Anwenden von DLP-Regeln zum Auswerten von Nachrichten in Exchange Online
Sie können Regeln für vertrauliche Informationen in Ihren Microsoft Exchange-Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) einrichten, um bestimmte Daten in E-Mail-Nachrichten zu erkennen. In diesem Artikel erfahren Sie, wie diese Regeln angewendet werden und wie Nachrichten ausgewertet werden. Sie können Workflowunterbrechungen für Ihre E-Mail-Benutzer vermeiden und ein hohes Maß an Präzision bei Ihren DLP-Erkennungen erzielen, wenn Sie wissen, wie Ihre Regeln durchgesetzt werden. Wir verwenden hier als Beispiel die von Microsoft bereitgestellte Regel für Kreditkarteninformationen. Wenn Sie eine Nachrichtenflussregel (auch als Transportregel bezeichnet) oder DLP-Richtlinie aktivieren, werden alle Nachrichten, die Ihre Benutzer senden, mit den von Ihnen erstellten Regelsätzen verglichen.
Halten Sie sich genau an Ihre Anforderungen
Nehmen wir einmal an, Sie müssen bei Kreditkarteninformationen in den Nachrichten tätig werden. Die Aktionen, die Sie ausführen, nachdem sie gefunden wurden, sind nicht Gegenstand dieses Artikels, aber Sie können mehr darüber unter Nachrichtenflussregelaktionen in Exchange Online erfahren. Sie müssen mit der größtmöglichen Sicherheit gewährleisten, dass es sich bei den in einer Nachricht erkannten Daten tatsächlich um Kreditkartendaten handelt und nicht um etwas anderes, das eine völlig legitime Verwendung von Zahlengruppen ist, die lediglich Kreditkartendaten ähneln, also zum Beispiel ein Buchungscode oder eine Fahrzeug-Identifizierungsnummer.
Um diese Anforderung zu erfüllen, stellen wir klar, dass die folgenden Informationen als Kreditkarte klassifiziert werden sollten:
Margie es Travel,
Ich habe aktuelle Kreditkarteninformationen von Spencer erhalten.
Spencer Badillo
Visa: 4111 1111 1111 1111
Gültig bis: 2/2012
Bitte aktualisiere sein Reiseprofil.
Lassen Sie uns auch klarstellen, dass die folgenden Informationen nicht als Kreditkarte klassifiziert werden sollten.
Hallo Alex,
Ich gehe mal davon aus, dass ich auch nach Hawaii komme. Mein Buchungscode lautet 1234 1234 1234 1234 und ich werde am 3/2018 dort sein.
Beste Grüße, Lisa
Der folgende XML-Codeausschnitt zeigt, wie die zuvor ausgedrückten Anforderungen derzeit in einer Regel für vertrauliche Informationen definiert sind, die mit Exchange bereitgestellt wird und in eine der bereitgestellten DLP-Richtlinienvorlagen eingebettet ist.
<Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085" patternsProximity="300" recommendedConfidence="85">
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
<Any minMatches="1">
<Match idRef="Keyword_cc_verification" />
<Match idRef="Keyword_cc_name" />
<Match idRef="Func_expiration_date" />
</Any>
</Pattern>
</Entity>
Mustervergleich in Ihrer Lösung
Die zuvor gezeigte XML-Regeldefinition enthält einen Mustervergleich, mit dem die Wahrscheinlichkeit steigt, dass die Regel nur die wichtigen Informationen erkennt und keine vagen, nur verwandten Informationen.
In der Kreditkartenregel gibt es einen Abschnitt des XML-Codes für Muster, der eine übereinstimmung mit dem primären Bezeichner und einige zusätzliche bestätigende Beweise enthält. Diese drei Anforderungen werden hier erklärt:
<IdMatch idRef="Func_credit_card" />: Dies erfordert eine Übereinstimmung mit einer Funktion mit dem Titel Kreditkarte, die intern definiert ist. Diese Funktion umfasst ein paar Überprüfungen, nämlich folgende:Es entspricht einem regulären Ausdruck (in diesem Fall für 16 Ziffern), der auch Variationen wie ein Leerzeichen enthalten kann, sodass er auch 4111 1111 1111 1111 oder ein Bindestrichtrennzeichen entspricht, sodass er auch 4111-1111-1111-1111 entspricht.
Sie wertet die Prüfsumme nach dem Lhun-Algorithmus gegen die 26-stellige Nummer aus, um mit hoher Wahrscheinlichkeit zu gewährleisten, dass es sich um eine Kreditkartennummer handelt.
Sie erfordert eine zwingende Übereinstimmung, und danach wird der bestätigende Nachweis ausgewertet.
<Any minMatches="1">: In diesem Abschnitt wird angegeben, dass mindestens einer der folgenden Nachweise erforderlich ist.Der bestätigende Nachweis kann eine Übereinstimmung bei einem der folgenden drei sein:
<Match idRef="Keyword_cc_verification"><Match idRef="Keyword_cc_name"><Match idRef="Func_expiration_date">
Diese drei bedeuten ganz einfach eine Liste von Schlüsselwörtern für Kreditkarten, die Namen der Kreditkarten oder die Notwendigkeit eines Ablaufdatums. Das Ablaufdatum wird intern als eine weitere Funktion definiert und ausgewertet.
Der Prozess des Auswertens von Inhalten in Bezug auf Regeln
Die hier gezeigten fünf Schritte repräsentieren Aktionen, die Exchange durchführt, um Ihre Regel mit E-Mails zu vergleichen. Für unser Beispiel mit der Kreditkartennummer werden die nachfolgend angegebenen Schritte durchgeführt.
| Schritt | Aktion |
|---|---|
| 1. Inhalt abrufen | Spencer Badillo p> Visa: 4111 1111 1111 1111 Gültig bis: 2/2012 |
| 2. Analyse regulärer Ausdrücke | 4111 1111 1111 1111 -> eine 16-stellige Zahl wird erkannt |
| 3. Funktionsanalyse | 4111 1111 1111 1111 -> stimmt mit Prüfsumme überein 1234 1234 1234 1234 -> stimmt nicht überein |
| 4. Zusätzlicher Nachweis | |
| Das Schlüsselwort "Visa" ist der Zahl nahe. Ein regulärer Ausdruck für das Datum (2/2012) ist der Zahl nahe. | |
| 5. Erkenntnis | |
| Es gibt einen regulären Ausdruck, der mit einer Prüfsumme übereinstimmt. Weitere Nachweise erhöhen das Vertrauen. |
Durch die Art, wie diese Regel von Microsoft eingerichtet wurde, wird vorausgesetzt, dass bestätigende Nachweise wie z. B. Schlüsselwörter Bestandteil des Inhalts der E-Mail-Nachricht sind, damit die Regel eine Übereinstellung erkennt. Daher wird der folgende E-Mail-Inhalt nicht als mit einer Kreditkarte erkannt:
Margie es Travel,
Ich habe aktuelle Informationen von Spencer erhalten.
Spencer Burillo
4111 1111 1111 1111
Bitte aktualisiere sein Reiseprofil.
Sie können eine benutzerdefinierte Regel einsetzen, mit der ein Muster ohne zusätzliche Nachweise definiert wird, wie das im nächsten Beispiel gezeigt wird. Damit würden Meldungen erkannt werden, die nur die Kreditkartennummer enthält und keine weiteren Nachweise.
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
</Pattern>
</Entity>
Das Beispiel der Kreditkartennummern in diesem Artikel kann auch auf andere Regeln für vertrauliche Informationen ausgeweitet werden. Um die vollständige Liste der von Microsoft bereitgestellten Regeln in Exchange anzuzeigen, verwenden Sie das Cmdlet Get-ClassificationRuleCollection in Exchange Online PowerShell wie folgt:
$rule_collection = Get-ClassificationRuleCollection
$rule_collection[0].SerializedClassificationRuleCollection | [System.IO.File]::WriteAllBytes('oob_classifications.xml', $file.FileData)