Afficher les rapports de détection de stratégies DLP
S’applique à : Exchange Server 2013
La gestion de la détection de la stratégie de protection contre la perte de données (DLP) définit les activités exécutées par une organisation afin d'identifier, d'enquêter et de résoudre les violations des stratégies DLP. Afin de gérer les incidents, vous devez disposer de l'accès aux informations qui identifient les éléments détectés par vos stratégies DLP. Ces informations de détection sont intégrées dans les formats de données et de journaux Microsoft Exchange Server 2013 existants afin d'exploiter un système de données riche pour la gestion des incidents de flux de messagerie.
Pour plus d'informations sur la création d'un rapport de compte rendu d'incident avec un événement de détection des stratégies, consultez la rubrique Créer des rapports de compte-rendu d'incident pour la détection de stratégies DLP. Pour plus d'informations sur les journaux de messages, consultez la rubrique Suivre les messages avec des rapports de remise.
Remarque
Exchange 2013 : la protection contre la perte de données est une fonctionnalité étendue qui nécessite une licence d'accès client (CAL) Exchange Enterprise. Pour plus d’informations sur les licences d’accès client et les licences de serveur, consultez FAQ sur les licences Exchange.
Informations d'audit
Les données relatives à la gestion de la détection DLP dans Exchange sont intégrées dans les journaux de suivi des messages, également connus sous le nom de rapports de remise. Les capacités réutilisent une grande partie de l'infrastructure de journalisation existante disponible dans le système. Pour obtenir des informations générales, notamment la compréhension de la structure des fichiers journaux de suivi des messages, consultez le contenu existant dans Comprendre le suivi desmessages ou Suivre les messages avec les rapports de remise.
Le rapport de remise est un journal détaillé de toute l'activité des messages lorsque les messages sont transmis vers et depuis un ordinateur qui exécute le service de transport sur un serveur de boîtes aux lettres. Il est possible d'avoir accès au journal de suivi des messages via l'environnement de ligne de commande Exchange Management Shell au moyen de la cmdlet Get-MessageTrackingLog. Les données DLP sont intégrées dans le rapport de remise suivant les formats et les conventions de données existants.
Format de journalisation des données
Les journaux de suivi des messages contiennent des données en provenance des agents impliqués dans le traitement du contenu du flux de messagerie. Pour DLP, l'agent des règles de transport est utilisé pour appeler l'analyse approfondie du contenu des messages et pour appliquer les stratégies définies dans le cadre des ETR. L'évènement AgentInfo existant est utilisé pour ajouter des entrées relatives au DLP dans le journal de suivi des messages.
Le nom de l'agent sera TRA ou Agent des règles de transport dans l'évènement AgentInfo. Un unique évènement AgentInfo sera consigné par message décrivant le traitement DLP appliqué au message. Le champ CustomData du champ d'entrée du journal de suivi des messages constitue l'emplacement où les données DLP consignées par l'agent des règles de transport s'affichent. Ce champ peut contenir plusieurs entrées : une ligne de classification des données et d'informations aux clients pour chaque classification de données trouvée dans le message, une ligne de règles pour chaque règle qui s'applique au message et une ligne d'analyse du fonctionnement dépassant la charge ou le seuil de la durée d'exécution.
Un exemple de l'entrée du journal DLP est affiché ici. Le résultat a été formaté pour afficher des chaînes dans des lignes séparées avec de nouvelles lignes au milieu.
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
L'agent des règles de transport exige le regroupement de l'ID de la règles, l'ID de la stratégie DLP (facultatif), la date de la dernière modification, l'action, la gravité, le mode, la classification des données détectées (facultatif) et le remplacement de l'expéditeur (facultatif) basé sur l'ID de la règle (indiqué par « TRA=ETR » dans la ligne du journal). L'ID de la classification des données est également requis, le décompte et le niveau de confiance des classifications à regrouper par nom de classification (indiqué par « TRA=DC » dans la ligne du journal).
Des regroupements supplémentaires inclus l'ID de classification des données, le remplacement de l'expéditeur (facultatif), la justification du remplacement (facultatif) basé sur l'ID de classification des données pour toutes les classifications détectées sur le client (indiqué par « TRA=CI » dans la ligne du journal). L'agent des règles de transport exige également que l'ID de la règle, le temps horloge de la charge (facultatif), l'horloge de l'UC de la charge (facultatif), le temps horloge de l'exécution (facultatif) et l'horloge de l'UC de l'exécution (facultatif) soient regroupés par ID de règle pour toutes les règles qui dépassent les seuils de l'horloge de l'UC ou du temps d'horloge de la charge ou de l'exécution (indiqués par « TRA=ETRP » dans la ligne du journal).
Vous trouverez ci-après une liste complète des fichiers de données. Toutes les données dans le MTL sont des chaînes de types. La colonne Format décrit comment reconnaître chaque champ dans le journal de suivi des messages. La colonne Champ facultatif spécifie les champs qui ne doivent pas être enregistrés quand une règle correspond. La colonne Spécifique au DLP indique quels champs sont spécifiques à la fonctionnalité DLP.
| Nom de champ | Description | Format | Champ facultatif | Spécifique au DLP |
|---|---|---|---|---|
| TRA | Agent des règles de transport ; type AgentName | TRA=DC, ETR, CI ou ETRP | Obligatoire | Non |
| DC | Classification des données ; type groupName | TRA=DC | Facultatif | Oui |
| ETR | Règle de transport Exchange ; type groupName | TRA=ETR | Obligatoire | Non |
| CI | Renseignements sur les clients, type groupName | TRA=CI | Facultatif | Oui |
| ERTP | Performances des règles de transport Exchange ; type groupName | TRA=ETRP | Facultatif | Non |
| dcid | ID de la classification des données | dcid=GUID | Facultatif | Oui |
| count | Décompte de la classification des données | count=Integer | Facultatif | Oui |
| conf | Niveau de confiance de la classification des données | conf=Integer (pourcentage) | Facultatif | Oui |
| sndOverride | Remplacement de l'expéditeur ; le champ est facultatif. Dans la ligne TRA=CI, lorsque le champ est défini sur « or », la classification des données a été remplacée. Si le champ est défini sur « fp », la classification des données a été reportée comme faux positif. Dans la ligne TRA=ETR, lorsque le champ est défini sur « or », la règle ou une partie de la règle a été remplacée. Si le champ est défini sur « fp », la règle ou une partie de la règle a été reportée comme faux positif. |
sndOverride=or ou fp Où « or » représente le remplacement et « fp » le faux positif. Le champ sndOverride est présent quand un utilisateur final a signalé un remplacement ou un faux positif pour une règle. |
Facultatif | Oui |
| just | Justification ; le champ est facultatif et uniquement disponible quand le champ Remplacement de l'expéditeur est égal à « or » dans la ligne TRA=CI. Le texte de justification entré par l'utilisateur comme motif pour la classification des données devra être remplacé. | just=IW (chaîne de justification d'entrée) Le champ Justification n'est connecté que lorsque l'utilisateur final signale un remplacement. |
Facultatif | Oui |
| ruleId | ID d'une règle | ruleId=GUID | Obligatoire | Non |
| dlpId | ID d'une stratégie DLP. Le champ est facultatif ; s'il n'existe aucun dlpId, la règle n'appartient pas à une stratégie DLP. | dlpId=GUID | Facultatif | Oui |
| st | Dernière date de modification d'une règle | st=UTC date-time | Obligatoire | Non |
| action | Mesure prise par une règle ; plusieurs actions par règle sont possibles | action=single action Si plusieurs actions sont appliquées à une règle, il y aura plusieurs champs action. |
Obligatoire | Non |
| sev | Audit de la gravité de la règle | sev=1, 2 ou 3 Où 1 signifie bas, 2 moyen et 3 haute. |
Facultatif | Non |
| mode | État de la règle quand elle a été atteinte (application, audit ou auditandnotify). | mode=audit, auditandnotify ou application | Obligatoire | Non |
| loadW | Temps horloge de la charge ; le champ est facultatif | loadW=temps en ms | Facultatif | Non |
| loadC | Horloge de l'UC de la charge ; le champ est facultatif | loadC=temps en ms | Facultatif | Non |
| execW | Temps horloge de l'exécution ; le champ est facultatif | execW=temps en ms | Facultatif | Non |
| execC | Horloge de l'UC de l'exécution ; le champ est facultatif | execC=temps en ms | Facultatif | Non |
| message-id | ID du message | message-id=ID du message | Obligatoire | Non |
| date-time | Date et heure de l'envoi du message en temps universel | date-time=date et heure au format UTC | Obligatoire | Non |
| sender-address | Adresse de messagerie spécifiée dans le champ Expéditeur | sender-address=Adresse de messagerie | Obligatoire | Non |
| recipient-address | Adresses de messagerie des destinataires du message | recipient-address=Adresse de messagerie | Obligatoire | Non |
| message-subject | Données trouvées dans le champ Objet du message | message-subject=chaîne d'objet d'entrées de l'utilisateur final | Obligatoire | Non |
Pour plus d'informations
Protection contre la perte de données
Créer des rapports de compte-rendu d'incident pour la détection de stratégies DLP