Anzeigen von DLP-Richtlinienerkennungsberichten

Gilt für: Exchange Server 2013

Die DLP-Richtlinienerkennungsverwaltung (Data Loss Prevention, Verhinderung von Datenverlust) definiert die Maßnahmen, die eine Organisation ergreift, um Verstöße gegen DLP-Richtlinien zu identifizieren, zu untersuchen und zu beheben. Zum Verwalten von Vorfällen müssen Sie auf die Informationen zugreifen, welche die von den DLP-Richtlinien erkannten Verstöße identifizieren. Diese Erkennungsinformationen ist in vorhandene Microsoft Exchange Server 2013-Daten- und Protokollformate integriert, sodass Sie auf ein vorhandenes, umfangreiches Datensystem zur Verwaltung von Vorfällen im Zusammenhang mit dem E-Mail-Fluss zurückgreifen können.

Informationen zur Erstellung eines Schadensberichts zusammen mit einem einzigen Ereignis zur Richtlinienerkennung finden Sie unter Erstellen von Schadensberichten für DLP-Richtlinienerkennungen. Weitere Informationen zu Nachrichtenprotokollen finden Sie unter Nachverfolgen von Nachrichten mit Zustellungsberichten.

Hinweis

Exchange 2013: DLP ist ein Premium-Feature, für das eine Exchange Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Weitere Informationen zu CALs und Serverlizenzierung finden Sie unter Häufig gestellte Fragen zur Exchange-Lizenzierung.

Überwachungsinformationen

Die Daten in Bezug auf das DLP-Erkennungsmanagement in Exchange sind in die Protokolle zur Nachrichtenverfolgung, die so genannten Zustellungsberichte, integriert. Die Funktionen greifen in hohem Maße auf das vorhandene Protokollierungsframework zurück, das im System verfügbar ist. Allgemeine Informationen, einschließlich grundlegender Informationen zur Struktur der Protokolldateien für die Nachrichtenverfolgung, finden Sie im Artikel Grundlegendes zur Nachrichtenverfolgung oder unter Nachverfolgen von Nachrichten mit Zustellungsberichten.

Der Zustellungsbericht ist ein detailliertes Protokoll der gesamten Nachrichtenaktivität, die beim Übertragen von Nachrichten von einem Computer und an einen Computer auftritt, auf dem der Transportdienst im Postfachserver ausgeführt wird. Das Protokoll für die Nachrichtenverwaltung kann über die Exchange-Verwaltungsshell aufgerufen werden, indem Sie das Cmdlet Get-MessageTrackingLog verwenden. DLP-Daten sind in den Zustellungsbericht integriert und entsprechen den vorhandenen Datenformaten und -konventionen.

Format für die Datenprotokollierung

Protokolle zur Nachrichtenverfolgung enthalten Daten der Agents, die an der Verarbeitung der Inhalte für den Nachrichtenfluss beteiligt sind. Für DLP wird der Transportregel-Agent dazu verwendet, eine eingehende Analyse von Nachrichteninhalten zu starten und die im Rahmen der ETRs definierten Richtlinien anzuwenden. Der vorhandene AgentInfo-Ereignis wird dazu verwendet, DLP-bezogene Einträge zum Protokoll für die Nachrichtenverfolgung hinzuzufügen.

Der Name des Agents lautet im AgentInfo-Ereignis TRA oder Transportregel-Agent. Pro Nachricht wird ein einzelnes AgentInfo-Ereignis protokolliert und beschreibt die auf die Nachricht angewendete DLP-Verarbeitung. Das Feld CustomData eines Protokolleintrags für die Nachrichtenverfolgung zeigt die vom Transportregel-Agent protokollierten DLP-Daten. Dieses Feld kann mehrere Einträge umfassen: eine Zeile für Datenklassifikation und Clientinformationen für jede in der Nachricht gefundene Datenklassifikation, eine Regelzeile für jede auf die Nachricht angewendete Regel und eine Zeile für die Integritätsüberwachung für jede Regel, für die der Schwellenwert für Last oder Ausführungszeit überschritten wird.

Nachfolgend wird ein Beispiel für einen DLP-Protokolleintrag gezeigt. Die Ausgabe wurde formatiert, um Zeichenfolgen in separaten Zeilen mit Leerzeilen anzuzeigen.

Source: AGENT

EventId: AGENTINFO

CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

Der Transportregel-Agent erfordert eine Gruppierung von Regel-ID, DLP-Richtlinien-ID (optional), Datum der letzten Änderung, Aktion, Schweregrad, Modus, erkannte Datenklassifikation (optional) und Außerkraftsetzung durch Absender (optional) basierend auf Regel-ID (angezeigt durch "TRA=ETR" in der Protokollzeile). Darüber hinaus müssen Datenklassifikations-ID, Anzahl und Bewertung von Klassifikationen nach Klassifikationsname gruppiert werden (angezeigt durch "TRA=DC" in der Protokollzeile).

Zusätzliche Gruppierungen umfassen Datenklassifikations-ID, Außerkraftsetzung durch Absender (optional) und Begründung für Außerkraftsetzung (optional) basierend auf der Datenklassifikations-ID für alle Klassifikationen, die auf dem Client erkannt wurden (angezeigt durch "TRA=CI" in der Protokollzeile). Der Transportregel-Agent erfordert außerdem eine Gruppierung von Regel-ID, Wanduhrzeit des Ladevorgangs (optional), CPU-Zeit des Ladevorgangs (optional), Wanduhrzeit der Ausführung (optional) und CPU-Zeit der Ausführung (optional) nach Regel-ID für alle Regeln, die die Schwellenwerte für die Wanduhr- oder CPU-Zeit des Lade- oder Ausführungsvorgangs überschreiten (angezeigt durch "TRA=ETRP" in der Protokollzeile).

Es folgt eine vollständige Liste dieser Datenfelder. Alle Daten im Protokoll für die Nachrichtenverfolgung sind vom Typ "string". Die Spalte "Format" beschreibt, wie jedes Feld im Protokoll für die Nachrichtenverfolgung erkannt wird. Die Spalte "Optionales Feld" gibt an, welche Felder bei einer Regelübereinstimmung möglicherweise nicht protokolliert werden. Die Spalte "DLP-spezifisch" zeigt, welche Felder speziell für die DLP-Funktion verwendet werden.

Feld Beschreibung Format Optionales Feld DLP-spezifisch
TRA Transportregel-Agent, Typ: AgentName TRA=DC, ETR, CI oder ETRP Erforderlich Nein
Gleichstrom Datenklassifikation; Typ: groupName TRA=DC Optional Ja
ETR Exchange-Transportregel; Typ: groupName TRA=ETR Erforderlich Nr.
CI Clientinformationen; Typ: groupName TRA=CI Optional Ja
ETRP Leistung der Exchange-Transportregel; Typ: groupName TRA=ETRP Optional Nr.
dcid ID der Datenklassifikation dcid=GUID Optional Ja
count Anzahl von Datenklassifikationen count=Integer Optional Ja
conf Bewertung der Datenklassifikation conf=Integer (Prozent) Optional Ja
sndOverride Außerkraftsetzung durch Absender; dieses Feld ist optional.

Wenn in der Zeile "TRA=CI" das Feld auf "or" festgelegt ist, bedeutet dies, dass die Datenklassifikation außer Kraft gesetzt wurde. Wenn das Feld auf "fp" festgelegt ist, wurde die Datenklassifikation als falsch positiv markiert.

Wenn das Feld in der Zeile "TRA=ETR" auf "or" festgelegt ist, wurde die Regel oder ein Teil der Regel außer Kraft gesetzt. Wenn das Feld auf "fp" festgelegt ist, wurde die Regel oder ein Teil der Regel als falsch positiv markiert.
sndOverride=or oder fp

Hierbei steht "or" für eine Außerkraftsetzung und "fp" für ein falsch positives Ergebnis. Das Feld "sndOverride" ist vorhanden, wenn ein Endbenutzer eine Außerkraftsetzung oder ein falsch positives Ergebnis für eine Regel gemeldet hat.
Optional Ja
just Begründung; das Feld ist optional und nur verfügbar, wenn das Feld für die Außerkraftsetzung durch den Absender in der Zeile "TRA=CI" auf "or" festgelegt ist. Die vom Endbenutzer angegebene Begründung für eine Außerkraftsetzung der Datenklassifikation. just=IW (Zeichenfolge zur Eingabe der Begründung)

Das Feld für die Begründung wird nur protokolliert, wenn der Endbenutzer eine Außerkraftsetzung meldet.
Optional Ja
ruleId ID für eine Regel ruleId=GUID Erforderlich Nr.
dlpId ID für eine DLP-Richtlinie. Das Feld ist optional; wenn kein dlpld-Wert vorliegt, gehört die Regel nicht zu einer DLP-Richtlinie. dlpId=GUID Optional Ja
st Datum der letzten Änderung einer Regel st=UTC date-time Erforderlich Nr.
action Durch eine Regel durchgeführte Aktion; es können mehrere Aktionen pro Regel vorliegen action=single action

Wenn mehrere Aktionen für eine Regel gelten, gibt es mehrere Aktionsfelder.
Erforderlich Nr.
sev Überwachungsschweregrad der Regel sev=1, 2 oder 3

Hierbei steht 1 für niedrig, 2 für mittel und 3 für hoch.
Optional Nr.
mode Status der Regel bei Auslösung (enforcement, audit oder auditandnotify). mode=audit, auditandnotify oder enforcement Erforderlich Nr.
loadW Wanduhrzeit des Ladevorgangs; das Feld ist optional loadW=Zeit in Millisekunden Optional Nr.
loadC CPU-Zeit des Ladevorgangs; das Feld ist optional loadC=Zeit in Millisekunden Optional Nr.
execW Wanduhrzeit der Ausführung; das Feld ist optional execW=Zeit in Millisekunden Optional Nr.
execC CPU-Zeit der Ausführung; das Feld ist optional execC=Zeit in Millisekunden Optional Nr.
Nachrichten-ID ID der Nachricht message-id=ID der Nachricht Erforderlich Nr.
date-time Datum und Uhrzeit (in Weltzeit) der Übermittlung der Nachricht date-time=UTC-Datum und -Uhrzeit Erforderlich Nr.
sender-address Im Absenderfeld angegebene E-Mail-Adresse sender-address=E-Mail-Adresse Erforderlich Nr.
recipient-address E-Mail-Adresse(n) des bzw. der Nachrichtenempfänger(s) recipient-address=E-Mail-Adresse Erforderlich Nr.
message-subject Daten, die im Feld "Betreff" der Nachricht gefunden wurden message-subject=Durch den Benutzer eingegebene Betreff-Daten Erforderlich Nein

Weitere Informationen

Verhinderung von Datenverlust

Erstellen von Schadensberichten für DLP-Richtlinienerkennungen

Nachverfolgen von Nachrichten mit Zustellungsberichten