Ver informes de detección de directivas de DLP
Se aplica a: Exchange Server 2013
La administración de detección de directivas de prevención de pérdida de datos (DLP) define, en términos generales, las actividades que una organización lleva a cabo para identificar, investigar y solucionar las infracciones de directivas de DLP. Para administrar incidentes, debe acceder a la información que identifica lo que han detectado las directivas de DLP. Esta información de detección está integrada con los formatos de registros y datos de Microsoft Exchange Server 2013, de manera que puede utilizar un sistema con datos ya existentes para administrar los incidentes del flujo de correo.
Para obtener información sobre la creación de informes de incidentes con un evento de detección de directiva única, vea Crear informes de incidentes para detecciones de directivas de DLP. Para obtener más información acerca de los registros de mensajes, vea Seguimiento de mensajes con informes de entrega.
Nota:
Exchange 2013: La prevención de pérdida de datos (DLP) es una característica especial que requiere una licencia de acceso de cliente de empresa (CAL) de Exchange. Para obtener más información sobre las CAL y las licencias de servidor, consulte Preguntas más frecuentes sobre licencias de Exchange.
Información de auditoría
Los datos relacionados con la administración de detección de DLP en Exchange se integran en los registros de seguimiento de mensajes, también conocidos como informes de entrega. Las funciones vuelven a usar en gran medida el marco de registro existente que está disponible en el sistema. Para obtener información general, incluida una explicación de la estructura de los archivos de registro de seguimiento de mensajes, consulte el contenido existente de Descripción del seguimiento de mensajes o Seguimiento de mensajes con informes de entrega.
Un informe de entrega es un registro detallado de toda la actividad de mensajes a medida que estos se transfieren de un equipo en el que se ejecuta el servicio de transporte a un servidor de buzones de correo. Se puede tener acceso al registro de seguimiento de mensajes a través del Shell de administración de Exchange mediante el cmdlet Get-MessageTrackingLog. Los datos de DLP se incluyen en el informe de entrega según las convenciones y los formatos de datos existentes.
Formato de registro de datos
Los registros de seguimiento de mensajes incluyen datos de los agentes que participan en el procesamiento del contenido de flujo de correo. En el caso de DLP, se usa el agente de regla de transporte (TRA) para invocar el análisis profundo del contenido de los mensajes y para aplicar las directivas que se definieron como parte de ETR. Se utiliza el evento AgentInfo existente para agregar entradas relacionadas con DLP en el registro de seguimiento de mensajes.
El nombre del agente será TRA o Agente de regla de transporte en el evento AgentInfo. Se registrará solo un evento AgentInfo por mensaje, el cual describe el procesamiento de DLP aplicado al mensaje. Los datos de DLP que registre el agente de regla de transporte aparecerán en el campo CustomData del campo de entrada del registro de seguimiento de mensajes. Este campo puede contener varias entradas: una línea de clasificación de datos e información del cliente para cada clasificación de datos que se encuentra en el mensaje, una línea de regla para cada regla que se aplica al mensaje y una línea de supervisión de estado para cada regla que supera el umbral de carga o tiempo de ejecución.
Aquí se muestra un ejemplo de la entrada de registro de DLP. Se formateó el resultado a fin de mostrar las cadenas en líneas separadas con nuevas líneas entre medio.
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
El Agente de reglas de transporte requiere la agrupación del identificador de regla, el identificador de directiva DLP (opcional), la fecha de última modificación, la acción, la gravedad, el modo, la clasificación de datos detectada (opcional) y la invalidación del remitente (opcional) en función del identificador de regla (indicado por "TRA=ETR" en la línea de registro). También requiere que el id. de clasificación de datos, el recuento y el nivel de confianza de las clasificaciones se agrupe por nombre de clasificación (indicado por "TRA=DC" en la línea de registro).
Las agrupaciones adicionales incluyen el identificador de clasificación de datos, la invalidación del remitente (opcional) y la justificación de invalidación (opcional) basada en el identificador de clasificación de datos para todas las clasificaciones detectadas en el cliente (indicadas por "TRA=CI" en la línea de registro). El Agente de regla de transporte también requiere que el identificador de regla, el reloj de carga (opcional), el reloj de CPU de carga (opcional), el reloj de pared de ejecución (opcional) y el reloj de CPU de ejecución (opcional) se agrupen por identificador de regla para todas las reglas que superen los umbrales de carga o de pared de ejecución o del reloj de CPU (indicados por "TRA=ETRP" en la línea de registro).
A continuación se muestra una lista completa de los campos de datos. Todos los datos en el MTL son del tipo cadena. La columna de formato describe cómo reconocer cada campo en el registro de seguimiento de mensajes. La columna Campo opcional especifica los campos que pueden no registrarse cuando coincide una regla. La columna Específico de DLP muestra qué campos son específicos para la función DLP.
| Nombre del campo | Descripción | Formato | Campo opcional | Específico de DLP |
|---|---|---|---|---|
| TRA | Agente de regla de transporte; tipo AgentName | TRA=DC, ETR, CI o ETRP | Obligatorio | No |
| DC | Clasificación de datos; tipo groupName | TRA=DC | Opcional | Sí |
| ETR | Regla de transporte de Exchange; tipo groupName | TRA=ETR | Obligatoria | No |
| CI | Información del cliente, tipo groupName | TRA=CI | Opcional | Sí |
| ETRP | Rendimiento de regla de transporte de Exchange; tipo groupName | TRA=ETRP | Opcional | No |
| dcid | Id. de la clasificación de datos | dcid=GUID | Opcional | Sí |
| count | Recuento de la clasificación de datos | count=Entero | Opcional | Sí |
| conf | Nivel de confianza de la clasificación de datos | conf=Entero (porcentaje) | Opcional | Sí |
| sndOverride | Invalidación de remitente; el campo es opcional. En la línea TRA=CI, cuando el campo se establece en "or", significa que se invalidó la clasificación de datos. Si el campo se establece en "fp", significa que la clasificación de datos se notificó como un falso positivo. En la línea TRA=ETR, cuando el campo se establece en "or", significa que se invalidó la regla o parte de ella. Si el campo se establece en "fp", significa que la regla, o parte de la regla, se notificó como un falso positivo. |
sndOverride=or o fp Donde "or" representa la invalidación y "fp" significa falso positivo. El campo sndOverride está presente cuando un usuario final informó que se invalidó una regla o que es un falso positivo. |
Opcional | Sí |
| just | Justificación; el campo es opcional y solo está disponible cuando el campo de invalidación de remitente es igual a "or" en la línea TRA=CI. Texto de justificación proporcionado por el usuario final como el motivo por el cual se debe invalidar la clasificación de datos. | just=cadena de justificación de entrada de IW El campo de justificación solo se registra cuando el usuario final informa una invalidación. |
Opcional | Sí |
| ruleId | ID de una regla | ruleId=GUID | Obligatoria | No |
| dlpId | Identificador de una directiva DLP. El campo es opcional; Si no hay ningún dlpId, la regla no pertenece a una directiva DLP. | dlpId=GUID | Opcional | Sí |
| st | Fecha de última modificación de una regla | st=fecha y hora UTC | Obligatoria | No |
| action | Medidas adoptadas por una regla; pueden haber varias acciones por regla | action=acción única Si hay varias acciones que se aplican para una regla, habrán varios campos de acción. |
Obligatoria | No |
| sev | Gravedad de auditoría de la regla | sev=1, 2 o 3 Donde 1 representa baja, 2 mediana y 3 alta. |
Opcional | No |
| mode | Estado cuando se obtuvo acceso a la regla (aplicación, auditoría o auditandnotify). | mode=auditoría, auditandnotify o aplicación | Obligatoria | No |
| loadW | Reloj de carga; el campo es opcional | loadW=tiempo en ms | Opcional | No |
| loadC | Reloj de carga de CPU; el campo es opcional | loadC=tiempo en ms | Opcional | No |
| execW | Reloj de ejecución; el campo es opcional | execW=tiempo en ms | Opcional | No |
| execC | Reloj de ejecución de CPU; el campo es opcional | execC=tiempo en ms | Opcional | No |
| message-id | Id. del mensaje | message-id=Id. del mensaje | Obligatoria | No |
| fecha-hora | Fecha y hora en que se envió el mensaje en tiempo universal | date-time=Fecha y hora UTC | Obligatoria | No |
| sender-address | Dirección de correo electrónico especificada en el campo de remitente | sender-address=Dirección de correo electrónico | Obligatoria | No |
| dirección de destinatario | Direcciones de correo electrónico de los destinatarios del mensaje | recipient-address=Dirección de correo electrónico | Obligatoria | No |
| message-subject | Datos que se encontraron en el campo de asunto del mensaje | message-subject=cadena de asunto de entrada del usuario final | Obligatoria | No |
Más información
Prevención de pérdida de datos
Crear informes de incidentes para detecciones de directivas de DLP