Поделиться через


Просмотр отчетов об элементах, обнаруженных согласно политикам защиты от потери данных

Область применения: Exchange Server 2013 г.

Управление обнаружением политики защиты от утечки данных (DLP) дает широкое определение действий, выполняемых организацией для идентификации, изучения и устранения нарушений политики DLP. Для управления инцидентами вам необходим доступ к сведениям о данных, для защиты которых использовались политики DLP. Эти сведения об обнаружении интегрированы в существующие форматы данных и журналов Microsoft Exchange Server 2013, что позволяет использовать текущую полнофункциональную систему данных для управления инцидентами потока обработки почты.

Сведения о создании отчета об инциденте вместе с одним событием обнаружения политики см. в разделе Создание отчетов об инцидентах для обнаружения политик защиты от потери данных. Дополнительные сведения о журналах сообщений см. в разделе Отслеживание сообщений с помощью отчетов о доставке.

Примечание.

Exchange 2013: Защита от потери данных является расширенной возможностью, для которой требуется корпоративная клиентская лицензия (CAL). Дополнительные сведения о клиентских лицензиях и лицензировании серверов см. в разделе Часто задаваемые вопросы о лицензировании Exchange.

Сведения об аудите

Данные, связанные с управлением обнаружением политики DLP в службе Exchange, интегрируются в журналы отслеживания сообщений, также называемыми отчетами о доставке. В этих возможностях повторно используется значительная часть существующей платформы ведения журнала, доступной в системе. Общие сведения, включая сведения о структуре файлов журнала отслеживания сообщений, см. в статье Общие сведения об отслеживании сообщений или Отслеживание сообщений с помощью отчетов о доставке.

Отчет о доставке — это подробный журнал всех действий по передаче сообщений с компьютера или на компьютер, на котором запущена транспортная служба на сервере почтовых ящиков. Доступ к журналу отслеживания сообщений можно получить с помощью командной консоли Exchange и командлета Get-MessageTrackingLog. Данные DLP интегрируются в отчет о доставке в соответствии с существующими форматами данных и соглашениями.

Формат внесения данных в журнал

Журналы отслеживания сообщений содержат данные от агентов, вовлеченных в обработку потока почты. Для DLP агент правил транспорта (TRA) используется для вызова глубокой проверки сообщений и применения политик, определенных как часть ETR. Существующее событие AgentInfo используется для добавления связанных записей DLP в журнал отслеживания сообщений.

Агент в событии AgentInfo будет носить имя TRA или Агент правил транспорта. Для каждого сообщения будет регистрироваться одно событие AgentInfo, описывающее обработку DLP, примененную к сообщению. В поле записи журнала отслеживания сообщений CustomData отображаются данные DLP, внесенные в журнал агентом правил транспорта. Это поле может содержать несколько записей: одну строку классификации данных и сведений о клиенте для каждой классификации данных, найденной в сообщении, одну строку правил для каждого правила, применяемого к сообщению, и одну строку наблюдения за работоспособностью системы для каждого правила, превышающего пороговое значение времени загрузки или выполнения.

Здесь показан пример записи журнала DLP. Результат отформатирован для отображения строк на отдельных строках, между которыми находятся новые строки.

Source: AGENT

EventId: AGENTINFO

CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

Для агента правил транспорта требуется группировка ИД правила, ИД политики DLP (необязательно), даты последнего изменения, действия, уровня серьезности, режима, обнаруженной классификации данных (необязательно) и переопределения отправителя (необязательно) на основе ИД правила (указанного с помощью "TRA=ETR" в строке журнала). Также необходимо сгруппировать ИД классификации данных и уровень уверенности классификации по имени классификации (указано с помощью "TRA=DC" в строке журнала).

В дополнительные группировки входят ИД классификации данных, переопределение отправителя (необязательно) и обоснование определения (необязательно) на основе ИД классификации для всех классификаций, которые были обнаружены в клиенте (указано с помощью "TRA=CI" в строке журнала). Для агента правил транспорта также требуется сгруппировать ИД правила, настенные часы загрузки (необязательно), часы ЦП загрузки (необязательно), настенные часы выполнения (необязательно) и часы ЦП выполнения (необязательно) по ИД правила для всех правил, которые превысили пороговые значения часов ЦП и настенных часов загрузки или выполнения (указано с помощью "TRA=ETRP" в строке журнала).

Ниже приведен полный список полей данных. Все данные в журнале отслеживания сообщений имеют строковой тип. В столбце формата описано, как распознать каждое поле в журнале отслеживания сообщений. В столбце "Необязательное поле" указано, какие поля могут не регистрироваться в журнале при соответствии правила. В столбце "Специфические для DLP" показано, какие поля относятся к функции DLP.

Имя поля Описание Формат Необязательное поле Характерное для DLP
TRA Агент правил транспорта; тип AgentName TRA=DC, ETR, CI или ETRP Обязательное Нет
DC Классификация данных; тип groupName TRA=DC Необязательный Да
ETR Правило транспорта Exchange; тип groupName TRA=ETR Обязательное Нет
CI Сведения о клиенте, тип groupName TRA=CI Необязательный Да
ETRP Производительность правила транспорта Exchange; тип groupName TRA=ETRP Необязательный Нет
dcid Идентификатор классификации данных dcid=GUID Необязательный Да
count Количество классификаций данных count=Integer Необязательный Да
conf Уровень доверия классификации данных conf=Integer (процент) Необязательный Да
sndOverride Переопределение отправителя; поле является необязательным.

В строке TRA=CI если в поле установлено значение "or", это означает, что была переопределена классификация данных. Если в поле задано значение "fp", это означает, что о классификации данных было сообщено как о ложноположительной.

В строке TRA=ETR если в поле установлено значение "or", это означает, что было переопределено правило или его часть. Если в поле задано значение "fp", это означает, что о правиле или части правила было сообщено как о ложноположительном.
sndOverride=or или fp

Где "or" представляет переопределение, а "fp" означает ложноположительное значение. Поле "sndOverride" присутствует, если пользователь сообщил о переопределении или ложном срабатывании правила.
Необязательный Да
just Обоснование; поле является необязательным и доступно, только если в поле переопределения отправителя задано "or" в строке TRA=CI. Следует переопределить текст обоснования, приведенный пользователем в качестве причины классификации данных. just = строка обоснования ввода IW

Поле обоснования регистрируется в журнале, только когда пользователь сообщает о переопределении.
Необязательный Да
ruleId Идентификатор для правила ruleId=GUID Обязательное Нет
dlpId Идентификатор политики защиты от потери данных. Поле является необязательным; Если dlpId отсутствует, правило не принадлежит политике защиты от потери данных. dlpId=GUID Необязательный Да
st Дата последнего изменения правила st = дата и время в формате UTC Обязательное Нет
action Действие, выполненное правилом. Для каждого правила может существовать несколько действий. action = одно действие

Если к правилу применено несколько действий, будут присутствовать несколько полей действий.
Обязательное Нет
sev Серьезность аудита правила sev = 1, 2 или 3

Где 1 представляет низкий уровень, 2 — средний уровень, а 3 — высокий уровень.
Необязательный Нет
mode Состояние правила на момент его применения (принудительное применение, аудит или аудит и уведомление). mode = аудит, аудит и уведомление или принудительное применение Обязательное Нет
loadW Настенные часы загрузки; поле является необязательным. loadW = время в мс Необязательный Нет
loadC Часы загрузки ЦП; поле является необязательным. loadC = время в мс Необязательный Нет
execW Настенные часы выполнения; поле является необязательным. execW = время в мс Необязательный Нет
execC Часы выполнения ЦП; поле является необязательным. execC = время в мс Необязательный Нет
message-id Идентификатор сообщения message-id = идентификатор сообщения Обязательное Нет
date-time Дата и время отправки сообщения в формате UTC date-time = дата и время в формате UTC Обязательное Нет
sender-address Адрес электронной почты, указанный в поле "Отправитель" sender-address = адрес электронной почты Обязательное Нет
recipient-address Электронный адрес (адреса) получателя (-лей) сообщения recipient-address = адрес электронной почты Обязательное Нет
message-subject Данные, найденные в поле темы сообщения message-subject = строка темы, вводимой пользователем Обязательное Нет

Дополнительные сведения

Защита от потери данных

Создание отчетов об инцидентах для обнаружений политики DLP

Отслеживание сообщений при помощи отчетов о доставке