Visualizzazione dei report di rilevamento dei criteri di prevenzione della perdita dei dati
Si applica a: Exchange Server 2013
La gestione del rilevamento dei criteri di prevenzione della perdita dei dati definisce in modo ampio le attività eseguite da un'organizzazione per identificare, analizzare e risolvere le violazioni dei criteri DLP. Per gestire gli eventi imprevisti, è necessario accedere a informazioni che identificano ciò che è stato rilevato dai criteri di prevenzione della perdita dei dati. Queste informazioni di rilevamento sono integrate con i formati di dati e log Microsoft Exchange Server 2013 esistenti, in modo da poter sfruttare un sistema di dati completo esistente per gestire gli eventi imprevisti del flusso di posta.
Per informazioni sulla creazione di un report sugli eventi imprevisti insieme a un singolo evento di rilevamento dei criteri, vedere Creare report sugli eventi imprevisti per i rilevamenti dei criteri DLP. Per altre informazioni sui log dei messaggi, vedere Tenere traccia dei messaggi con i report di recapito.
Nota
Exchange 2013: Prevenzione perdita dati (DLP) è una funzionalità premium che richiede una licenza di accesso client (CAL, Client Access License) di Enterprise di Exchange. Per altre informazioni sulle licenze CAL e sui server, vedere Domande frequenti sulle licenze di Exchange.
Informazioni di controllo
I dati relativi alla gestione del rilevamento DLP in Exchange sono integrati nei log di rilevamento dei messaggi, noti anche come report di recapito. Le funzionalità riutilizzano gran parte del framework di registrazione esistente disponibile nel sistema. Per informazioni generali, inclusa la comprensione della struttura dei file di log di rilevamento dei messaggi, esaminare il contenuto esistente in Informazioni sul rilevamento deimessaggi o Tenere traccia dei messaggi con i report di recapito.
Il report di recapito è un log dettagliato di tutte le attività dei messaggi quando i messaggi vengono trasferiti da e verso un computer che esegue il servizio Trasporto in un server Cassette postali. È possibile accedere al log di rilevamento dei messaggi tramite Exchange Management Shell usando il cmdlet Get-MessageTrackingLog . I dati DLP sono integrati nel report di recapito seguendo i formati e le convenzioni di dati esistenti.
Formato di registrazione dati
I log di rilevamento dei messaggi contengono i dati degli agenti coinvolti nell'elaborazione del contenuto del flusso di posta. Per la prevenzione della perdita dei dati, l'agente della regola di trasporto (TRA) viene usato per richiamare l'analisi approfondita del contenuto dei messaggi e per applicare i criteri definiti come parte degli ETP. L'evento AgentInfo esistente viene usato per aggiungere voci correlate alla prevenzione della perdita dei dati nel log di rilevamento dei messaggi.
Il nome dell'agente sarà TRA o Transport Rule Agent nell'evento AgentInfo. Verrà registrato un singolo evento AgentInfo per ogni messaggio che descrive l'elaborazione DLP applicata al messaggio. Il campo CustomData del campo di immissione del log di rilevamento messaggi è il punto in cui verranno visualizzati i dati DLP registrati dall'agente della regola di trasporto. Questo campo può contenere più voci: una classificazione dei dati e una riga di informazioni client per ogni classificazione dei dati trovata nel messaggio, una riga di regola per ogni regola applicabile al messaggio e una riga di monitoraggio dell'integrità per ogni regola che supera la soglia del tempo di caricamento o di esecuzione.
Un esempio della voce del log DLP viene visualizzato qui. L'output è stato formattato in modo da visualizzare le stringhe in righe separate con nuove righe.
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
L'agente della regola di trasporto richiede il raggruppamento dell'ID regola, dell'ID criterio DLP (facoltativo), della data dell'ultima modifica, dell'azione, della gravità, della modalità, della classificazione dei dati rilevata (facoltativa) e dell'override del mittente (facoltativo) in base all'ID regola (indicato da "TRA=ETR" nella riga di log). Richiede anche che l'ID di classificazione dei dati, il conteggio e il livello di attendibilità delle classificazioni siano raggruppati in base al nome di classificazione (indicato da "TRA=DC" nella riga di log).
I raggruppamenti aggiuntivi includono l'ID di classificazione dei dati, l'override del mittente (facoltativo) e la giustificazione dell'override (facoltativo) in base all'ID di classificazione dei dati per tutte le classificazioni rilevate nel client (indicato da "TRA=CI" nella riga di log). L'agente della regola di trasporto richiede anche che l'ID regola, l'orologio a muro di carico (facoltativo), il clock della CPU di caricamento (facoltativo), l'orologio a muro di esecuzione (facoltativo) e l'orologio della CPU di esecuzione (facoltativo) siano raggruppati in base all'ID regola per tutte le regole che superano le soglie di caricamento o esecuzione del muro o del clock della CPU (indicate da "TRA=ETRP" nella riga di log).
Di seguito è riportato un elenco completo dei campi dati. Tutti i dati in MTL sono di tipo string. La colonna Format descrive come riconoscere ogni campo nel log di rilevamento messaggi. La colonna Campo facoltativo specifica quali campi potrebbero non essere registrati quando una regola corrisponde. Colonna specifica DLP che mostra i campi specifici della funzionalità DLP.
| Nome del campo | Descrizione | Formato | Campo facoltativo | Specifica DLP |
|---|---|---|---|---|
| TRA | Agente della regola di trasporto; type AgentName | TRA=DC, ETR, CI o ETRP | Obbligatorio | No |
| Dc | Classificazione dei dati; type groupName | TRA=DC | Facoltativo | Sì |
| Etr | Regola di trasporto di Exchange; type groupName | TRA=ETR | Obbligatorio | No |
| CI | Informazioni client, tipo groupName | TRA=CI | Facoltativo | Sì |
| ETRP | Prestazioni delle regole di trasporto di Exchange; type groupName | TRA=ETRP | Facoltativo | No |
| dcid | ID della classificazione dei dati | dcid=GUID | Facoltativo | Sì |
| Conteggio | Conteggio della classificazione dei dati | count=Integer | Facoltativo | Sì |
| conf | Livello di attendibilità della classificazione dei dati | conf=Integer (Percent) | Facoltativo | Sì |
| sndOverride | Override del mittente; il campo è facoltativo. Nella riga TRA=CI, quando il campo è impostato su "o" indica che la classificazione dei dati è stata sottoposta a override. Se il campo è impostato su "fp" significa che la classificazione dei dati è stata segnalata come falso positivo. Nella riga TRA=ETR, quando il campo è impostato su "o" indica che la regola o parte della regola è stata sottoposta a override. Se il campo è impostato su "fp" indica che la regola o parte della regola è stata segnalata come falso positivo. |
sndOverride=o o fp Dove "or" rappresenta override e "fp" significa falso positivo. Il campo sndOverride è presente quando un utente finale ha segnalato un override o un falso positivo per una regola. |
Facoltativo | Sì |
| Solo | Giustificazione; il campo è facoltativo e disponibile solo quando il campo di sostituzione del mittente è uguale a "o" nella riga TRA=CI. Testo di giustificazione fornito dall'utente finale come motivo per cui la classificazione dei dati deve essere sottoposta a override. | just=IW input justification string Il campo di giustificazione viene registrato solo quando l'utente finale segnala un override. |
Facoltativo | Sì |
| ruleId | ID per una regola | ruleId=GUID | Obbligatorio | No |
| dlpId | ID per un criterio DLP. Il campo è facoltativo; se non è presente alcun dlpId, la regola non appartiene a un criterio DLP. | dlpId=GUID | Facoltativo | Sì |
| San | Data ultima modifica di una regola | st=UTC data-ora | Obbligatorio | No |
| action | Azione eseguita da una regola; potrebbero avere più azioni per regola | action=singola azione Se sono applicate più azioni per una regola, saranno presenti più campi azione. |
Obbligatorio | No |
| Sev | Controllare la gravità della regola | sev=1, 2 o 3 Dove 1 rappresenta basso, 2 è medio e 3 significa alto. |
Facoltativo | No |
| Modalità | Stato della regola quando è stata raggiunta (imposizione, controllo o auditandnotify). | mode=audit, auditandnotify o enforcement | Obbligatorio | No |
| loadW | Carica orologio a muro; il campo è facoltativo | loadW=time in ms | Facoltativo | No |
| loadC | Carica orologio CPU; il campo è facoltativo | loadC=time in ms | Facoltativo | No |
| execW | Esegui orologio a muro; il campo è facoltativo | execW=time in ms | Facoltativo | No |
| execC | Eseguire il clock della CPU; il campo è facoltativo | execC=time in ms | Facoltativo | No |
| message-id | ID del messaggio | message-id=ID del messaggio | Obbligatorio | No |
| Data-ora | Data e ora in cui il messaggio è stato inviato in ora universale | date-time=UTC date-time | Obbligatorio | No |
| sender-address | Email indirizzo specificato nel campo mittente | sender-address=Email address | Obbligatorio | No |
| destinatario-indirizzo | Email indirizzo o gli indirizzi dei destinatari del messaggio | recipient-address=Email address | Obbligatorio | No |
| oggetto del messaggio | Dati trovati nel campo dell'oggetto del messaggio | message-subject=end-user input subject string | Obbligatorio | No |
Ulteriori informazioni
Prevenzione della perdita di dati
Creare i rapporti operazioni non consentite per i rilevamenti di criteri DLP