Просмотр отчетов об элементах, обнаруженных согласно политикам защиты от потери данных
Область применения: Exchange Server 2013 г.
Управление обнаружением политики защиты от утечки данных (DLP) дает широкое определение действий, выполняемых организацией для идентификации, изучения и устранения нарушений политики DLP. Для управления инцидентами вам необходим доступ к сведениям о данных, для защиты которых использовались политики DLP. Эти сведения об обнаружении интегрированы в существующие форматы данных и журналов Microsoft Exchange Server 2013, что позволяет использовать текущую полнофункциональную систему данных для управления инцидентами потока обработки почты.
Сведения о создании отчета об инциденте вместе с одним событием обнаружения политики см. в разделе Создание отчетов об инцидентах для обнаружения политик защиты от потери данных. Дополнительные сведения о журналах сообщений см. в разделе Отслеживание сообщений с помощью отчетов о доставке.
Примечание.
Exchange 2013: Защита от потери данных является расширенной возможностью, для которой требуется корпоративная клиентская лицензия (CAL). Дополнительные сведения о клиентских лицензиях и лицензировании серверов см. в разделе Часто задаваемые вопросы о лицензировании Exchange.
Сведения об аудите
Данные, связанные с управлением обнаружением политики DLP в службе Exchange, интегрируются в журналы отслеживания сообщений, также называемыми отчетами о доставке. В этих возможностях повторно используется значительная часть существующей платформы ведения журнала, доступной в системе. Общие сведения, включая сведения о структуре файлов журнала отслеживания сообщений, см. в статье Общие сведения об отслеживании сообщений или Отслеживание сообщений с помощью отчетов о доставке.
Отчет о доставке это подробный журнал всех действий по передаче сообщений с компьютера или на компьютер, на котором запущена транспортная служба на сервере почтовых ящиков. Доступ к журналу отслеживания сообщений можно получить с помощью командной консоли Exchange и командлета Get-MessageTrackingLog. Данные DLP интегрируются в отчет о доставке в соответствии с существующими форматами данных и соглашениями.
Формат внесения данных в журнал
Журналы отслеживания сообщений содержат данные от агентов, вовлеченных в обработку потока почты. Для DLP агент правил транспорта (TRA) используется для вызова глубокой проверки сообщений и применения политик, определенных как часть ETR. Существующее событие AgentInfo используется для добавления связанных записей DLP в журнал отслеживания сообщений.
Агент в событии AgentInfo будет носить имя TRA или Агент правил транспорта. Для каждого сообщения будет регистрироваться одно событие AgentInfo, описывающее обработку DLP, примененную к сообщению. В поле записи журнала отслеживания сообщений CustomData отображаются данные DLP, внесенные в журнал агентом правил транспорта. Это поле может содержать несколько записей: одну строку классификации данных и сведений о клиенте для каждой классификации данных, найденной в сообщении, одну строку правил для каждого правила, применяемого к сообщению, и одну строку наблюдения за работоспособностью системы для каждого правила, превышающего пороговое значение времени загрузки или выполнения.
Здесь показан пример записи журнала DLP. Результат отформатирован для отображения строк на отдельных строках, между которыми находятся новые строки.
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
Для агента правил транспорта требуется группировка ИД правила, ИД политики DLP (необязательно), даты последнего изменения, действия, уровня серьезности, режима, обнаруженной классификации данных (необязательно) и переопределения отправителя (необязательно) на основе ИД правила (указанного с помощью "TRA=ETR" в строке журнала). Также необходимо сгруппировать ИД классификации данных и уровень уверенности классификации по имени классификации (указано с помощью "TRA=DC" в строке журнала).
В дополнительные группировки входят ИД классификации данных, переопределение отправителя (необязательно) и обоснование определения (необязательно) на основе ИД классификации для всех классификаций, которые были обнаружены в клиенте (указано с помощью "TRA=CI" в строке журнала). Для агента правил транспорта также требуется сгруппировать ИД правила, настенные часы загрузки (необязательно), часы ЦП загрузки (необязательно), настенные часы выполнения (необязательно) и часы ЦП выполнения (необязательно) по ИД правила для всех правил, которые превысили пороговые значения часов ЦП и настенных часов загрузки или выполнения (указано с помощью "TRA=ETRP" в строке журнала).
Ниже приведен полный список полей данных. Все данные в журнале отслеживания сообщений имеют строковой тип. В столбце формата описано, как распознать каждое поле в журнале отслеживания сообщений. В столбце "Необязательное поле" указано, какие поля могут не регистрироваться в журнале при соответствии правила. В столбце "Специфические для DLP" показано, какие поля относятся к функции DLP.
| Имя поля | Описание | Формат | Необязательное поле | Характерное для DLP |
|---|---|---|---|---|
| TRA | Агент правил транспорта; тип AgentName | TRA=DC, ETR, CI или ETRP | Обязательное | Нет |
| DC | Классификация данных; тип groupName | TRA=DC | Необязательный | Да |
| ETR | Правило транспорта Exchange; тип groupName | TRA=ETR | Обязательное | Нет |
| CI | Сведения о клиенте, тип groupName | TRA=CI | Необязательный | Да |
| ETRP | Производительность правила транспорта Exchange; тип groupName | TRA=ETRP | Необязательный | Нет |
| dcid | Идентификатор классификации данных | dcid=GUID | Необязательный | Да |
| count | Количество классификаций данных | count=Integer | Необязательный | Да |
| conf | Уровень доверия классификации данных | conf=Integer (процент) | Необязательный | Да |
| sndOverride | Переопределение отправителя; поле является необязательным. В строке TRA=CI если в поле установлено значение "or", это означает, что была переопределена классификация данных. Если в поле задано значение "fp", это означает, что о классификации данных было сообщено как о ложноположительной. В строке TRA=ETR если в поле установлено значение "or", это означает, что было переопределено правило или его часть. Если в поле задано значение "fp", это означает, что о правиле или части правила было сообщено как о ложноположительном. |
sndOverride=or или fp Где "or" представляет переопределение, а "fp" означает ложноположительное значение. Поле "sndOverride" присутствует, если пользователь сообщил о переопределении или ложном срабатывании правила. |
Необязательный | Да |
| just | Обоснование; поле является необязательным и доступно, только если в поле переопределения отправителя задано "or" в строке TRA=CI. Следует переопределить текст обоснования, приведенный пользователем в качестве причины классификации данных. | just = строка обоснования ввода IW Поле обоснования регистрируется в журнале, только когда пользователь сообщает о переопределении. |
Необязательный | Да |
| ruleId | Идентификатор для правила | ruleId=GUID | Обязательное | Нет |
| dlpId | Идентификатор политики защиты от потери данных. Поле является необязательным; Если dlpId отсутствует, правило не принадлежит политике защиты от потери данных. | dlpId=GUID | Необязательный | Да |
| st | Дата последнего изменения правила | st = дата и время в формате UTC | Обязательное | Нет |
| action | Действие, выполненное правилом. Для каждого правила может существовать несколько действий. | action = одно действие Если к правилу применено несколько действий, будут присутствовать несколько полей действий. |
Обязательное | Нет |
| sev | Серьезность аудита правила | sev = 1, 2 или 3 Где 1 представляет низкий уровень, 2 средний уровень, а 3 высокий уровень. |
Необязательный | Нет |
| mode | Состояние правила на момент его применения (принудительное применение, аудит или аудит и уведомление). | mode = аудит, аудит и уведомление или принудительное применение | Обязательное | Нет |
| loadW | Настенные часы загрузки; поле является необязательным. | loadW = время в мс | Необязательный | Нет |
| loadC | Часы загрузки ЦП; поле является необязательным. | loadC = время в мс | Необязательный | Нет |
| execW | Настенные часы выполнения; поле является необязательным. | execW = время в мс | Необязательный | Нет |
| execC | Часы выполнения ЦП; поле является необязательным. | execC = время в мс | Необязательный | Нет |
| message-id | Идентификатор сообщения | message-id = идентификатор сообщения | Обязательное | Нет |
| date-time | Дата и время отправки сообщения в формате UTC | date-time = дата и время в формате UTC | Обязательное | Нет |
| sender-address | Адрес электронной почты, указанный в поле "Отправитель" | sender-address = адрес электронной почты | Обязательное | Нет |
| recipient-address | Электронный адрес (адреса) получателя (-лей) сообщения | recipient-address = адрес электронной почты | Обязательное | Нет |
| message-subject | Данные, найденные в поле темы сообщения | message-subject = строка темы, вводимой пользователем | Обязательное | Нет |