Anzeigen von DLP-Richtlinienerkennungsberichten
Gilt für: Exchange Server 2013
Die DLP-Richtlinienerkennungsverwaltung (Data Loss Prevention, Verhinderung von Datenverlust) definiert die Maßnahmen, die eine Organisation ergreift, um Verstöße gegen DLP-Richtlinien zu identifizieren, zu untersuchen und zu beheben. Zum Verwalten von Vorfällen müssen Sie auf die Informationen zugreifen, welche die von den DLP-Richtlinien erkannten Verstöße identifizieren. Diese Erkennungsinformationen ist in vorhandene Microsoft Exchange Server 2013-Daten- und Protokollformate integriert, sodass Sie auf ein vorhandenes, umfangreiches Datensystem zur Verwaltung von Vorfällen im Zusammenhang mit dem E-Mail-Fluss zurückgreifen können.
Informationen zur Erstellung eines Schadensberichts zusammen mit einem einzigen Ereignis zur Richtlinienerkennung finden Sie unter Erstellen von Schadensberichten für DLP-Richtlinienerkennungen. Weitere Informationen zu Nachrichtenprotokollen finden Sie unter Nachverfolgen von Nachrichten mit Zustellungsberichten.
Hinweis
Exchange 2013: DLP ist ein Premium-Feature, für das eine Exchange Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Weitere Informationen zu CALs und Serverlizenzierung finden Sie unter Häufig gestellte Fragen zur Exchange-Lizenzierung.
Überwachungsinformationen
Die Daten in Bezug auf das DLP-Erkennungsmanagement in Exchange sind in die Protokolle zur Nachrichtenverfolgung, die so genannten Zustellungsberichte, integriert. Die Funktionen greifen in hohem Maße auf das vorhandene Protokollierungsframework zurück, das im System verfügbar ist. Allgemeine Informationen, einschließlich grundlegender Informationen zur Struktur der Protokolldateien für die Nachrichtenverfolgung, finden Sie im Artikel Grundlegendes zur Nachrichtenverfolgung oder unter Nachverfolgen von Nachrichten mit Zustellungsberichten.
Der Zustellungsbericht ist ein detailliertes Protokoll der gesamten Nachrichtenaktivität, die beim Übertragen von Nachrichten von einem Computer und an einen Computer auftritt, auf dem der Transportdienst im Postfachserver ausgeführt wird. Das Protokoll für die Nachrichtenverwaltung kann über die Exchange-Verwaltungsshell aufgerufen werden, indem Sie das Cmdlet Get-MessageTrackingLog verwenden. DLP-Daten sind in den Zustellungsbericht integriert und entsprechen den vorhandenen Datenformaten und -konventionen.
Format für die Datenprotokollierung
Protokolle zur Nachrichtenverfolgung enthalten Daten der Agents, die an der Verarbeitung der Inhalte für den Nachrichtenfluss beteiligt sind. Für DLP wird der Transportregel-Agent dazu verwendet, eine eingehende Analyse von Nachrichteninhalten zu starten und die im Rahmen der ETRs definierten Richtlinien anzuwenden. Der vorhandene AgentInfo-Ereignis wird dazu verwendet, DLP-bezogene Einträge zum Protokoll für die Nachrichtenverfolgung hinzuzufügen.
Der Name des Agents lautet im AgentInfo-Ereignis TRA oder Transportregel-Agent. Pro Nachricht wird ein einzelnes AgentInfo-Ereignis protokolliert und beschreibt die auf die Nachricht angewendete DLP-Verarbeitung. Das Feld CustomData eines Protokolleintrags für die Nachrichtenverfolgung zeigt die vom Transportregel-Agent protokollierten DLP-Daten. Dieses Feld kann mehrere Einträge umfassen: eine Zeile für Datenklassifikation und Clientinformationen für jede in der Nachricht gefundene Datenklassifikation, eine Regelzeile für jede auf die Nachricht angewendete Regel und eine Zeile für die Integritätsüberwachung für jede Regel, für die der Schwellenwert für Last oder Ausführungszeit überschritten wird.
Nachfolgend wird ein Beispiel für einen DLP-Protokolleintrag gezeigt. Die Ausgabe wurde formatiert, um Zeichenfolgen in separaten Zeilen mit Leerzeilen anzuzeigen.
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
Der Transportregel-Agent erfordert eine Gruppierung von Regel-ID, DLP-Richtlinien-ID (optional), Datum der letzten Änderung, Aktion, Schweregrad, Modus, erkannte Datenklassifikation (optional) und Außerkraftsetzung durch Absender (optional) basierend auf Regel-ID (angezeigt durch "TRA=ETR" in der Protokollzeile). Darüber hinaus müssen Datenklassifikations-ID, Anzahl und Bewertung von Klassifikationen nach Klassifikationsname gruppiert werden (angezeigt durch "TRA=DC" in der Protokollzeile).
Zusätzliche Gruppierungen umfassen Datenklassifikations-ID, Außerkraftsetzung durch Absender (optional) und Begründung für Außerkraftsetzung (optional) basierend auf der Datenklassifikations-ID für alle Klassifikationen, die auf dem Client erkannt wurden (angezeigt durch "TRA=CI" in der Protokollzeile). Der Transportregel-Agent erfordert außerdem eine Gruppierung von Regel-ID, Wanduhrzeit des Ladevorgangs (optional), CPU-Zeit des Ladevorgangs (optional), Wanduhrzeit der Ausführung (optional) und CPU-Zeit der Ausführung (optional) nach Regel-ID für alle Regeln, die die Schwellenwerte für die Wanduhr- oder CPU-Zeit des Lade- oder Ausführungsvorgangs überschreiten (angezeigt durch "TRA=ETRP" in der Protokollzeile).
Es folgt eine vollständige Liste dieser Datenfelder. Alle Daten im Protokoll für die Nachrichtenverfolgung sind vom Typ "string". Die Spalte "Format" beschreibt, wie jedes Feld im Protokoll für die Nachrichtenverfolgung erkannt wird. Die Spalte "Optionales Feld" gibt an, welche Felder bei einer Regelübereinstimmung möglicherweise nicht protokolliert werden. Die Spalte "DLP-spezifisch" zeigt, welche Felder speziell für die DLP-Funktion verwendet werden.
| Feld | Beschreibung | Format | Optionales Feld | DLP-spezifisch |
|---|---|---|---|---|
| TRA | Transportregel-Agent, Typ: AgentName | TRA=DC, ETR, CI oder ETRP | Erforderlich | Nein |
| Gleichstrom | Datenklassifikation; Typ: groupName | TRA=DC | Optional | Ja |
| ETR | Exchange-Transportregel; Typ: groupName | TRA=ETR | Erforderlich | Nr. |
| CI | Clientinformationen; Typ: groupName | TRA=CI | Optional | Ja |
| ETRP | Leistung der Exchange-Transportregel; Typ: groupName | TRA=ETRP | Optional | Nr. |
| dcid | ID der Datenklassifikation | dcid=GUID | Optional | Ja |
| count | Anzahl von Datenklassifikationen | count=Integer | Optional | Ja |
| conf | Bewertung der Datenklassifikation | conf=Integer (Prozent) | Optional | Ja |
| sndOverride | Außerkraftsetzung durch Absender; dieses Feld ist optional. Wenn in der Zeile "TRA=CI" das Feld auf "or" festgelegt ist, bedeutet dies, dass die Datenklassifikation außer Kraft gesetzt wurde. Wenn das Feld auf "fp" festgelegt ist, wurde die Datenklassifikation als falsch positiv markiert. Wenn das Feld in der Zeile "TRA=ETR" auf "or" festgelegt ist, wurde die Regel oder ein Teil der Regel außer Kraft gesetzt. Wenn das Feld auf "fp" festgelegt ist, wurde die Regel oder ein Teil der Regel als falsch positiv markiert. |
sndOverride=or oder fp Hierbei steht "or" für eine Außerkraftsetzung und "fp" für ein falsch positives Ergebnis. Das Feld "sndOverride" ist vorhanden, wenn ein Endbenutzer eine Außerkraftsetzung oder ein falsch positives Ergebnis für eine Regel gemeldet hat. |
Optional | Ja |
| just | Begründung; das Feld ist optional und nur verfügbar, wenn das Feld für die Außerkraftsetzung durch den Absender in der Zeile "TRA=CI" auf "or" festgelegt ist. Die vom Endbenutzer angegebene Begründung für eine Außerkraftsetzung der Datenklassifikation. | just=IW (Zeichenfolge zur Eingabe der Begründung) Das Feld für die Begründung wird nur protokolliert, wenn der Endbenutzer eine Außerkraftsetzung meldet. |
Optional | Ja |
| ruleId | ID für eine Regel | ruleId=GUID | Erforderlich | Nr. |
| dlpId | ID für eine DLP-Richtlinie. Das Feld ist optional; wenn kein dlpld-Wert vorliegt, gehört die Regel nicht zu einer DLP-Richtlinie. | dlpId=GUID | Optional | Ja |
| st | Datum der letzten Änderung einer Regel | st=UTC date-time | Erforderlich | Nr. |
| action | Durch eine Regel durchgeführte Aktion; es können mehrere Aktionen pro Regel vorliegen | action=single action Wenn mehrere Aktionen für eine Regel gelten, gibt es mehrere Aktionsfelder. |
Erforderlich | Nr. |
| sev | Überwachungsschweregrad der Regel | sev=1, 2 oder 3 Hierbei steht 1 für niedrig, 2 für mittel und 3 für hoch. |
Optional | Nr. |
| mode | Status der Regel bei Auslösung (enforcement, audit oder auditandnotify). | mode=audit, auditandnotify oder enforcement | Erforderlich | Nr. |
| loadW | Wanduhrzeit des Ladevorgangs; das Feld ist optional | loadW=Zeit in Millisekunden | Optional | Nr. |
| loadC | CPU-Zeit des Ladevorgangs; das Feld ist optional | loadC=Zeit in Millisekunden | Optional | Nr. |
| execW | Wanduhrzeit der Ausführung; das Feld ist optional | execW=Zeit in Millisekunden | Optional | Nr. |
| execC | CPU-Zeit der Ausführung; das Feld ist optional | execC=Zeit in Millisekunden | Optional | Nr. |
| Nachrichten-ID | ID der Nachricht | message-id=ID der Nachricht | Erforderlich | Nr. |
| date-time | Datum und Uhrzeit (in Weltzeit) der Übermittlung der Nachricht | date-time=UTC-Datum und -Uhrzeit | Erforderlich | Nr. |
| sender-address | Im Absenderfeld angegebene E-Mail-Adresse | sender-address=E-Mail-Adresse | Erforderlich | Nr. |
| recipient-address | E-Mail-Adresse(n) des bzw. der Nachrichtenempfänger(s) | recipient-address=E-Mail-Adresse | Erforderlich | Nr. |
| message-subject | Daten, die im Feld "Betreff" der Nachricht gefunden wurden | message-subject=Durch den Benutzer eingegebene Betreff-Daten | Erforderlich | Nein |
Weitere Informationen
Erstellen von Schadensberichten für DLP-Richtlinienerkennungen