适用于:Exchange Server 2013
可以在 Microsoft Exchange 数据丢失防护中设置敏感信息规则, (DLP) 策略来检测电子邮件中的特定数据。 本主题将帮助您了解如何应用这些规则以及如何评估邮件。 如果您了解如何强制执行规则,则可以为您的电子邮件用户避免工作流中断,并获得高度准确的 DLP 检测。 让我们使用 Microsoft 提供的信用卡信息规则作为示例。 激活传输规则或 DLP 策略时,Exchange 传输规则代理会将用户发送的邮件与你创建的规则集进行比较。
精确表达您的需求
假设您需要处理邮件中的信用卡信息。 在找到这些邮件后执行的操作不是本主题的主题,但可以在 Exchange 2013 中的传输规则操作中详细了解这些操作。 你需要确保消息中检测到的内容是真正的信用卡数据,而不是其他 (,例如预订代码或车辆标识号) 。 为了满足此需求,让我们明确将以下信息归类为信用卡:
玛吉的旅行,
我已收到更新的 Spencer 的信用卡信息。
Spencer Badillo
Visa:4111 1111 1111 1111
过期时间:2/2012
请更新他的旅行个人资料。 **
我们还要明确一下,不应将以下信息归类为信用卡:
你好亚历克斯,
我也将去夏威夷。 我的预订代码是 1234 1234 1234 1234,我将于 2012 年 3 月到达。
此致,Lisa
以下 XML 代码片段演示了 Exchange 提供的敏感信息规则中当前如何定义这些需求:
<Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085" patternsProximity="300" recommendedConfidence="85">
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
<Any minMatches="1">
<Match idRef="Keyword_cc_verification" />
<Match idRef="Keyword_cc_name" />
<Match idRef="Func_expiration_date" />
</Any>
</Pattern>
</Entity>
解决方案中的模式匹配
之前显示的 XML 规则定义包括模式匹配,模式匹配将提高规则仅检测重要信息而不检测相关模糊信息的可能性。 有关用于 DLP 策略和模板的 XML 架构的详细信息,请参阅定义您自己的 DLP 模板和信息类型。
在信用卡规则中,有一部分 XML 代码用于模式,其中包括主要标识符匹配和其他确凿证据。 关于全部三项要求的说明如下:
<IdMatch idRef="Func_credit_card" />:此行需要内部定义的函数(标题为信用卡)的匹配项。 该函数包括以下几个验证:它与此实例中的正则表达式 (匹配 16 位数字) ,该表达式还可以包含空格分隔符等变体,以便也匹配 4111 1111 1111 1111 或连字符分隔符,以便也匹配 4111-1111-1111。
它根据 16 位数字评估 Lhun 的校验和算法,以确保这是信用卡号的可能性很高。
它要求强制匹配,之后将评估确定证据。
<Any minMatches="1">:本节指示至少需要存在以下一项证据。确证证据可以是以下三个语句之一的匹配:
<Match idRef="Keyword_cc_verification"/><Match idRef="Keyword_cc_name"/><Match idRef="Func_expiration_date"/>
这三个语句意味着需要信用卡关键字列表、信用卡名称或到期日期。 过期日期将作为另一个函数在内部定义和评估。
根据规则评估内容的过程
此处的 5 个步骤代表了 Exchange 为比较您的规则和电子邮件而执行的操作。 对于我们的信用卡规则示例而言,采取了以下步骤。
| 步骤 | 操作 |
|---|---|
| 1. 获取内容 | Spencer Badillo Visa:4111 1111 1111 1111 过期时间:2/2012 |
| 2. 正则表达式分析 | 4111 1111 1111 1111 -> 检测到一个 16 位的数字 |
| 3. 功能分析 | 4111 1111 1111 1111 -> 匹配校验和 1234 1234 1234 1234 -> 不匹配 |
| 4. 其他证据 | 关键字 Visa 位于数字旁。 日期 (2/2012) 的正则表达式位于数字旁。 |
| 5. 结论 | 与校验和匹配的正则表达式。 其他证据增加了可信度。 |
例如, (,邮件内容中需要关键字) 来匹配规则。 以下内容被检测为不包含信用卡:
玛吉的旅行,
我已收到关于 Spencer 的更新信息。
Spencer Badillo
4111 1111 1111 1111
请更新他的旅行信息。
可以使用自定义规则来定义模式,而无需额外的证据。 此示例仅检测具有信用卡号的消息,而没有任何确凿证据。
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
</Pattern>
</Entity>
还可以将本文中的信用卡示例扩展到其他敏感信息规则。 若要查看 Exchange 中 Microsoft 提供的规则的完整列表,请使用 Exchange 命令行管理程序中的 Get-ClassificationRuleCollection cmdlet。 例如:
$rule_collection = Get-ClassificationRuleCollection
[System.IO.File]::WriteAllBytes('oob_classifications.xml', $rule_collection[0].SerializedClassificationRuleCollection)