Применение правил защиты от потери данных для оценки сообщений в Exchange Online
Вы можете настроить правила конфиденциальной информации в политиках защиты от потери данных Microsoft Exchange (DLP) для обнаружения определенных данных в сообщениях электронной почты. Эта статья поможет вам понять, как применяются эти правила и как оцениваются сообщения. Знание механизма работы правил поможет избежать перебоев в работе пользователей электронной почты и добиться высокой точности обнаружения конфиденциальной информации политикой DLP. В качестве примера будем использовать правило корпорации Майкрософт для обнаружения данных о банковских картах. При активации правила потока обработки почты (также известного как правило транспорта) или политики защиты от потери данных все сообщения, отправляемые пользователями, сравниваются с создаваемыми наборами правил.
Необходимо точно сформулировать условия
Предположим, что вам нужно действовать с данными кредитной карты в сообщениях. Действия, выполняемые после его обнаружения, не рассматриваются в этой статье, но вы можете узнать больше об этом в статье Действия правила потока почты в Exchange Online. С максимальной уверенностью, насколько это возможно, необходимо убедиться, что то, что обнаруживается в сообщении, является действительно данными кредитных карт, а не чем-то другим, что может быть законным использованием групп чисел, которые просто напоминают данные кредитных карт; например, код резервирования или идентификационный номер транспортного средства.
Чтобы удовлетворить эту потребность, давайте проясним, что следующие сведения должны быть классифицированы как кредитная карта:
Путешествие Марджи,
Мы получили новые данные кредитной карты Ивана.
Ivan Petrov
Visa: 4111 1111 1111 1111
Действительно до: 2/2012
Пожалуйста, обновите данные в его профиле.
Давайте также дадим понять, что следующие сведения не следует классифицировать как кредитную карту.
Привет, Алекс,
Я тоже буду на Гавайях в это время. Мой код бронирования 1234 1234 1234 1234, и я буду там 03/2018.
С уважением, Лиза
В следующем фрагменте XML-кода показано, как потребности, выраженные ранее, в настоящее время определены в правиле конфиденциальной информации, которое предоставляется в Exchange и внедрено в один из предоставленных шаблонов политик защиты от потери данных.
<Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085" patternsProximity="300" recommendedConfidence="85">
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
<Any minMatches="1">
<Match idRef="Keyword_cc_verification" />
<Match idRef="Keyword_cc_name" />
<Match idRef="Func_expiration_date" />
</Any>
</Pattern>
</Entity>
Сравнение по шаблону в нашем решении
Приведенное выше определение правила XML включает сопоставление шаблонов, что повышает вероятность того, что правило будет обнаруживать только важную информацию и не обнаруживать нечеткие связанные сведения.
В правиле кредитной карты есть раздел КОДА XML для шаблонов, который включает в себя основное совпадение идентификатора и некоторые дополнительные подтверждающие доказательства. Все три требования поясняются здесь:
<IdMatch idRef="Func_credit_card" />: для этого требуется соответствие функции под названием кредитная карта, которая определена внутри. Эта функция включает следующие проверки:Он соответствует регулярному выражению (в данном случае для 16 цифр), которое также может включать такие варианты, как разделитель пространства, чтобы оно также соответствовало 4111 1111 1111 1111 или разделителю дефиса, чтобы оно также соответствовало 4111-1111-1111-1111.1111.
Контрольная сумма 16-значного номера проверяется по алгоритму Луна: это позволяет определить, с какой вероятностью этот номер может быть номером банковской карты.
Требуется обязательное совпадение, после которого проверяется подтверждающее свидетельство.
<Any minMatches="1">: в этом разделе указано, что требуется наличие по крайней мере одного из следующих элементов доказательства.Подтверждающее свидетельство может быть совпадением с любым их трех следующих элементов:
<Match idRef="Keyword_cc_verification"><Match idRef="Keyword_cc_name"><Match idRef="Func_expiration_date">
Эти три элемента представляют собой просто список ключевых слов для банковских карт, названия банковских карт, а также наличие даты срока действия. Дата срока действия определяется и проверяется в другой функции.
Процесс проверки содержимого с помощью правил
Перечисленные здесь пять шагов соответствуют действиям, которые Exchange выполняет для сравнения сообщении электронной почты. В нашем примере с банковскими картами выполняются следующие действия.
| Шаг | Действие |
|---|---|
| 1. Получение содержимого | Спенсер Бадильо> P Виза: 4111 1111 1111 1111 Действительно до: 2/2012 |
| 2. Анализ регулярных выражений | 4111 1111 1111 1111 -> обнаружено 16-разрядное число |
| 3. Функциональный анализ | 4111 1111 1111 1111 -> совпадает с контрольной суммой 1234 1234 1234 1234 -> не совпадает |
| 4. Дополнительное подтверждение | |
| Ключевое слово Visa рядом с числом. Регулярное выражение для даты (2/2012) близко к числу. | |
| 5. Заключение | |
| Существует регулярное выражение, соответствующее контрольной сумме. Дополнительное подтверждение повышает надежность. |
Правило настроено корпорацией Майкрософт таким образом, чтобы подтверждающие свидетельства, такие как ключевые слова, обязательно входили в содержимое электронного сообщения, чтобы это правило срабатывало. Таким образом, следующее содержимое электронной почты не будет обнаружено как содержащее кредитную карту:
Путешествие Марджи,
Мы получили новые данные Ивана.
Иван Петров
4111 1111 1111 1111
Пожалуйста, обновите данные в его профиле.
Можно использовать настраиваемое правило, определяющее шаблон без дополнительных свидетельств, как показано в следующем примере. Это правило обнаруживает сообщения только с номером банковской карты, без подтверждающих свидетельств.
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
</Pattern>
</Entity>
Правила, работа которых была показана на примере банковских карт в этой статье, можно использовать и для выявления другой конфиденциальной информации. Чтобы просмотреть полный список правил, предоставляемых Корпорацией Майкрософт, в Exchange используйте командлет Get-ClassificationRuleCollection в Exchange Online PowerShell следующим образом:
$rule_collection = Get-ClassificationRuleCollection
$rule_collection[0].SerializedClassificationRuleCollection | [System.IO.File]::WriteAllBytes('oob_classifications.xml', $file.FileData)
Дополнительные сведения
Правила потока обработки почты (правила транспорта) в Exchange Online