Создание отчетов об инцидентах для обнаружений политики DLP

Exchange 2013
 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2015-04-07

В Exchange Server 2013 можно установить действие для создания отчета об инциденте в наборе правил политики DLP. Кроме того, вы можете указать, кому должны отправляться отчеты и что делать с оригинальным сообщением. Отчет может содержать любые из следующих данных.

Действие Создать отчет об инциденте позволяет пользователям посылать отчеты о событиях на ящик управления инцидентами. Один отчет создается для каждого сообщения только в том случае, если действие Создать отчет об инциденте применяется в политике.

Ниже приводится полный список строк в шаблоне отчета. Столбец формата описывает, как опознать каждое поле в отчете. Необязательное поле столбца указывает, каких из полей может не быть в отчете для каждого правила. В столбце DLP приведены поля, созданные в результате работы компонента DLP.

 

Имя строки

Описание

Формат

Необязательное поле

Характерное для DLP

Идентификатор сообщения

Идентификатор исходного отправленного сообщения

Идентификатор сообщения: Идентификатор сообщения

Обязательное

Нет

Отправитель

Подлинный отправитель исходного сообщения

Отправитель: Адрес электронной почты отправителя

Обязательное

Нет

Тема

Тема исходного сообщения

Тема: Строка темы конечного пользователя

Обязательное

Нет

Кому

Получатель или получатели исходного сообщения

Каждая строка "Кому" будет содержать только одного получателя, и может быть указано до 10 получателей, отображаемых в отчете. Если существуют дополнительные получатели, в следующей строке "Кому" будет отображаться оставшееся количество получателей.

Кому: Адрес электронной почты получателя

Обязательное

Нет

Копия

Поле "Копия" исходного сообщения; строка является необязательной

Каждая строка копии будет содержать только один адрес электронной почты для отправки копии, и в отчете может быть указано до 10 адресов электронной почты для отправки копии. Если есть дополнительные адреса, следующая строка копии будет содержать оставшееся количество адресов электронной почты для отправки копии.

Копия: Адрес электронной почты получателя копии

Необязательный

Нет

Скрытая копия

Поле "Скрытая копия" исходного сообщения; строка является необязательной

Каждая строка скрытой копии будет содержать только один адрес электронной почты для отправки копии, и в отчете может быть указано до 10 адресов электронной почты для отправки скрытой копии. Если есть дополнительные адреса, следующая строка скрытой копии будет содержать оставшееся количество адресов электронной почты для отправки скрытой копии.

Скрытая копия: Адрес электронной почты получателя скрытой копии

Необязательный

Нет

Серьезность

Уровень срабатывания правила; отображает наивысшую серьезность, если сработало несколько правил.

Серьезность: низкий, средний или высокий уровень

Необязательный

Нет

Переопределение

Указывает, сообщается ли о переопределении для сообщения, и приводит обоснование.

Переопределение: да, обоснование: Строка ввода обоснования

Необязательный

Да

Ложное срабатывание

Указывает, сообщено ли о сообщении как о ложном срабатывании.

Ложное срабатывание: Да

Необязательный

Да

Классификация данных

Классификации обнаруженных данных, найденных в исходном сообщении; строка является необязательной

Каждая строка классификации данных будет содержать только одну обнаруженную классификация вместе с ее количеством, вероятностью, а также рекомендуемой минимальной степенью достоверности. До 5 обнаруженных классификаций будет отображаться в отчете. Если классификация была привязкой, значение счетчика не применяется и не будет отображаться.

Классификация данных: тип конфиденциальной информации, число: число экземпляров конфиденциальной информации, найденных в сообщение, вероятность: процентное значение, рекомендуемый минимум достоверности: процентное значение

Необязательный

Да

Срабатывание правила

Отображает все правила, которые сработали на исходном сообщении.

Включает имя сработавшего правила, политику DLP, где находится правило, действия, которые были выполнены для сообщения из-за правила, классификации данных в правиле, из-за которых оно сработало, и определение правила.

Срабатывание правила: имя правила, политика DLP: имя политики DLP, если это применимо, действие: одно действие, классификация данных: тип конфиденциальной информации, определение: определение правила, если это применимо

Обязательное

Нет

ID совпадения

Отображает найденную классификацию данных, точное соответствие в содержимом сообщения и основное свидетельство совпадения с классификацией данных; строка необязательна.

ID совпадения: тип конфиденциальной информации, значение: фактическое значение конфиденциальных данных, контекст: текст вокруг данных в сообщении

Необязательный

Да

 
Показ: