(0) exportieren Drucken
Alle erweitern

Verwaltung der DLP-Richtlinienerkennung

Exchange Online
 

Gilt für: Exchange Server 2013, Exchange Online

Letztes Änderungsdatum des Themas: 2013-02-25

Die DLP-Richtlinienerkennungsverwaltung (Data Loss Prevention, Verhinderung von Datenverlust) definiert die Maßnahmen, die eine Organisation ergreift, um Verstöße gegen DLP-Richtlinien zu identifizieren, zu untersuchen und zu beheben. Zum Verwalten von Vorfällen müssen Sie auf die Informationen zugreifen, welche die von den DLP-Richtlinien erkannten Verstöße identifizieren. Diese Erkennungsinformationen ist in vorhandene Microsoft Exchange Server 2013-Daten- und Protokollformate integriert, sodass Sie auf ein vorhandenes, umfangreiches Datensystem zur Verwaltung von Vorfällen im Zusammenhang mit dem E-Mail-Fluss zurückgreifen können. Die Erkennungsinformationen werden außerdem in Microsoft Exchange Online im Abschnitt Berichte bereitgestellt, der sowohl über Office 365 Admin Center als auch über die Exchange-Verwaltungskonsole zugänglich ist. Weitere Informationen hierzu finden Sie in Exchange Online unter Zusammenfassungsberichte zu Daten der DLP-Richtlinien.

Informationen zur Erstellung eines Schadensberichts zusammen mit einem einzigen Ereignis zur Richtlinienerkennung finden Sie unter Erstellen von Schadensberichten für DLP-Richtlinienerkennungen. Weitere Informationen zu Nachrichtenprotokollen finden Sie unter Nachverfolgen von Nachrichten mit Zustellungsberichten.

HinweisAnmerkung:
Exchange Online: DLP ist ein Premium-Feature, für das ein Abonnement des Typs Exchange Online (Plan 2) erforderlich ist. Weitere Informationen finden Sie unter Exchange Online-Pläne vergleichen.
Exchange 2013: DLP ist ein Premium-Feature, für das eine Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Weitere Informationen zu Clientzugriffslizenzen und Serverlizenzierung finden Sie unter Exchange Server-Lizenzierung.

Die Daten in Bezug auf das DLP-Erkennungsmanagement in Exchange sind in die Protokolle zur Nachrichtenverfolgung, die so genannten Zustellungsberichte, integriert. Die Funktionen greifen in hohem Maße auf das vorhandene Protokollierungsframework zurück, das im System verfügbar ist. Weitere Informationen zu den DLP-Berichten in Exchange Online finden Sie unter Zusammenfassungsberichte zu Daten der DLP-Richtlinien. Allgemeine Informationen, einschließlich grundlegender Informationen zur Struktur der Protokolldateien für die Nachrichtenverfolgung, finden im Artikel Verwalten der Nachrichtenverfolgung in der TechNet-Bibliothek oder unter Nachverfolgen von Nachrichten mit Zustellungsberichten.

Der Zustellungsbericht ist ein detailliertes Protokoll der gesamten Nachrichtenaktivität, die beim Übertragen von Nachrichten von einem Computer und an einen Computer auftritt, auf dem der Transportdienst im Postfachserver ausgeführt wird. In Exchange 2013 – nicht jedoch in Exchange Online – kann das Protokoll für die Nachrichtenverwaltung über die Exchange-Verwaltungsshell aufgerufen werden, indem das Cmdlet Get-MessageTrackingLog verwendet wird. DLP-Daten sind in den Zustellungsbericht integriert und entsprechen den vorhandenen Datenformaten und -konventionen.

Protokolle zur Nachrichtenverfolgung enthalten Daten der Agents, die an der Verarbeitung der Inhalte für den Nachrichtenfluss beteiligt sind. Für DLP wird der Transportregel-Agent dazu verwendet, eine eingehende Analyse von Nachrichteninhalten zu starten und die im Rahmen der ETRs definierten Richtlinien anzuwenden. Der vorhandene AgentInfo-Ereignis wird dazu verwendet, DLP-bezogene Einträge zum Protokoll für die Nachrichtenverfolgung hinzuzufügen.

Der Name des Agents lautet im AgentInfo-Ereignis TRA oder Transportregel-Agent. Pro Nachricht wird ein einzelnes AgentInfo-Ereignis protokolliert und beschreibt die auf die Nachricht angewendete DLP-Verarbeitung. Das Feld CustomData eines Protokolleintrags für die Nachrichtenverfolgung zeigt die vom Transportregel-Agent protokollierten DLP-Daten. Dieses Feld kann mehrere Einträge umfassen: eine Zeile für Datenklassifikation und Clientinformationen für jede in der Nachricht gefundene Datenklassifikation, eine Regelzeile für jede auf die Nachricht angewendete Regel und eine Zeile für die Integritätsüberwachung für jede Regel, für die der Schwellenwert für Last oder Ausführungszeit überschritten wird.

Nachfolgend wird ein Beispiel für einen DLP-Protokolleintrag gezeigt. Die Ausgabe wurde formatiert, um Zeichenfolgen in separaten Zeilen mit Leerzeilen anzuzeigen.

Quelle: AGENT

EventId: AGENTINFO

CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

Der Transportregel-Agent erfordert eine Gruppierung von Regel-ID, DLP-Richtlinien-ID (optional), Datum der letzten Änderung, Aktion, Schweregrad, Modus, erkannte Datenklassifikation (optional) und Außerkraftsetzung durch Absender (optional) basierend auf Regel-ID (angezeigt durch "TRA=ETR" in der Protokollzeile). Darüber hinaus müssen Datenklassifikations-ID, Anzahl und Bewertung von Klassifikationen nach Klassifikationsname gruppiert werden (angezeigt durch "TRA=DC" in der Protokollzeile).

Zusätzliche Gruppierungen umfassen Datenklassifikations-ID, Außerkraftsetzung durch Absender (optional) und Begründung für Außerkraftsetzung (optional) basierend auf der Datenklassifikations-ID für alle Klassifikationen, die auf dem Client erkannt wurden (angezeigt durch "TRA=CI" in der Protokollzeile). Der Transportregel-Agent erfordert außerdem eine Gruppierung von Regel-ID, Wanduhrzeit des Ladevorgangs (optional), CPU-Zeit des Ladevorgangs (optional), Wanduhrzeit der Ausführung (optional) und CPU-Zeit der Ausführung (optional) nach Regel-ID für alle Regeln, die die Schwellenwerte für die Wanduhr- oder CPU-Zeit des Lade- oder Ausführungsvorgangs überschreiten (angezeigt durch "TRA=ETRP" in der Protokollzeile).

Es folgt eine vollständige Liste dieser Datenfelder. Alle Daten im Protokoll für die Nachrichtenverfolgung sind vom Typ "string". Die Spalte "Format" beschreibt, wie jedes Feld im Protokoll für die Nachrichtenverfolgung erkannt wird. Die Spalte "Optionales Feld" gibt an, welche Felder bei einer Regelübereinstimmung möglicherweise nicht protokolliert werden. Die Spalte "DLP-spezifisch" zeigt, welche Felder speziell für die DLP-Funktion verwendet werden.

 

Feld

Beschreibung

Format

Optionales Feld

DLP-spezifisch

TRA

Transportregel-Agent, Typ: AgentName

TRA=DC, ETR, CI oder ETRP

Erforderlich

Nein

Gleichstrom

Datenklassifikation; Typ: groupName

TRA=DC

Optional

Ja

ETR

Exchange-Transportregel; Typ: groupName

TRA=ETR

Erforderlich

Nein

CI

Clientinformationen; Typ: groupName

TRA=CI

Optional

Ja

ETRP

Leistung der Exchange-Transportregel; Typ: groupName

TRA=ETRP

Optional

Nein

dcid

ID der Datenklassifikation

dcid=GUID

Optional

Ja

count

Anzahl von Datenklassifikationen

count=Integer

Optional

Ja

conf

Bewertung der Datenklassifikation

conf=Integer (Prozent)

Optional

Ja

sndOverride

Außerkraftsetzung durch Absender; dieses Feld ist optional.

Wenn in der Zeile "TRA=CI" das Feld auf "or" festgelegt ist, bedeutet dies, dass die Datenklassifikation außer Kraft gesetzt wurde. Wenn das Feld auf "fp" festgelegt ist, wurde die Datenklassifikation als falsch positiv markiert.

Wenn das Feld in der Zeile "TRA=ETR" auf "or" festgelegt ist, wurde die Regel oder ein Teil der Regel außer Kraft gesetzt. Wenn das Feld auf "fp" festgelegt ist, wurde die Regel oder ein Teil der Regel als falsch positiv markiert.

sndOverride=or oder fp

Hierbei steht "or" für eine Außerkraftsetzung und "fp" für ein falsch positives Ergebnis. Das Feld "sndOverride" ist vorhanden, wenn ein Endbenutzer eine Außerkraftsetzung oder ein falsch positives Ergebnis für eine Regel gemeldet hat.

Optional

Ja

just

Begründung; das Feld ist optional und nur verfügbar, wenn das Feld für die Außerkraftsetzung durch den Absender in der Zeile "TRA=CI" auf "or" festgelegt ist. Die vom Endbenutzer angegebene Begründung für eine Außerkraftsetzung der Datenklassifikation.

just=IW (Zeichenfolge zur Eingabe der Begründung)

Das Feld für die Begründung wird nur protokolliert, wenn der Endbenutzer eine Außerkraftsetzung meldet.

Optional

Ja

ruleId

ID für eine Regel

ruleId=GUID

Erforderlich

Nein

dlpId

ID für eine DLP-Richtlinie. Das Feld ist optional; wenn kein dlpld-Wert vorliegt, gehört die Regel nicht zu einer DLP-Richtlinie.

dlpId=GUID

Optional

Ja

st

Datum der letzten Änderung einer Regel

st=UTC date-time

Erforderlich

Nein

action

Durch eine Regel durchgeführte Aktion; es können mehrere Aktionen pro Regel vorliegen

action=single action

Wenn mehrere Aktionen für eine Regel gelten, gibt es mehrere Aktionsfelder.

Erforderlich

Nein

sev

Überwachungsschweregrad der Regel

sev=1, 2 oder 3

Hierbei steht 1 für niedrig, 2 für mittel und 3 für hoch.

Optional

Nein

mode

Status der Regel bei Auslösung (enforcement, audit oder auditandnotify).

mode=audit, auditandnotify oder enforcement

Erforderlich

Nein

loadW

Wanduhrzeit des Ladevorgangs; das Feld ist optional

loadW=Zeit in Millisekunden

Optional

Nein

loadC

CPU-Zeit des Ladevorgangs; das Feld ist optional

loadC=Zeit in Millisekunden

Optional

Nein

execW

Wanduhrzeit der Ausführung; das Feld ist optional

execW=Zeit in Millisekunden

Optional

Nein

execC

CPU-Zeit der Ausführung; das Feld ist optional

execC=Zeit in Millisekunden

Optional

Nein

Nachrichten-ID

ID der Nachricht

message-id=ID der Nachricht

Erforderlich

Nein

date-time

Datum und Uhrzeit (in Weltzeit) der Übermittlung der Nachricht

date-time=UTC-Datum und -Uhrzeit

Erforderlich

Nein

sender-address

Im Absenderfeld angegebene E-Mail-Adresse

sender-address=E-Mail-Adresse

Erforderlich

Nein

recipient-address

E-Mail-Adresse(n) des bzw. der Nachrichtenempfänger(s)

recipient-address=E-Mail-Adresse

Erforderlich

Nein

message-subject

Daten, die im Feld "Betreff" der Nachricht gefunden wurden

message-subject=Durch den Benutzer eingegebene Betreff-Daten

Erforderlich

Nein

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft