrganizationId | GUID | 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。 |
| 平台 | 双精度 | 活动发生自的平台。
0 = 未知 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Web 浏览器 |
| ProcessName | String | 相关进程名称 (Outlook、MSIP.App、WinWord 等 ) |
| productVersion | 字符串 | AIP 客户端的版本。 |
| RecordType | 双精度 | 记录指示的操作类型。 |
| 范围 | 双精度 | 0 表示事件是由托管的 O365 服务创建的。 1 表示事件是由本地服务器创建的。 |
| UserID | String | 用户主体名称 (UPN) 执行了导致记录被记录的操作的用户。 |
| UserKey | GUID | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
| UserType | 双精度 | 执行操作的用户类型。
0 = 常规 1 = 保留 2 = 管理员 3 = DcAdmin 4 = 系统 5 = 应用程序 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| 版本 | 双精度 | 操作中文件的版本 ID。 |
| Workload | String | (Exchange、SharePoint、OneDrive 等) 存储发生活动的Office 365服务。 |