DLP 정책 검색 보고서 보기
적용 대상: Exchange Server 2013
DLP(데이터 손실 방지) 정책 검색 관리는 DLP 정책 위반을 식별, 조사 및 해결하기 위해 조직에서 수행하는 활동을 광범위하게 정의합니다. 인시던트 관리를 위해 DLP 정책에서 검색된 내용을 식별하는 정보에 액세스해야 합니다. 이 검색 정보는 기존 Microsoft Exchange Server 2013 데이터 및 로그 형식과 통합되므로 기존의 풍부한 데이터 시스템을 활용하여 메일 흐름 인시던트를 관리할 수 있습니다.
단일 정책 검색 이벤트와 함께 인시던트 보고서를 만드는 방법에 대한 자세한 내용은 DLP 정책 검색에 대한 인시던트 보고서 만들기를 참조하세요. 메시지 로그에 대한 자세한 내용은 배달 보고서를 사용하여 메시지 추적을 참조하세요.
참고
Exchange 2013: DLP는 Exchange Enterprise CAL(클라이언트 액세스 라이선스)이 필요한 고급 기능입니다. CAL 및 서버 라이선스에 대한 자세한 내용은 Exchange 라이선스 FAQ를 참조하세요.
감사 정보
Exchange의 DLP 검색 관리와 관련된 데이터는 메시지 추적 로그(배달 보고서라고도 함)에 통합됩니다. 이 기능은 시스템에서 사용할 수 있는 기존 로깅 프레임워크의 대부분을 재사용합니다. 메시지 추적 로그 파일의 구조를 이해하는 등 일반적인 정보는 메시지 추적 이해 또는 배달 보고서를 사용하여 메시지 추적의 기존 콘텐츠를 검토하세요.
배달 보고서는 사서함 서버에서 전송 서비스를 실행하는 컴퓨터에서 메시지가 전송될 때 모든 메시지 작업의 자세한 로그입니다. Get-MessageTrackingLog cmdlet을 사용하여 Exchange 관리 셸을 통해 메시지 추적 로그에 액세스할 수 있습니다. DLP 데이터는 기존 데이터 형식 및 규칙에 따라 배달 보고서에 통합됩니다.
데이터 로깅 형식
메시지 추적 로그에는 메일 흐름 콘텐츠 처리와 관련된 에이전트의 데이터가 포함됩니다. DLP의 경우 TRA(전송 규칙 에이전트)는 심층 메시지 콘텐츠 검사를 호출하고 ETR의 일부로 정의된 정책을 적용하는 데 사용됩니다. 기존 AgentInfo 이벤트는 메시지 추적 로그에 DLP 관련 항목을 추가하는 데 사용됩니다.
에이전트 이름은 AgentInfo 이벤트의 TRA 또는 전송 규칙 에이전트 가 됩니다. 메시지에 적용된 DLP 처리를 설명하는 단일 AgentInfo 이벤트가 메시지별로 기록됩니다. 메시지 추적 로그 항목 필드의 CustomData 필드는 전송 규칙 에이전트가 기록한 DLP 데이터가 표시되는 위치입니다. 이 필드에는 메시지에 있는 각 데이터 분류에 대한 하나의 데이터 분류 및 클라이언트 정보 줄, 메시지에 적용되는 각 규칙에 대한 하나의 규칙 줄, 부하 또는 실행 시간 임계값을 초과하는 각 규칙에 대한 하나의 상태 모니터링 줄 등 여러 항목이 포함될 수 있습니다.
DLP 로그 항목의 예가 여기에 표시됩니다. 출력의 형식이 지정되어 문자열을 새 줄이 있는 별도의 줄로 표시합니다.
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
전송 규칙 에이전트에는 규칙 ID, DLP 정책 ID(선택 사항), 마지막으로 수정한 날짜, 작업, 심각도, 모드, 검색된 데이터 분류(선택 사항) 및 규칙 ID(로그 줄의 "TRA=ETR"로 표시됨)에 따라 보낸 사람 재정의(선택 사항)를 그룹화해야 합니다. 또한 분류의 데이터 분류 ID, 개수 및 신뢰도 수준을 분류 이름으로 그룹화해야 합니다(로그 줄에서 "TRA=DC"로 표시됨).
추가 그룹화에는 클라이언트에서 검색된 모든 분류(로그 줄의 "TRA=CI"로 표시됨)에 대한 데이터 분류 ID, 보낸 사람 재정의(선택 사항) 및 재정의 근거(선택 사항)가 포함됩니다. 또한 전송 규칙 에이전트에는 규칙 ID, 로드 벽 클록(선택 사항), 로드 CPU 클록(선택 사항), 실행 벽 클록(선택 사항) 및 실행 CPU 클록(선택 사항)이 로드 또는 실행 벽 또는 CPU 클록 임계값을 초과하는 모든 규칙(로그 줄의 "TRA=ETRP"로 표시됨)에 대해 규칙 ID로 그룹화되어야 합니다.
다음은 데이터 필드의 전체 목록입니다. MTL의 모든 데이터는 문자열 형식입니다. 서식 열은 메시지 추적 로그의 각 필드를 인식하는 방법을 설명합니다. 선택적 필드 열은 규칙이 일치할 때 기록되지 않을 수 있는 필드를 지정합니다. DLP 특정 열에는 DLP 기능과 관련된 필드가 표시됩니다.
| 필드 이름 | 설명 | 형식 | 선택적 필드 | DLP 관련 |
|---|---|---|---|---|
| Tra | 전송 규칙 에이전트; AgentName 형식 | TRA=DC, ETR, CI 또는 ETRP | 필수 | 아니오 |
| Dc | 데이터 분류; groupName 형식 | TRA=DC | 선택 | 예 |
| Etr | Exchange 전송 규칙; groupName 형식 | TRA=ETR | 필수 | 아니요 |
| Ci | 클라이언트 정보, type groupName | TRA=CI | 선택 | 예 |
| ETRP | Exchange 전송 규칙 성능; groupName 형식 | TRA=ETRP | 선택 | 아니요 |
| dcid | 데이터 분류의 ID | dcid=GUID | 선택 | 예 |
| 횟수 | 데이터 분류 수 | count=Integer | 선택 | 예 |
| conf | 데이터 분류의 신뢰도 수준 | conf=Integer(백분율) | 선택 | 예 |
| sndOverride | 보낸 사람 재정의; 필드는 선택 사항입니다. TRA=CI 줄에서 필드가 "or"로 설정된 경우 데이터 분류가 재정의되었음을 나타냅니다. 필드가 "fp"로 설정된 경우 데이터 분류가 가양성으로 보고되었음을 의미합니다. TRA=ETR 줄에서 필드가 "or"로 설정된 경우 규칙 또는 규칙의 일부가 재정의되었음을 나타냅니다. 필드가 "fp"로 설정된 경우 규칙 또는 규칙의 일부가 가양성으로 보고되었음을 의미합니다. |
sndOverride=또는 fp 여기서 "or"는 재정의를 나타내고 "fp"는 가양성입니다. sndOverride 필드는 최종 사용자가 규칙에 대한 재정의 또는 가양성 중 하나를 보고한 경우에 표시됩니다. |
선택 | 예 |
| 그냥 | 정당화; 필드는 선택 사항이며 보낸 사람 재정의 필드가 TRA=CI 줄의 "or"와 같은 경우에만 사용할 수 있습니다. 데이터 분류를 재정의해야 하는 이유로 최종 사용자가 제공한 근거 텍스트입니다. | just=IW 입력 근거 문자열 근거 필드는 최종 사용자가 재정의를 보고할 때만 기록됩니다. |
선택 | 예 |
| ruleId | 규칙의 ID | ruleId=GUID | 필수 | 아니오 |
| dlpId | DLP 정책의 ID입니다. 필드는 선택 사항입니다. dlpId가 없으면 규칙이 DLP 정책에 속하지 않습니다. | dlpId=GUID | 선택 | 예 |
| 세인트 | 규칙의 마지막 수정 날짜 | st=UTC 날짜-시간 | 필수 | 아니요 |
| 조치 | 규칙에 의해 수행된 작업; 규칙당 여러 작업이 있을 수 있음 | action=single action 규칙에 적용된 작업이 여러 경우 여러 작업 필드가 있습니다. |
필수 | 아니오 |
| Sev | 규칙의 심각도 감사 | sev=1, 2 또는 3 여기서 1은 낮음, 2는 중간, 3은 높음입니다. |
선택 | 아니요 |
| 모드 | 적중된 규칙의 상태(적용, 감사 또는 auditandnotify). | mode=audit, auditandnotify 또는 적용 | 필수 | 아니오 |
| loadW | 로드 벽 클록; 필드는 선택 사항입니다. | loadW=time(ms) | 선택 | 아니요 |
| loadC | CPU 클록 로드; 필드는 선택 사항입니다. | loadC=time(ms) | 선택 | 아니요 |
| execW | 벽 클록 실행; 필드는 선택 사항입니다. | execW=time(ms) | 선택 | 아니요 |
| execC | CPU 클록 실행; 필드는 선택 사항입니다. | execC=time in ms | 선택 | 아니요 |
| message-id | 메시지의 ID | message-id=message의 ID | 필수 | 아니오 |
| date-time | 메시지가 범용 시간으로 전송된 날짜 및 시간 | date-time=UTC date-time | 필수 | 아니오 |
| sender-address | 보낸 사람 필드에 지정된 Email 주소 | sender-address=Email address | 필수 | 아니오 |
| recipient-address | 메시지 수신자의 Email 주소 | recipient-address=Email address | 필수 | 아니오 |
| message-subject | 메시지의 제목 필드에 있는 데이터 | message-subject=end-user input subject string | 필수 | 아니오 |