Comment les règles DLP sont appliquées pour évaluer les messages dans Exchange Online

  • Article

Vous pouvez configurer des règles d’informations sensibles dans vos stratégies de protection contre la perte de données (DLP) Microsoft Exchange pour détecter des données spécifiques dans les messages électroniques. Cet article vous aidera à comprendre comment ces règles sont appliquées et comment les messages sont évalués. Vous pouvez éviter les interruptions de flux de travail pour les utilisateurs de la messagerie et atteindre un haut degré de précision dans les détections DLP si vous savez comment vos règles sont appliquées. Nous allons utiliser la règle relative aux informations de carte de crédit fournie par Microsoft comme exemple. Lorsque vous activez une règle de flux de courrier (également appelée règle de transport) ou une stratégie DLP, tous les messages envoyés par vos utilisateurs sont comparés aux ensembles de règles que vous créez.

Préciser les besoins

Supposons que vous devez agir sur les informations de carte de crédit dans les messages. Les actions que vous effectuez une fois trouvées ne font pas l’objet de cet article, mais vous pouvez en savoir plus à ce sujet dans Actions de règle de flux de messagerie dans Exchange Online. Vous devez vous assurer avec un maximum de certitude que les éléments détectés dans un message sont de véritables données de carte de crédit et non l'utilisation légitime de groupes de chiffres qui ressemblent à des données de carte de crédit (par exemple, un code de réservation ou un numéro d'immatriculation).

Pour répondre à ce besoin, précisons que les informations suivantes doivent être classées comme une carte de crédit :

Margie’s Travel,
J'ai reçu des informations de carte de crédit mises à jour pour Christian.
Christian Lacombe
Visa : 4111 1111 1111 1111
Expire fin : 2/2012
Veuillez mettre à jour son profil de voyage.

Précisons également que les informations suivantes ne doivent pas être classifiées comme une carte de crédit.

Bonjour Alex,
J'espère également être à Hawaii. Mon code de réservation est 1234 1234 1234 1234 et je serai là le 3/2018.
    Cordialement, Camille

L’extrait de code XML suivant montre comment les besoins exprimés précédemment sont actuellement définis dans une règle d’informations sensibles fournie avec Exchange et incorporée dans l’un des modèles de stratégie DLP fournis.

<Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085" patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>

Critères spéciaux dans votre solution

La définition de règle XML présentée précédemment inclut la correspondance des modèles, ce qui améliore la probabilité que la règle détecte uniquement les informations importantes et non pas les informations associées vagues.

Dans la règle de carte de crédit, il existe une section du code XML pour les modèles, qui inclut une correspondance d’identificateur principal et des preuves corroboratives supplémentaires. Ces trois exigences sont expliquées ici :

  1. <IdMatch idRef="Func_credit_card" /> : cela nécessite une correspondance d’une fonction, intitulée carte de crédit, définie en interne. Cette fonction comprend les validations suivantes :

  2. Il correspond à une expression régulière (dans ce cas pour 16 chiffres) qui peut également inclure des variantes comme un délimiteur d’espace afin qu’elle corresponde également à 4111 1111 1111 1111 ou un délimiteur de trait d’union afin qu’il corresponde également à 4111-1111-1111-1111.

  3. Elle évalue l'algorithme de somme de contrôle de Lhun par rapport au nombre à 16 chiffres, afin de garantir avec un maximum de certitude qu'il s'agit d'un numéro de carte de crédit.

  4. Elle exige une correspondance obligatoire, après quoi la preuve corroborante est évaluée.

  5. <Any minMatches="1">: cette section indique que la présence d’au moins l’un des éléments de preuve suivants est requise.

  6. La preuve corroborante peut résider dans la correspondance de l'une de ces trois fonctions :

    • <Match idRef="Keyword_cc_verification">

    • <Match idRef="Keyword_cc_name">

    • <Match idRef="Func_expiration_date">

    Ces trois éléments indiquent simplement le caractère obligatoire d'une liste de mots clés pour les cartes de crédit, du nom des cartes de crédit ou d'une date d'expiration. La date d’expiration est définie et évaluée en interne comme une autre fonction.

Processus d’évaluation du contenu par rapport aux règles

Ces cinq étapes représentent les actions que Exchange effectue pour comparer votre règle aux messages électroniques. Dans notre exemple de règle de carte de crédit, les étapes réalisées sont les suivantes.

Étape Action
1. Obtention du contenu Spencer Badillo p> Visa: 4111 1111 1111 1111

Expire fin : 2/2012
2. Analyse d'expressions régulières 4111 1111 1111 1111 -> un nombre de 16 chiffres est détecté
3. Analyse de fonctions 4111 1111 1111 1111 -> correspond à la somme de contrôle

1234 1234 1234 1234 -> ne correspond pas
4. Éléments de preuve supplémentaires
Le mot clé Visa est proche des chiffres. Une expression régulière pour une date (2/2012) est proche des chiffres.
5. Verdict
Il existe une expression régulière qui correspond à une somme de contrôle. Les éléments de preuve supplémentaires augmentent le niveau de confiance.

La façon dont cette règle est configurée par Microsoft oblige les preuves corroborantes (comme les mots clés) à faire partie du contenu du message électronique afin de correspondre à la règle. Par conséquent, le contenu de l’e-mail suivant ne serait pas détecté comme contenant une carte de crédit :

Margie’s Travel,
J'ai reçu des informations mises à jour pour Christian.
Christian Lacombe
4111 1111 1111 1111
Veuillez mettre à jour son profil de voyage **.

Vous pouvez utiliser une règle personnalisée qui définit un modèle sans preuve supplémentaire, comme le montre l'exemple suivant. Cela permet de détecter les messages contenant uniquement le numéro de carte de crédit et aucune preuve corroborante.

      <Pattern confidenceLevel="85">
         <IdMatch idRef="Func_credit_card" />
      </Pattern>
    </Entity>

L'exemple de cartes de crédit dans le présent article peut également être étendu à d'autres règles relatives aux informations sensibles. Pour afficher la liste complète des règles fournies par Microsoft dans Exchange, utilisez l’applet de commande Get-ClassificationRuleCollection dans Exchange Online PowerShell de la manière suivante :

$rule_collection = Get-ClassificationRuleCollection
$rule_collection[0].SerializedClassificationRuleCollection | [System.IO.File]::WriteAllBytes('oob_classifications.xml', $file.FileData)

Pour plus d'informations

Protection contre la perte de données

Règles de flux de messagerie (règles de transport) dans Exchange Online

Exchange Online PowerShell