Développement de fichiers de modèle de stratégie DLP dans Exchange 2013
S’applique à : Exchange Server 2013
Cette vue d’ensemble explique les composants d’une définition de schéma XML pour les fichiers de modèle de stratégie de protection contre la perte de données (DLP) et fournit également un exemple de fichier de stratégie au format XML. Il est utile de comprendre l’architecture DLP globale et le processus de développement de règles avant de commencer. Pour plus d’informations, consultez Protection contre la perte de données et Définir vos propres modèles DLP et types d’informations.
Afin de faciliter l'adoption et la gestion des solutions de protection contre la perte de données, un modèle conceptuel connu sous le nom de stratégies DLP et modèles de stratégies est introduit dans Microsoft Exchange Server 2013. Les modèles de stratégie DLP fournissent une conception préliminaire pour la stratégie DLP prévue. Un modèle de stratégie DLP doit, pour être utilisable, encapsuler toutes les directives et objets de données requis pour répondre aux objectifs d'une stratégie spécifique, par exemple une réglementation ou des besoins professionnels. Le modèle n’est pas spécifique à l’environnement. Il s’agit simplement d’une définition ou d’un modèle de stratégie qui peut être fourni dans le cadre de la configuration du produit ou fourni par des éditeurs de logiciels et des partenaires indépendants. De plus, les stratégies DLP sont des instanciations d'exécution des modèles spécifiques à l'environnement de déploiement. Votre structure de stratégie de messagerie existante peut incorporer des stratégies DLP par le biais de l'utilisation de règles de transport. Les règles de transport offrent une grande flexibilité dans l'adaptation et l'expression de la richesse de vos solutions DLP.
Structure et sources du modèle de stratégie
Les modèles de stratégie DLP sont généralement influencés par plusieurs sources, notamment les directives de traitement sur le serveur, les stratégies de l'ordinateur client ou d'autres constructions de stratégies, comme l'illustre l'image ci-dessous :
Des opérations de gestion simples sont disponibles pour les modèles de stratégie DLP via l’environnement de ligne de commande Exchange Management Shell et les interfaces Basées sur Internet, telles que le Centre d’administration Exchange, qui incluent des fonctionnalités d’importation, d’exportation, de suppression et de requête. Une stratégie DLP est créée en référençant un modèle de stratégie DLP dans le cadre du processus de création. Ces modèles de stratégie DLP référencés peuvent se rapporter à des modèles installés dans le système, qui sont stockés dans des services de domaine Active Directory ou directement fournis comme entrées à partir de stratégies fournies en externe.
Les modèles de stratégie DLP sont représentés sous forme de documents XML. Un schéma XML unique est également utilisé pour les stratégies fournies dans Exchange et en externe. La structure conceptuelle du document XML est représentée dans le tableau ci-dessous, qui indique les éléments principaux. L’ensemble de définitions de composants de stratégie vous permet d’atteindre un objectif de stratégie spécifique, tel qu’une réglementation ou un besoin métier.
| Élément structurel | Définition ou exemple |
|---|---|
| Publisher | Microsoft ou Partenaire |
| Version | 15.0.1.0 |
| Nom de la stratégie | PCI-DSS |
| Description | La stratégie DLP PCI-DSS permet de détecter la présence d’informations soumises à pci DSS (PCI Data Security Standard), notamment des informations telles que les numéros de carte de crédit ou de débit carte. L’utilisation de cette stratégie ne garantit pas la conformité aux réglementations. A l'issue de votre test, effectuez les modifications de configuration nécessaires dans Exchange de sorte que la transmission des informations respecte les stratégies de votre organisation. Par exemple, vous pourriez avoir besoin de configurer TLS avec des partenaires commerciaux connus ou d’ajouter des actions de règle de transport plus restrictives, comme l’ajout d’une protection des droits pour des messages qui contiennent ce type de données. |
| Métadonnées | Balises pour décrire la réglementation locale, nationale ou régionale, les mots clés, etc. |
| Ensemble de constructions de stratégie | Définitions des règles de transport, telles que les conditions et les actions. Définitions des comportements des clients de messagerie qui contrôlent l'expérience du client par l'intermédiaire de notifications interactives. De manière facultative, références de configuration qui doivent être coordonnées avec les paramètres spécifiques à l'environnement du client. |
| Ensemble de classifications de données | Spécifie les entités ou les affinités de classification. Les entités comportent le nombre et le niveau de confiance ; les affinités n'ont que le niveau de confiance. Possède son propre ensemble de propriétés et son schéma de classification. |
Définition du format du modèle de stratégie
Les modèles de stratégie DLP sont exprimés comme des documents XML qui adhèrent au schéma suivant. Notez que le code XML respecte la casse. Par instance, dlpPolicyTemplates fonctionne, mais DlpPolicyTemplates ne fonctionne pas.
<?xml version="1.0" encoding="UTF-8"?>
<dlpPolicyTemplates>
<dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
<contentVersion>4</contentVersion>
<publisherName>Microsoft</publisherName>
<name>
<localizedString lang="en">PCI-DSS</localizedString>
</name>
<description>
<localizedString lang="en">Detects the presence of information subject to Payment Card Industry Data Security Standard (PCI-DSS) compliance requirements.</localizedString>
</description>
<keywords></keywords>
<ruleParameters></ruleParameters>
<ruleParameters/>
<policyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP Policy."]]>
</commandBlock>
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "%%DlpPolicyName%%" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP Policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]>
</commandBlock>
</policyCommands>
<policyCommandsResources></policyCommandsResources>
</dlpPolicyTemplate>
</dlpPolicyTemplates>
Si un paramètre inclus dans votre fichier XML pour tout élément comporte un espace, ce paramètre doit être mis entre guillemets pour fonctionner correctement. Dans l’exemple ci-dessous, le paramètre qui suit -SentToScope est acceptable et n’inclut pas de guillemets doubles, car il s’agit d’une chaîne continue de caractères sans espace. Toutefois, le paramètre fourni pour - Comments n’apparaît pas dans le Centre d’administration Exchange, car il n’y a pas de guillemets doubles et il inclut des espaces.
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments Monitors payment card information sent inside the organization -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
Élément localizedString
Le format de modèle offre la possibilité de localiser des chaînes dans le modèle, qui peuvent être présentées à l’utilisateur final, par exemple dans le cadre de la sélection des modèles de stratégie DLP qui sont installés. L'élément localizedString peut être utilisé pour fournir des définitions multiples pour les champs Nom et Description.
Nœud ruleParameters
Il s’agit d’un ensemble facultatif de paramètres qui doivent être fournis pendant la phase d’instanciation du modèle lors de la création d’une stratégie DLP à mapper à des objets spécifiques au déploiement. Par exemple, un groupe de distribution réel disponible dans le déploiement.
Élément dlpPolicyTemplate
Il s'agit de l'élément racine pour le modèle de stratégie DLP, requis pour chaque modèle. Le tableau suivant présente les attributs disponibles :
| Nom de l'attribut | Obligatoire ? | Description |
|---|---|---|
| Version | Oui | Numéro de version utilisé dans ce document de modèle de stratégie DLP. |
| État | Non | Configuration par défaut facultative pour l'état de la stratégie. |
| Mode | Non | Configuration par défaut facultative pour le mode de la stratégie. |
| ID | Non | GUID visant à identifier de manière unique cette définition de modèle de stratégie DLP dans le format suivant :« A29C69BF-4F98-47F1-9A99-5771DFD2C27F ». |
Les éléments enfants incluent la séquence d'éléments suivante.
| Élément enfant | (minimum, maximum) | Description |
|---|---|---|
| PublisherName | (1, 1) | Métadonnées pour l’éditeur du modèle |
| Nom | (1, 1) | Nom localisable pour ce modèle. |
| Description | (1, 1) | Description localisable pour ce modèle. |
| Mots-clés | (1, 1) | Liste des mots clés qui s'appliquent à ce modèle. Un modèle peut avoir une liste de mots clés vide. |
| RuleParameters | (0, 1) | Liste des paramètres du modèle utilisés dans la définition de la stratégie. |
| PolicyCommands | (0, 1) | Liste des définitions de règles de transport pour cette stratégie. Cet élément est facultatif. |
Modèle de stratégie DLP : Commandes de stratégie
Cette partie du modèle de stratégie contient la liste des commandes Exchange Management Shell utilisées pour instancier la définition de la stratégie. Le processus d’importation exécute chacune des commandes dans le cadre du processus d’instanciation. Vous trouverez ici des exemples de commandes de stratégie.
<PolicyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<CommandBlock> <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "PCI-DSS" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP policy."]]></CommandBlock>
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
</PolicyCommands>
Le format des cmdlets correspond à la syntaxe standard des cmdlets Exchange Management Shell pour les cmdlets utilisées. Les commandes sont exécutées dans l'ordre. Il est possible que chacun des nœuds de commande contienne un bloc de script, qui serait composé de plusieurs commandes. L'exemple ci-après illustre l'incorporation d'un module de règles de classification à l'intérieur d'un modèle de stratégie DLP, ainsi que l'installation du module de règles dans le cadre du processus de création de stratégie. Le module de règles de classification est incorporé dans le modèle de stratégie, puis transmis en tant que paramètre vers la cmdlet du modèle :
<CommandBlock>
<![CDATA[
$rulePack = [system.Text.Encoding]::Unicode.GetBytes('<?xml version="1.0" encoding="utf-8"?>
<rulePackage xmlns="http://schemas.microsoft.com/office/2011/mce">
<RulePack id="c3f021a3-c265-4dc2-b3a7-41a1800bf518">
<Version major="1" minor="0" build="0" revision="0"/>
<Publisher id="e17451d3-9648-4117-a0b1-493a6d5c73ad"/>
<Details defaultLangCode="en-us">
<LocalizedDetails langcode="en-us">
<PublisherName>Contoso</PublisherName>
<Name>Contoso Sample Rule Pack</Name>
<Description>This is a sample rule package</Description>
</LocalizedDetails>
</Details>
</RulePack>
<Rules>
<Entity id="7cc35258-6b35-4415-baff-a76d1a018980" patternsProximity="300" recommendedConfidence="85" workload="Exchange">
<Pattern confidenceLevel="85">
<IdMatch idRef="Regex_Contoso" />
<Any minMatches="1">
<Match idRef="Regex_conf" />
</Any>
</Pattern>
</Entity>
<Regex id="Regex_Contoso">(?i)(\bContoso\b)</Regex>
<Regex id="Regex_conf">(?i)(\bConfidential\b)</Regex>
<LocalizedStrings>
<Resource idRef="7cc35258-6b35-4415-baff-a76d1a018980">
<Name default="true" langcode="en-us">
Confidential Information Rule
</Name>
<Description default="true" langcode="en-us">
Sample rule pack - Detects Contoso confidential information
</Description>
</Resource>
</LocalizedStrings>
</Rules>
</RulePackage>
')
New-ClassificationRuleCollection -FileData $rulePack
New-TransportRule -name "customEntity" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -MessageContainsDataClassifications @{Name="Confidential Information Rule"} -SetAuditSeverity High]]>
</CommandBlock>
Les éléments enfants comportent la suite d'éléments suivante dans cet ordre.
| Élément enfant | (Minimum, Maximum) | Description |
|---|---|---|
| CommandBlock | (1, n) | Bloc de commandes exécuté dans le PowerShell. Les blocs de commandes sont tous exécutés dans l'ordre. |
Pour plus d'informations
Protection contre la perte de données
Définition de vos modèles DLP et types d'informations
Importer un modèle de stratégie DLP personnalisé à partir d'un fichier