Просмотр отчетов об обнаружении политик защиты от потери данных

Exchange 2013
 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-12-16

Управление обнаружением политики защиты от утечки данных (DLP) дает широкое определение действий, выполняемых организацией для идентификации, изучения и устранения нарушений политики DLP. Для управления инцидентами вам необходим доступ к сведениям о данных, для защиты которых использовались политики DLP. Эти сведения об обнаружении интегрированы в существующие форматы данных и журналов Microsoft Exchange Server 2013, что позволяет использовать текущую полнофункциональную систему данных для управления инцидентами потока обработки почты.

Дополнительные сведения о создании отчета об инциденте и событии обнаружения отдельной политики см. в разделе Создание отчетов об инцидентах для обнаружений политики DLP. Дополнительные сведения о журналах сообщений см. в разделе Отслеживание сообщений при помощи отчетов о доставке.

ПримечаниеПримечание.
В Exchange 2013 защита от потери данных — дополнительная возможность, для использования которой требуется корпоративная клиентская лицензия (CAL) на Exchange. Дополнительные сведения о клиентских лицензиях и лицензировании серверов см. в статье о лицензировании Exchange Server.

Данные, связанные с управлением обнаружением политики DLP в службе Exchange, интегрируются в журналы отслеживания сообщений, также называемыми отчетами о доставке. В этих возможностях повторно используется значительная часть существующей платформы ведения журнала, доступной в системе. Общие сведения, включая данные о структуре файлов журнала отслеживания сообщений, см. в статье Общие сведения об отслеживании сообщений или Отслеживание сообщений при помощи отчетов о доставке.

Отчет о доставке — это подробный журнал всех действий по передаче сообщений с компьютера или на компьютер, на котором запущена транспортная служба на сервере почтовых ящиков. Доступ к журналу отслеживания сообщений можно получить с помощью командной консоли Exchange и командлета Get-MessageTrackingLog. Данные DLP интегрируются в отчет о доставке в соответствии с существующими форматами данных и соглашениями.

Журналы отслеживания сообщений содержат данные от агентов, вовлеченных в обработку потока почты. Для DLP агент правил транспорта (TRA) используется для вызова глубокой проверки сообщений и применения политик, определенных как часть ETR. Существующее событие AgentInfo используется для добавления связанных записей DLP в журнал отслеживания сообщений.

Агент в событии AgentInfo будет носить имя TRA или Агент правил транспорта. Для каждого сообщения будет регистрироваться одно событие AgentInfo, описывающее обработку DLP, примененную к сообщению. В поле записи журнала отслеживания сообщений CustomData отображаются данные DLP, внесенные в журнал агентом правил транспорта. Это поле может содержать несколько записей: одну строку классификации данных и сведений о клиенте для каждой классификации данных, найденной в сообщении, одну строку правил для каждого правила, применяемого к сообщению, и одну строку наблюдения за работоспособностью системы для каждого правила, превышающего пороговое значение времени загрузки или выполнения.

Здесь показан пример записи журнала DLP. Результат отформатирован для отображения строк на отдельных строках, между которыми находятся новые строки.

Источник: AGENT

EventId: AGENTINFO

CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

Для агента правил транспорта требуется группировка ИД правила, ИД политики DLP (необязательно), даты последнего изменения, действия, уровня серьезности, режима, обнаруженной классификации данных (необязательно) и переопределения отправителя (необязательно) на основе ИД правила (указанного с помощью "TRA=ETR" в строке журнала). Также необходимо сгруппировать ИД классификации данных и уровень уверенности классификации по имени классификации (указано с помощью "TRA=DC" в строке журнала).

В дополнительные группировки входят ИД классификации данных, переопределение отправителя (необязательно) и обоснование определения (необязательно) на основе ИД классификации для всех классификаций, которые были обнаружены в клиенте (указано с помощью "TRA=CI" в строке журнала). Для агента правил транспорта также требуется сгруппировать ИД правила, настенные часы загрузки (необязательно), часы ЦП загрузки (необязательно), настенные часы выполнения (необязательно) и часы ЦП выполнения (необязательно) по ИД правила для всех правил, которые превысили пороговые значения часов ЦП и настенных часов загрузки или выполнения (указано с помощью "TRA=ETRP" в строке журнала).

Ниже приведен полный список полей данных. Все данные в журнале отслеживания сообщений имеют строковой тип. В столбце формата описано, как распознать каждое поле в журнале отслеживания сообщений. В столбце "Необязательное поле" указано, какие поля могут не регистрироваться в журнале при соответствии правила. В столбце "Специфические для DLP" показано, какие поля относятся к функции DLP.

 

Имя поля

Описание

Формат

Необязательное поле

Характерное для DLP

TRA

Агент правил транспорта; тип AgentName

TRA=DC, ETR, CI или ETRP

Обязательное

Нет

DC

Классификация данных; тип groupName

TRA=DC

Необязательный

Да

ETR

Правило транспорта Exchange; тип groupName

TRA=ETR

Обязательное

Нет

CI

Сведения о клиенте, тип groupName

TRA=CI

Необязательный

Да

ETRP

Производительность правила транспорта Exchange; тип groupName

TRA=ETRP

Необязательный

Нет

dcid

Идентификатор классификации данных

dcid=GUID

Необязательный

Да

count

Количество классификаций данных

count=Integer

Необязательный

Да

conf

Уровень доверия классификации данных

conf=Integer (процент)

Необязательный

Да

sndOverride

Переопределение отправителя; поле является необязательным.

В строке TRA=CI если в поле установлено значение "or", это означает, что была переопределена классификация данных. Если в поле задано значение "fp", это означает, что о классификации данных было сообщено как о ложноположительной.

В строке TRA=ETR если в поле установлено значение "or", это означает, что было переопределено правило или его часть. Если в поле задано значение "fp", это означает, что о правиле или части правила было сообщено как о ложноположительном.

sndOverride=or или fp

Где "or" представляет переопределение, а "fp" означает ложноположительное значение. Поле "sndOverride" присутствует, если пользователь сообщил о переопределении или ложном срабатывании правила.

Необязательный

Да

just

Обоснование; поле является необязательным и доступно, только если в поле переопределения отправителя задано "or" в строке TRA=CI. Следует переопределить текст обоснования, приведенный пользователем в качестве причины классификации данных.

just = строка обоснования ввода IW

Поле обоснования регистрируется в журнале, только когда пользователь сообщает о переопределении.

Необязательный

Да

ruleId

Идентификатор для правила

ruleId=GUID

Обязательное

Нет

dlpId

Идентификатор политики DLP. Это поле является необязательным. Если dlpId отсутствует, правило не принадлежит политике DLP.

dlpId=GUID

Необязательный

Да

st

Дата последнего изменения правила

st = дата и время в формате UTC

Обязательное

Нет

action

Действие, выполненное правилом. Для каждого правила может существовать несколько действий.

action = одно действие

Если к правилу применено несколько действий, будут присутствовать несколько полей действий.

Обязательное

Нет

sev

Серьезность аудита правила

sev = 1, 2 или 3

Где 1 представляет низкий уровень, 2 — средний уровень, а 3 — высокий уровень.

Необязательный

Нет

mode

Состояние правила на момент его применения (принудительное применение, аудит или аудит и уведомление).

mode = аудит, аудит и уведомление или принудительное применение

Обязательное

Нет

loadW

Настенные часы загрузки; поле является необязательным.

loadW = время в мс

Необязательный

Нет

loadC

Часы загрузки ЦП; поле является необязательным.

loadC = время в мс

Необязательный

Нет

execW

Настенные часы выполнения; поле является необязательным.

execW = время в мс

Необязательный

Нет

execC

Часы выполнения ЦП; поле является необязательным.

execC = время в мс

Необязательный

Нет

message-id

Идентификатор сообщения

message-id = идентификатор сообщения

Обязательное

Нет

date-time

Дата и время отправки сообщения в формате UTC

date-time = дата и время в формате UTC

Обязательное

Нет

sender-address

Адрес электронной почты, указанный в поле "Отправитель"

sender-address = адрес электронной почты

Обязательное

Нет

recipient-address

Электронный адрес (адреса) получателя (-лей) сообщения

recipient-address = адрес электронной почты

Обязательное

Нет

message-subject

Данные, найденные в поле темы сообщения

message-subject = строка темы, вводимой пользователем

Обязательное

Нет

 
Показ: