Definieren eigener DLP-Vorlagen und Informationstypen in Exchange 2013

  • Artikel

Gilt für: Exchange Server 2013

Sie können DLP-Richtlinienvorlagen (Data Loss Prevention, Verhinderung von Datenverlust) als XML-Dateien unabhängig von Microsoft Exchange Server 2013 entwickeln und diese dann über das Exchange Admin Center oder die Exchange-Verwaltungsshell importieren. In diesem Abschnitt werden der Prozess und die Details zum Erstellen und Optimieren von DLP-XML-Dateien für die Verwendung in einer DLP-Lösung beschrieben. Sie müssen keine eigenen DLP-XML-Dateien entwickeln, da das Exchange Admin Center ihnen eine Möglichkeit bietet, schnell mit vorhandenen DLP-Richtlinienvorlagen und Transportregeln zu beginnen, um Nachrichten zu scannen.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit DLP-Richtlinienvorlagen gibt? Weitere Informationen finden Sie unter DLP-Verfahren.

Hinweis

Exchange 2013: DLP ist ein Premium-Feature, für das eine Exchange Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Weitere Informationen zu CALs und Serverlizenzierung finden Sie unter Häufig gestellte Fragen zur Exchange-Lizenzierung.

Wichtig

Es geht über den Rahmen dieser Dokumentation hinaus, ein Geschäftsmodell oder Informationen zu Dateipaketerstellungs- oder Bereitstellungsrichtlinien für die Regeln für vertrauliche Informationen zu empfehlen oder zu diskutieren, wie solche Regeln verteilt werden. Darüber hinaus werden in dieser Dokumentation weder Schutzmechanismen wie verschlüsselung für benutzerdefinierte, entwickelte Regeln behandelt, noch wird erläutert, wie ein solcher Mechanismus eingesetzt werden würde.

Erweitern der Informationstypen entsprechend Ihren Anforderungen

In den folgenden Abschnitten werden Konzepte und die XML-Schemadefinition beschrieben, die Sie kennen und verstehen müssen, um eigene XML-Dateien für DLP-Richtlinienvorlagen und für Regelpakete vertraulicher Daten zu erstellen, die in Exchange 2013 importiert und als DLP-Richtlinien verwendet werden können.

DLP in Microsoft Exchange unterstützt Sie beim Anwenden von organisationsspezifischen Richtlinien auf vertrauliche Informationen. Ein wesentlicher Faktor für die Stärke einer DLP-Lösung ist die Möglichkeit, vertrauliche und sensible Informationen im Zusammenhang mit der Organisation, gesetzlichen Bestimmungen, der Geografie oder anderen geschäftlichen Aspekten korrekt zu identifizieren. Zwar stellt Microsoft Richtlinienvorlagen und Typen vertraulicher Informationen im Produkt bereit, die für den Anfang ausreichen, aber langfristig ist für Ihre individuellen Geschäftsanforderungen eine benutzerdefinierte Lösung zur Verhinderung von Datenverlusten erforderlich. Microsoft bietet deshalb die Möglichkeit, eigene DLP-Richtlinienvorlagen oder eigene Definitionen für vertrauliche Informationen in Klassifizierungsregelpaketen zu erstellen und zu importieren. Eine präzise DLP-Lösung basiert auf der Konfiguration von exakten Regeln für das Modul zur Erkennung von vertraulichen Informationen, die hohen Schutz bei gleichzeitiger Minimierung falsch positiver und falsch negativer Ergebnisse bieten.

Entwickeln von eigenen DLP-Richtlinienvorlagen

Sie können eine eigene XML-Datei mit DLP-Richtlinienvorlagen erstellen und importieren. Mit dieser in Exchange vorgesehenen Methode zur Erweiterung der DLP-Lösung können Sie Ihren DLP-Anforderungen entsprechende DLP-Richtlinien erstellen.

Das Verwalten benutzerdefinierter Vorlagen und der damit verbundenen Richtlinien ähnelt dem Verwalten der DLP-Richtlinien, die Sie auf der Basis der von Microsoft bereitgestellten Vorlagen erstellen. In einem typischen DLP-Richtlinienlebenszyklus würden Sie wie folgt vorgehen:

  1. Erstellen Sie Ihre eigene DLP-Richtlinienvorlage, eine benutzerdefinierte XML-Datei. Weitere Informationen finden Sie unter Entwickeln von Vorlagendateien für DLP-Richtlinien.

  2. Importieren Sie Ihre benutzerdefinierte Vorlage. Weitere Informationen finden Sie unter Importieren einer benutzerdefinierten DLP-Richtlinienvorlage aus einer Datei.

  3. Erstellen Sie eine DLP-Richtlinie auf der Basis Ihrer benutzerdefinierten Vorlage. Weitere Informationen finden Sie unter Erstellen einer DLP-Richtlinie aus einer Vorlage.

  4. Aktualisieren Sie Ihre benutzerdefinierte Vorlage, indem Sie die Schritte 1 und 2 wiederholen.

  5. Entfernen Sie Ihre benutzerdefinierte Vorlage. Weitere Informationen finden Sie unter Remove-DlpPolicyTemplate.

Weitere Informationen zur XML-Schemadefinition und zu Konzepten im Zusammenhang mit der Entwicklung eigener Vorlagen finden Sie unter Entwickeln von Vorlagendateien für DLP-Richtlinien.

Entwickeln eigener Typen vertraulicher Informationen und der entsprechenden Logik in Klassifizierungsregelpaketen

Sie können eigene Definitionen für vertrauliche Informationen in einem Klassifizierungsregelpaket (einer XML-Datei) verfassen und als Teil Ihrer DLP-Lösung importieren. Das Modul zur Erkennung von vertraulichen Informationen verfügt über Funktionen für eingehende Inhaltsanalysen zur Identifizierung vertraulicher Informationen, wie Kreditkartennummern, Sozialversicherungsnummern und geistiges Eigentum des Unternehmens. Das Modul wird durch konfigurierbare Anweisungen oder Regeln zum Durchsuchen und Analysieren des Inhalts gesteuert. Die Regeln sind in einem Klassifizierungsregelpaket (einem XML-Dokument) gemäß einer standardisierten XML-Schemadefinition für Regelpakete zusammengefasst. Im Folgenden erfahren Sie, wie Sie eigene Typen erstellen.

  1. Erstellen Sie eigene Typen vertraulicher Informationen, eine benutzerdefinierte XML-Datei. Weitere Informationen finden Sie unter Entwickeln von Regelpaketen für sensible Informationen.

  2. Importieren Sie Ihren Typ vertraulicher Informationen. Weitere Informationen finden Sie unter New-ClassificationRuleCollection.

  3. Erstellen Sie eine benutzerdefinierte Vorlage auf der Basis Ihrer Informationstypen. Weitere Informationen finden Sie unter Entwickeln von Regelpaketen für sensible Informationen.

  4. Aktualisieren Sie Ihre benutzerdefinierte Vorlage, indem Sie die Schritte 1 und 2 wiederholen.

  5. Entfernen Sie Ihre benutzerdefinierte Vorlage. Weitere Informationen finden Sie unter Remove-ClassificationRuleCollection.

Weitere Informationen zu Regelpaketen finden Sie unter Entwickeln von Regelpaketen für sensible Informationen und Abgleichen von Methoden und Techniken für Regelpakete.

Grundlegendes zu Regeltypen in Regelpaketen

Die Regeln in einem Regelpaket konfigurieren den Prozess zum Erkennen von klar definierten Inhaltsmerkmalen. z. B. Regeln zum Ermitteln einer Führerscheinnummer. Zwei Hauptregeltypen sind verfügbar: Entität und Affinität.

Entitätsregeln sind auf genau festgelegte (und oftmals gesetzlich geregelte) Bezeichner, wie US-Sozialversicherungsnummern, ausgerichtet. Eine Entität wird durch eine Sammlung von zählbaren Mustern dargestellt. Ein Muster legt eine Sammlung von Treffern mit einem expliziten, primären Trefferbezeichner fest. Ein Beispiel für eine Entität ist ein Führerschein.

Affinitätsregeln sind auf bestimmte Dokumenttypen, wie Unternehmensfinanzberichte, ausgerichtet. Eine Affinität wird als Sammlung von unabhängigen Nachweisen dargestellt. Als Nachweis gilt eine Häufung von erforderlichen Treffern innerhalb einer bestimmten Näherung. Ein Beispiel für Affinität ist das US-Bundesgesetz "Sarbanes-Oxley Act".

Weitere Informationen

Verhinderung von Datenverlust

Importieren einer benutzerdefinierten DLP-Richtlinienvorlage aus einer Datei

New-ClassificationRuleCollection

Transportregeln in Exchange 2013

Typen vertraulicher Informationen in Exchange Server