Desenvolvendo arquivos de modelo de política DLP no Exchange 2013
Aplica-se a: Exchange Server 2013
Esta visão geral explica os componentes de uma definição de esquema XML para arquivos de modelo de política de prevenção de perda de dados (DLP) e também oferece um arquivo de política de exemplo do formato XML. É útil entender o processo geral de arquitetura DLP e desenvolvimento de regras antes de começar. Para obter mais informações, consulte Prevenção contra perda de dados e Definir seus próprios modelos DLP e tipos de informações.
Para tornar as soluções de prevenção de perda de dados fáceis de adotar e gerenciar, um modelo conceitual conhecido como políticas DLP e modelos de política é apresentado no Microsoft Exchange Server 2013. Modelos de política de DLP fornecem um design preliminar para a sua política de DLP pretendida. Para ter valor, um modelo de política de DLP deve encapsular todas as diretivas e objetos de dados que são necessários para atender a um objetivo de política específico, como uma regulamentação ou uma necessidade de negócios. O modelo não é específico do ambiente. É simplesmente uma definição ou modelo de uma política que pode ser fornecida como parte da configuração do produto ou fornecida por editores e parceiros de software independentes. As políticas DLP, por outro lado, são instanciações dos modelos que são específicos para o ambiente de implantação. A sua estrutura de política de mensagens existente pode incorporar políticas DLP através do uso de regras de transporte. As regras de transporte oferecem grande flexibilidade para adaptar e expressar a riqueza das suas soluções DLP.
Estrutura e fontes de modelo de política
Modelos de política de DLP são normalmente influenciados por várias fontes, como diretivas de processamento baseadas em servidor, políticas de computador cliente ou outras construções, conforme a imagem a seguir:
Operações de gerenciamento simples estão disponíveis para modelos de política DLP por meio do Shell de Gerenciamento do Exchange e interfaces baseadas na Internet, como o centro de administração do Exchange, que incluem recursos de Importação, Exportação, Exclusão e Consulta. Uma política de DLP é criada fazendo referência a um modelo de política de DLP como parte do processo de criação. Esses modelos de política de DLP referenciados podem ser referências para os modelos instalados no sistema, que são armazenados nos Serviços de Domínio Active Directory, ou podem ser especificados como entrada diretamente de políticas fornecidas externamente.
Modelos de políticas de DLP são representados como documentos XML. Um único esquema XML é usado para políticas fornecidas dentro do Exchange e também externamente. A estrutura conceitual do documento XML é representada na tabela abaixo, que mostra os principais elementos. O conjunto de definições de componente de política ajuda você a alcançar um objetivo de política específico, como uma regulamentação ou necessidade de negócios.
| Elemento Estrutural | Significado ou Exemplo |
|---|---|
| Publisher | Microsoft ou Parceiro |
| Versão | 15.0.1.0 |
| Nome da Diretiva | PCI-DSS |
| Descrição | A política PCI-DSS DLP ajuda a detectar a presença de informações sujeitas ao PCI Data Security Standard (PCI DSS), incluindo informações como cartão de crédito ou números de cartão de débito. O uso dessa política não garante a conformidade com qualquer regulamentação. Depois que o teste for concluído, faça as alterações de configuração necessárias no Exchange para que a transmissão de informações esteja em conformidade com as políticas da sua organização. Exemplos incluem configurar o TLS com parceiros comerciais conhecidos ou adicionar ações de regra de transporte mais restritivas, como adicionar proteção de direitos a mensagens que contêm esse tipo de dados. |
| Metadata | Marcas para descrever o regulamento local, país ou região, palavras-chave e muito mais. |
| Conjunto de construções de política | Definições de regra de transporte, tais como condições e ações. Definições de comportamento do cliente de email que controlam a experiência do cliente por meio de notificações interativas. Opcionalmente, referências de configuração que precisam ser coordenadas com as configurações específicas do ambiente de cliente. |
| Conjunto de classificações de dados | Especifica as entidades de classificação ou afinidades. Entidades têm contagem e confiança; afinidades só tem uma confiança. Vem com seu próprio conjunto de propriedades e esquema de classificação. |
Definição de formato do modelo de política
Modelos de política de DLP são expressos em documentos XML que respeitam o esquema a seguir. Observe que o XML diferencia maiúsculas e minúsculas. Por exemplo, dlpPolicyTemplates funcionará, mas DlpPolicyTemplates não funcionará.
<?xml version="1.0" encoding="UTF-8"?>
<dlpPolicyTemplates>
<dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
<contentVersion>4</contentVersion>
<publisherName>Microsoft</publisherName>
<name>
<localizedString lang="en">PCI-DSS</localizedString>
</name>
<description>
<localizedString lang="en">Detects the presence of information subject to Payment Card Industry Data Security Standard (PCI-DSS) compliance requirements.</localizedString>
</description>
<keywords></keywords>
<ruleParameters></ruleParameters>
<ruleParameters/>
<policyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP Policy."]]>
</commandBlock>
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "%%DlpPolicyName%%" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP Policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]>
</commandBlock>
</policyCommands>
<policyCommandsResources></policyCommandsResources>
</dlpPolicyTemplate>
</dlpPolicyTemplates>
Se um parâmetro incluído em seu arquivo XML para qualquer elemento incluir um espaço, ele deverá estar entre aspas duplas ou não funcionará adequadamente. No exemplo abaixo, o parâmetro a seguir é aceitável e não inclui aspas duplas porque é uma cadeia contínua de caracteres -SentToScope sem espaço. No entanto, o parâmetro fornecido para - Comments não será exibido no centro de administração do Exchange porque não há aspas duplas e inclui espaços.
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments Monitors payment card information sent inside the organization -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
Elemento localizedString
O formato de modelo oferece a capacidade de localizar cadeias de caracteres no modelo, que podem ser apresentadas ao usuário final, por exemplo, como parte da seleção de quais modelos de política DLP estão instalados. O elemento localizedString pode ser usado para fornecer várias definições para os campos Nome e Descrição.
Nó ruleParameters
Este é um conjunto opcional de parâmetros que precisam ser fornecidos durante a fase de instanciação do modelo ao criar uma política DLP para mapear para objetos específicos da implantação. Por exemplo, um grupo de distribuição real que está disponível na implantação.
Elemento dlpPolicyTemplate
Esse é o elemento raiz para o modelo de política de DLP e é necessário para cada modelo. Os atributos disponíveis são mostrados na tabela a seguir:
| Nome do Atributo | Obrigatório? | Descrição |
|---|---|---|
| Versão | Sim | O número de versão usado neste documento de modelo de política de DLP. |
| Estado | Não | A configuração padrão opcional para o estado da política. |
| Modo | Não | A configuração padrão opcional para o modo da política. |
| Id | Não | Um GUID para identificar exclusivamente essa definição de modelo de política de DLP no seguinte formato: "A29C69BF-4F98-47F1-9A99-5771DFD2C27F". |
Elementos filho incluem a seguinte sequência de elementos.
| Elemento filho | (mínimo, máximo) | Descrição |
|---|---|---|
| Publishername | (1, 1) | Meta data para o editor do modelo |
| Nome | (1, 1) | Nome localizável para esse modelo. |
| Descrição | (1, 1) | Descrição localizável para esse modelo. |
| Palavras-chave | (1, 1) | Lista de palavras-chave que se aplica a esse modelo. Um modelo pode ter uma lista vazia de palavras-chave. |
| RuleParameters | (0, 1) | Lista de parâmetros de modelo que usada na definição de política. |
| PolicyCommands | (0, 1) | Lista de definições de regra de transporte para essa política. Esse é um elemento opcional. |
Modelo de Política de DLP: PolicyCommands
Essa parte do modelo de política contém a lista de comandos do Shell de Gerenciamento do Exchange que são usados para instanciar a definição de política. O processo de importação executa cada um dos comandos como parte do processo de instanciação. Comandos de política de exemplo são fornecidos aqui.
<PolicyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<CommandBlock> <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "PCI-DSS" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP policy."]]></CommandBlock>
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
</PolicyCommands>
O formato dos cmdlets é a sintaxe padrão dos cmdlets do Shell de Gerenciamento do Exchange para os cmdlets usados. Os comandos são executados em sequência. É possível que cada um dos nós de comando contenha um bloco de script, que seria composto por vários comandos. Veja a seguir um exemplo que ilustra como inserir um pacote de regras de classificação dentro de um modelo de política de DLP e instalar esse pacote de regras como parte do processo de criação de políticas. O pacote de regras de classificação é inserido no modelo da política e passado como um parâmetro para o cmdlet no modelo:
<CommandBlock>
<![CDATA[
$rulePack = [system.Text.Encoding]::Unicode.GetBytes('<?xml version="1.0" encoding="utf-8"?>
<rulePackage xmlns="http://schemas.microsoft.com/office/2011/mce">
<RulePack id="c3f021a3-c265-4dc2-b3a7-41a1800bf518">
<Version major="1" minor="0" build="0" revision="0"/>
<Publisher id="e17451d3-9648-4117-a0b1-493a6d5c73ad"/>
<Details defaultLangCode="en-us">
<LocalizedDetails langcode="en-us">
<PublisherName>Contoso</PublisherName>
<Name>Contoso Sample Rule Pack</Name>
<Description>This is a sample rule package</Description>
</LocalizedDetails>
</Details>
</RulePack>
<Rules>
<Entity id="7cc35258-6b35-4415-baff-a76d1a018980" patternsProximity="300" recommendedConfidence="85" workload="Exchange">
<Pattern confidenceLevel="85">
<IdMatch idRef="Regex_Contoso" />
<Any minMatches="1">
<Match idRef="Regex_conf" />
</Any>
</Pattern>
</Entity>
<Regex id="Regex_Contoso">(?i)(\bContoso\b)</Regex>
<Regex id="Regex_conf">(?i)(\bConfidential\b)</Regex>
<LocalizedStrings>
<Resource idRef="7cc35258-6b35-4415-baff-a76d1a018980">
<Name default="true" langcode="en-us">
Confidential Information Rule
</Name>
<Description default="true" langcode="en-us">
Sample rule pack - Detects Contoso confidential information
</Description>
</Resource>
</LocalizedStrings>
</Rules>
</RulePackage>
')
New-ClassificationRuleCollection -FileData $rulePack
New-TransportRule -name "customEntity" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -MessageContainsDataClassifications @{Name="Confidential Information Rule"} -SetAuditSeverity High]]>
</CommandBlock>
Elementos filho incluem a seguinte sequência ordenada de elementos.
| Elemento Filho | (Mínimo, Máximo) | Descrição |
|---|---|---|
| CommandBlock | (1, n) | Um bloco de comando que é executado no PowerShell. Cada bloco de comando é executado em sequência. |
Para obter mais informações
Prevenção contra perda de dados
Definir seus próprios modelos de DLP e tipos de informações
Importar um modelo de política DLP personalizado de um arquivo