AipFileDeleted

Azure Information Protection es un servicio que permite a las organizaciones clasificar y etiquetar datos confidenciales, y aplicar directivas para controlar cómo se accede a esos datos y se comparten.

AipFileDeleted es un tipo de evento que se registra en el Office 365 registro de auditoría unificado. Los eventos AipFileDeleted representan un intento de eliminar un archivo con etiqueta de Azure Information Protection (AIP). Dentro del evento, ResultStatus muestra si la eliminación del archivo se realizó correctamente o no.

Acceso al registro de auditoría unificado de Office 365

Se puede acceder a los registros de auditoría mediante los métodos siguientes:

Herramienta de búsqueda de registros de auditoría

  1. Vaya al portal de cumplimiento Microsoft Purview e inicie sesión.
  2. En el panel izquierdo del portal de cumplimiento, seleccione Auditar.

    Nota:

    Si no ve Auditoría en el panel izquierdo, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y Cumplimiento de Microsoft Purview para obtener información sobre los permisos.

  3. En la pestaña Nueva búsqueda , establezca Tipo de registro en AipDiscover y configure los demás parámetros. Configuraciones de auditoría de AipDiscover
  4. Haga clic en Buscar para ejecutar la búsqueda con los criterios. En el panel de resultados, seleccione un evento para ver los resultados. Se pueden ver las operaciones de detección y acceso. Resultados de auditoría de AipDiscover

Para obtener más información sobre cómo ver los registros de auditoría en el portal de cumplimiento Microsoft Purview, consulte Actividades de registro de auditoría.

Búsqueda del registro de auditoría unificado en PowerShell

Para acceder al registro de auditoría unificado mediante PowerShell, conéctese primero a una sesión de PowerShell Exchange Online completando los pasos siguientes.

Establecimiento de una sesión remota de PowerShell

Una vez establecida la conexión, puede ejecutar cmdlets de Exchange Online para administrar el entorno de Exchange Online.

Abra una ventana de PowerShell y ejecute el comando Install-Module -Name ExchangeOnlineManagement para instalar el módulo Exchange Online Management. Este módulo proporciona cmdlets que se pueden usar para administrar Exchange Online.

  1. Connect-IPPSSession es un cmdlet de PowerShell que se usa para crear una conexión remota a una sesión de PowerShell Exchange Online.
  2. Import-Module ExchangeOnlineManagement es un cmdlet de PowerShell que se usa para importar el módulo Exchange Online Management en la sesión actual de PowerShell.
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

Conexión con un usuario específico

Comando para solicitar a un usuario específico las credenciales de Exchange Online.

$UserCredential = Get-Credential

Comando para conectarse a Exchange Online con las credenciales proporcionadas.

 Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true

Conexión con credenciales en la sesión actual

Conexión a Exchange Online con las credenciales de la sesión actual

Connect-ExchangeOnline

Cmdlet Search-UnifiedAuditLog

El cmdlet Search-UnifiedAuditLog es un comando de PowerShell que se puede usar para buscar en el Office 365 registro de auditoría unificado. El registro de auditoría unificado es un registro de la actividad de usuario y administrador en Office 365 que se puede usar para realizar el seguimiento de eventos. Para conocer los procedimientos recomendados para usar este cmdlet, consulte Procedimientos recomendados para usar Search-UnifiedAuditLog.

Para extraer los eventos AipFileDeleted del registro de auditoría unificado mediante PowerShell, puede usar el siguiente comando. Esto buscará en el registro de auditoría unificado el intervalo de fechas especificado y devolverá cualquier evento con el tipo de registro "AipFileDeleted". Los resultados se exportarán a un archivo CSV en la ruta de acceso especificada.

Search-UnifiedAuditLog -RecordType AipFileDeleted -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>

A continuación se muestra un ejemplo del evento AipFileDeleted de PowerShell.

RecordType   : AipFileDeleted
CreationDate : 12/22/2022 8:50:10 PM
UserIds      : [email protected]
Operations   : FileDeleted
AuditData    : 
{
  "SensitiveInfoTypeData":[],
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Scanners",
    "ProcessName":"MSIP.Scanner",
    "Platform":1,
    "DeviceName":"AIPSCANNER1.mscompliance.click",
    "Location":"On-premises file shares",
    "ProductVersion":"2.14.90.0"
  },
  "DataState":"Rest",
  "ObjectId":"fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc",
  "UserId":"[email protected]",
  "UserId":"[email protected]",
  "ClientIP":" 52.159.112.221",
  "Id":"8417bbf6-3469-57bf-d48e-ee80f34c3d71",
  "RecordType":96,
  "CreationTime":"2022-12-22T20:50:10",
  "Operation":"FileDeleted",
  "OrganizationId":"ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c",
  "UserType":5,
  "UserKey":"cab9530a-5b06-4c61-b09b-590fda6a40f8",
  "ResultStatus":"Succeeded"
}
ResultIndex  : 9
ResultCount  : 11
Identity     : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid      : True
ObjectState  : Unchanged

Nota:

Este es solo un ejemplo de cómo puede usar el cmdlet Search-UnifiedAuditLog. Es posible que tenga que ajustar el comando y especificar parámetros adicionales en función de sus requisitos específicos. Para obtener más información sobre el uso de PowerShell para registros de auditoría unificados, consulte Buscar registro de auditoría unificado.

API de Actividad de administración de Office 365

Para poder consultar los puntos de conexión de api de Office 365 Management, deberá configurar la aplicación con los permisos adecuados. Para obtener una guía paso a paso, consulte Introducción a las API de administración de Office 365.

A continuación se muestra un ejemplo del evento AipFileDeleted de la API REST.

TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-04T21:59:50.7763106Z
EventCreationTime [UTC] : 2022-12-01T22:10:41Z
Id : 8417bbf6-3469-57bf-d48e-ee80f34c3d71
Operation : FileDeleted
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 96
UserType : 5
Version : 1
Workload : Aip
UserId : [email protected]
UserKey : cab9530a-5b06-4c61-b09b-590fda6a40f8
ResultStatus : Succeeded
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Scanner
Common_ProcessName : MSIP.Scanner
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
ObjectId : \\fileshare\capacity\Data8\docs - Copy - Copy (7) - Copy\_creds\Acme Request for Time Off.doc
SensitiveInfoTypeData : []
Common_Location : On-premises file shares
DataState : Rest
Type : AuditGeneral_CL

Atributos del evento AipFileDeleted

Evento Tipo Descripción
ApplicationId GUID El identificador de la aplicación que realiza la operación.
ApplicationName Cadena Nombre descriptivo de la aplicación que realiza la operación. (Outlook, OWA, Word, Excel, PowerPoint, etc.)
ClientIP IPv4/IPv6 La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.
CreationTime Fecha y hora La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad.
DataState Cadena Rest = El archivo no estaba abierto cuando se registró el
evento Use = El archivo estaba en uso cuando se registró el evento.
DeviceName Cadena Dispositivo en el que se produjo la actividad.
Id GUID Identificador único de un registro de auditoría.
IsProtected Booleano Indica si los datos están protegidos con cifrado.
Ubicación Cadena Ubicación del documento con respecto al dispositivo del usuario.
ObjectId Cadena Ruta de acceso completa de archivo (URL) a la que está accediendo el usuario.
Operación Cadena Tipo de operación para el registro de auditoría. Para AipFileDeleted, la operación es FileDeleted.
OrganizationId GUID El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.
Plataforma Doble Plataforma desde la que se produjo la actividad.
0 = Desconocido
1 = Windows
2 = MacOS
3 = iOS
4 = Android
5 = Explorador web
ProcessName Cadena Nombre del proceso correspondiente (Outlook, MSIP.App, WinWord, etc.)
ProductVersion Cadena Versión del cliente de AIP.
RecordType Doble El tipo de operación indicado por el registro. 96 representa un registro AipFileDeleted.
ResultStatus Cadena Indica si la eliminación del archivo se realizó correctamente.
Ámbito Doble 0 representa que un servicio de O365 hospedado creó el evento. 1 representa que un servidor local creó el evento.
SensitiveInfoTypeData Cadena Los tipos de información confidencial que se han detectado dentro de los datos.
SensitivityLabelId GUID GUID de etiqueta de confidencialidad de MIP actual. Use cmdlt Get-Label para obtener los valores completos del GUID.
UserId Cadena Nombre principal de usuario (UPN) del usuario que realizó la acción que provocó que se registrara el registro.
UserKey GUID Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.
UserType Doble El tipo de usuario que llevó a cabo la operación.
0 = Normal
1 = Reservado
2 = Administración
3 = DcAdmin
4 = Sistema
5 = Aplicación
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
  • Last updated on