Разработка файлов шаблонов политики DLP

Exchange 2013
 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2015-03-09

В этом обзоре подробно рассматриваются компоненты определения схемы XML для файлов шаблонов политик предотвращения потери данных, а также приведен пример файла политики ML-формата. Перед началом полезно добиться понимания всей архитектуры DLP и принципов разработки правил. Дополнительные сведения см. в разделах Защита от потери данных и Определение собственных шаблонов DLP и типов сведений.

Для обеспечения простоты принятия и управления в DLP-решениях в Microsoft Exchange Server 2013 внедряется концептуальная модель политик и шаблонов политик DLP. Шаблоны политик DLP содержат предварительные версии политики DLP. Чтобы быть полезным, шаблон политики DLP должен инкапсулировать все директивы и объекты данных, которые требуются для достижения определенной цели политики, такой как норматив или бизнес-потребность. Шаблон не привязан к определенной среде. Это просто определение или модель политики, которая может быть предоставлена в конфигурации продукта или независимыми поставщиками программного обеспечения и партнерами. С другой стороны, политики DLP — это экземпляры шаблонов время выполнения, привязанные к среде развертывания. Существующая структура политики обмена сообщениями может включать политики DLP с помощью правил транспорта. Правила транспорта предоставляют гибкие средства адаптации и выражают всю мощь DLP-решения.

Обычно шаблоны политики DLP создаются на основе разных источников, таких как серверные директивы обработки, клиентские политики компьютера или другие программные конструкции, как показано на следующем рисунке:

Факторы, влияющие на шаблоны политики

Для шаблонов политики DLP доступны простые операции управления в командной консоли Exchange и интернет-интерфейсах, таких как Центр администрирования Exchange — они включают импорт, экспорт, удаление и средства создания запросов. Политика DLP создается путем указания шаблона политики DLP. Такие шаблоны политики DLP могут быть установлены в системе и храниться в доменных службах Active Directory, либо браться непосредственно из поставляемых извне политик.

Шаблоны политики DLP — это XML-документы. Единая схема XML используется для политик внутри и вне Exchange. Концептуальная структура XML-документа представлена в таблице ниже, где приведены основные элементы. Набор определений компонентов политики помогает достичь конкретной цели, например соблюдения норматива или бизнес-потребности.

 

Структурный элемент Значение или пример

Издатель

Майкрософт или партнер

Version

15.0.1.0

Имя политики

PCI-DSS

Описание

Политика DLP PCI-DSS помогает обнаруживать присутствие информации, подпадающей под стандарт защиты данных PCI (PCI DSS), например номера кредитных или дебетовых карт. Использование этой политики не гарантирует соблюдение каких-либо правил. После тестирования внесите требуемые изменения в конфигурацию Exchange, чтобы передача информации соответствовала политике вашей организации. Например, возможно, вам потребуется настроить протокол TLS с известными деловыми партнерами или добавить дополнительные ограничения действия правил транспорта, такие как добавление полномочий для защиты сообщений, содержащих определенный тип данных.

Метаданные

Теги для описания местных законов, страны или региона, ключевых слов и многого другого.

Набор конструкций политики

  1. Определения правил транспорта, такие как условия и действия.

  2. Определение поведения почтового клиента для работы с клиентами через интерактивные уведомления.

  3. Дополнительные ссылки на конфигурацию, которые должны координироваться со специфическими параметрами клиентской среды.

Набор классификаций данных

  1. Определяет объекты или сходства классификации.

  2. Объекты имеют число и вероятность; сходства — только вероятность.

  3. Содержит собственный набор свойств и схему классификации.

Шаблоны политики DLP выражаются в XML-документах, которые соответствуют следующей схеме. Обратите внимание на то, что в XML-документе учитывается регистр. Например, dlpPolicyTemplates сработает, а DlpPolicyTemplates не сработает.

<?xml version="1.0" encoding="UTF-8"?>
<dlpPolicyTemplates>
  <dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
    <contentVersion>4</contentVersion>
    <publisherName>Microsoft</publisherName>
    <name>
      <localizedString lang="en">PCI-DSS</localizedString>
    </name>
    <description>
      <localizedString lang="en">Detects the presence of information subject to Payment Card Industry Data Security Standard (PCI-DSS) compliance requirements.</localizedString>
    </description>
    <keywords></keywords>
    <ruleParameters></ruleParameters>
    <ruleParameters/>
    <policyCommands>
      <!-- The contents below are applied/executed as rules directly in PS - -->
      <commandBlock>
        <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP Policy."]]>
      </commandBlock>
      <commandBlock>
        <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "%%DlpPolicyName%%" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP Policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]>
      </commandBlock>
    </policyCommands>
    <policyCommandsResources></policyCommandsResources>
  </dlpPolicyTemplate>
</dlpPolicyTemplates>

Если параметр, который вы включаете в XML-файл для любого элемента, содержит пробел, параметр необходимо заключить в двойные кавычки, иначе он не будет работать надлежащим образом. В приведенном ниже примере параметр, который следует за -SentToScope, является допустимым и не включает двойные кавычки, поскольку представляет собой одну непрерывную строку символов без пробела. Однако параметр, предоставленный для –Comments, не отобразится в Центре администрирования Exchange, поскольку не заключен в двойные кавычки и содержит пробелы.

<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments Monitors payment card information sent inside the organization -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>

Формат шаблона позволяет локализовать строки в шаблоне, которые могут быть представлены конечным пользователям, например в процессе выбора устанавливаемых шаблонов политик DLP. Этот элемент может использоваться для предоставления различных определений полей Name и Description.

Это необязательный набор параметров, которые должны передаваться при создании экземпляра шаблона в ходе создания политики DLP для сопоставления объектов, привязанных к развертыванию. Например, это может быть фактическая группа рассылки, которая будет доступна в развернутой системе.

Это корневой элемент для шаблона политики DLP, обязательный для каждого шаблона. Доступные атрибуты показаны в таблице ниже:

 

Имя атрибута Required? Описание

Версия

Да

Номер версии, используемой в документе шаблона политики DLP.

State

Нет

Необязательная конфигурация по умолчанию для состояния политики.

Mode

Нет

Необязательная конфигурация по умолчанию для режима политики.

Id

Нет

GUID для уникальной идентификации данного определения шаблона политики DLP в следующем формате: "A29C69BF-4F98-47F1-9A99-5771DFD2C27F".

Дочерние элементы включают следующую последовательность элементов.

 

Дочерний элемент (минимум, максимум) Описание

PublisherName

(1, 1)

Метаданные для издателя шаблона

Name

(1, 1)

Локализуемое имя для данного шаблона.

Описание

(1, 1)

Локализуемое описание для данного шаблона.

Keywords

(1, 1)

Список ключевых слов, которые относятся к этому шаблону. Шаблон может содержать пустой список ключевых слов.

RuleParameters

(0, 1)

Список параметров шаблона, которые используются в определении политики.

PolicyCommands

(0, 1)

Список определений правил транспорта для этой политики. Этот элемент является необязательным.

Это часть шаблона политики содержит список команд командной консоли Exchange, которые используются для создания экземпляра определения политики. Процесс импорта будет выполнять все команды в рамках процесса создания экземпляра. Ниже приведены примеры команд политики.

<PolicyCommands>
    <!-- The contents below are applied/executed as rules directly in PS - -->
      <CommandBlock> <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "PCI-DSS" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP policy."]]></CommandBlock>
      <CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
  </PolicyCommands> 

Формат командлетов — стандартный синтаксис командлетов командной консоли Exchange. Команды выполняются по порядку. Каждый из узлов команд может содержать блок сценария, в который войдут несколько команд. Ниже приведен пример, в котором показано, как включить пакет правил классификации внутри шаблона политики DLP и установить пакет правил при создании политики. Пакет правил классификации встраивается в шаблон политики, а затем передается командлету в шаблоне в качестве параметра:

<CommandBlock>
  <![CDATA[
$rulePack = [system.Text.Encoding]::Unicode.GetBytes('<?xml version="1.0" encoding="utf-16"?>
<rulePackage xmlns="http://schemas.microsoft.com/office/2011/mce">

  <RulePack id="c3f021a3-c265-4dc2-b3a7-41a1800bf518">
    <Version major="1" minor="0" build="0" revision="0"/>
    <Publisher id="e17451d3-9648-4117-a0b1-493a6d5c73ad"/>
    <Details defaultLangCode="en-us">
      <LocalizedDetails langcode="en-us">
        <PublisherName>Contoso</PublisherName>
        <Name>Contoso Sample Rule Pack</Name>
        <Description>This is a sample rule package</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

  <Rules>
    <Entity id="7cc35258-6b35-4415-baff-a76d1a018980" patternsProximity="300" recommendedConfidence="85" workload="Exchange">     

      <Pattern confidenceLevel="85">
        <IdMatch idRef="Regex_Contoso" />
        <Any minMatches="1">
          <Match idRef="Regex_conf" />
        </Any>
      </Pattern>
    </Entity>

    <Regex id="Regex_Contoso">(?i)(\bContoso\b)</Regex>
    <Regex id="Regex_conf">(?i)(\bConfidential\b)</Regex>

    <LocalizedStrings>
      <Resource idRef="7cc35258-6b35-4415-baff-a76d1a018980">
        <Name default="true" langcode="en-us">
          Confidential Information Rule
        </Name>
        <Description default="true" langcode="en-us">
          Sample rule pack - Detects Contoso confidential information
        </Description>
      </Resource>
    </LocalizedStrings>
  </Rules>

</RulePackage>

')


New-ClassificationRuleCollection -FileData $rulePack 
New-TransportRule -name "customEntity" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -MessageContainsDataClassifications @{Name="Confidential Information Rule"} -SetAuditSeverity High]]>
</CommandBlock> 


Дочерние элементы включают следующую упорядоченную последовательность элементов.

 

Дочерний элемент (минимум, максимум) Описание

CommandBlock

(1, n)

Командный блок, который выполняется в PowerShell. Командные блоки выполняются по порядку.

 
Показ: