Применение правил защиты от потери данных для оценки сообщений

Exchange 2013
 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2015-03-09

Можно настраивать правила обнаружения конфиденциальной информации в политиках предотвращения потери данных Microsoft Exchange (DLP) для обнаружения определенных данных в сообщениях электронной почты. В этом разделе вы узнаете, как применяются эти правила и как происходит анализ сообщений. Знание механизма работы правил поможет избежать перебоев в работе пользователей электронной почты и добиться высокой точности обнаружения конфиденциальной информации политикой DLP. В качестве примера будем использовать правило корпорации Майкрософт для обнаружения данных о банковских картах. При включении правила транспорта или политики DLP агент правила транспорта Exchange сравнивает все сообщений, отправляемые пользователями, с созданными вами правилами.

Предположим, что правило должно срабатывать для сообщений, содержащих данные о банковских картах. В данном разделе не рассматриваются действия, которые следует предпринять после обнаружения таких данных. Более подробные сведения об этом см. в разделе Почтовые действия правил поток в Exchange Online. Необходимо с наибольшей возможной точностью убедиться в том, что сообщение содержит именно данные о банковской карте, а не какие-либо другие группы цифр, внешне похожие на данные о банковских картах, но на самом деле вполне разрешенные к пересылке по электронной почте, например, коды бронирования или VIN-номера автомобилей. Для этого необходимо четко определить, что наличие в сообщении следующих данных следует рассматривать как наличие данных о банковской карте.

    Бюро путешествий,
    Мы получили новые данные кредитной карты Ивана.
    Ivan Petrov
    Visa: 4111 1111 1111 1111
    Действительно до: 2/2012
    Пожалуйста, обновите данные в его профиле.

Также следует определить, что следующие данные не следует рассматривать как данные о банковской карте.

    Привет, Артем!
    Я тоже буду на Гавайях в это время. Мой код бронирования: 1234 1234 1234 1234, я буду там 3/2012.
    До встречи! Ира

В следующем фрагменте кода XML показано, каким образом указанные выше условия в настоящее время определены в правиле обнаружения конфиденциальной информации в Exchange и встроены в один из готовых шаблонов политик DLP.

<Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085" patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>

Показанное выше определение правила XML содержит сравнение с шаблоном. Это повышает вероятность определения только достоверной информации, а нечеткая информация не будет определена. Дополнительные сведения о схеме XML для правил DLP и шаблонов см. в разделе Определение собственных шаблонов DLP и типов сведений.

В правиле для обнаружения сведений о банковских картах есть раздел кода XML для шаблонов, включающий сравнение основного идентификатора и некоторые дополнительные подтверждающие свидетельства. Все три требования поясняются здесь:

  1. <IdMatch idRef="Func_credit_card" />   — Требуется совпадение функции с именем "credit card", определенной внутри. Эта функция включает следующие проверки:

    1. Она сравнивает регулярное выражение, — в данном случае, 16 цифр, — которое также может содержать определенные отклонения, например, разделитель-пробел (в этом случае сравнение сработает для 4111 1111 1111 1111) или разделитель-дефис (в этом случае сравнение сработает для 4111-1111-1111-1111).

    2. Контрольная сумма 16-значного номера проверяется по алгоритму Луна: это позволяет определить, с какой вероятностью этот номер может быть номером банковской карты.

    3. Требуется обязательное совпадение, после которого проверяется подтверждающее свидетельство.

  2. <Any minMatches="1">   — В этом разделе указывается, что требуется наличие по крайней мере одного из следующих элементов свидетельства.

  3. Подтверждающее свидетельство может быть совпадением с любым их трех следующих элементов:

    <Match idRef="Keyword_cc_verification" />

    <Match idRef="Keyword_cc_name" />

    <Match idRef="Func_expiration_date" />

    Эти три элемента представляют собой просто список ключевых слов для банковских карт, названия банковских карт, а также наличие даты срока действия. Дата срока действия определяется и проверяется в другой функции.

Перечисленные здесь пять шагов соответствуют действиям, которые Exchange выполняет для сравнения сообщении электронной почты. В нашем примере с банковскими картами выполняются следующие действия.

 

Шаг Действие

1. Получение содержимого

Иван Петров

Visa: 4111 1111 1111 1111

Действительно до: 2/2012

2. Анализ регулярных выражений

4111 1111 1111 1111 -> обнаружено 16-разрядное число

3. Функциональный анализ

  • 4111 1111 1111 1111 -> совпадает с контрольной суммой

  • 1234 1234 1234 1234 -> не совпадает

4. Дополнительное подтверждение

  1. Ключевое слово Visa рядом с числом.

  2. Регулярное выражение для даты (2/2012) близко к числу.

5. Заключение

  1. Нет регулярного выражения, совпадающего с контрольной суммой.

  2. Дополнительное подтверждение повышает надежность.

Правило настроено корпорацией Майкрософт таким образом, чтобы подтверждающие свидетельства, такие как ключевые слова, обязательно входили в содержимое электронного сообщения, чтобы это правило срабатывало. Поэтому следующее электронное сообщение не будет определено как содержащее данные банковской карты:

    Бюро путешествий,
    Мы получили новые данные Ивана.
    Иван Петров
    4111 1111 1111 1111
    Пожалуйста, обновите данные в его профиле.

Можно использовать настраиваемое правило, определяющее шаблон без дополнительных свидетельств, как показано в следующем примере. Это правило обнаруживает сообщения только с номером банковской карты, без подтверждающих свидетельств.

      <Pattern confidenceLevel="85">
         <IdMatch idRef="Func_credit_card" />
      </Pattern>
    </Entity>

Правила, работа которых была показана на примере банковских карт в этой статье, можно использовать и для выявления другой конфиденциальной информации. Полный список правил, предоставленных корпорацией Майкрософт в Exchange, можно получать с помощью командлета Get-ClassificationRuleCollection в командной консоли Exchange следующим образом:

$rule_collection = Get-ClassificationRuleCollection
$rule_collection[0].SerializedClassificationRuleCollection | Set-Content oob_classifications.xml -Encoding byte
 
Показ: