如何应用 DLP 规则来评估Exchange Online中的消息
可以在 Microsoft Exchange 数据丢失防护中设置敏感信息规则, (DLP) 策略来检测电子邮件中的特定数据。 本文将帮助你了解如何应用这些规则以及如何评估消息。 如果您了解如何强制执行规则,则可以为您的电子邮件用户避免工作流中断,并获得高度准确的 DLP 检测。 让我们使用 Microsoft 提供的信用卡信息规则作为示例。 激活邮件流规则 (也称为传输规则) 或 DLP 策略时,用户发送的所有邮件都会与你创建的规则集进行比较。
精确表达您的需求
假设您需要处理邮件中的信用卡信息。 找到它后执行的操作不是本文的主题,但你可以在Exchange Online的邮件流规则操作中了解详细信息。 为保证最大程度的确定性,您需要确保在邮件中检测到的确实是信用卡数据,而不仅仅是合法使用的类似信用卡数据的数字组;例如,预订代码或车辆识别号码。
为了满足此需求,让我们明确将以下信息归类为信用卡:
玛吉的旅行,
我已收到更新的 Spencer 的信用卡信息。
Spencer Badillo
Visa:4111 1111 1111 1111
过期时间:2/2012
请更新他的旅行个人资料。
我们还要明确以下信息不应归类为信用卡。
你好亚历克斯,
我也将去夏威夷。 我的预订代码是 1234 1234 1234 1234,我将于 2018 年 3 月在那里。
此致,Lisa
以下 XML 代码片段演示了当前如何在 Exchange 提供的敏感信息规则中定义之前表达的需求,该规则嵌入其中一个提供的 DLP 策略模板中。
<Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085" patternsProximity="300" recommendedConfidence="85">
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
<Any minMatches="1">
<Match idRef="Keyword_cc_verification" />
<Match idRef="Keyword_cc_name" />
<Match idRef="Func_expiration_date" />
</Any>
</Pattern>
</Entity>
解决方案中的模式匹配
之前显示的 XML 规则定义包括模式匹配,模式匹配将提高规则仅检测重要信息而不检测相关模糊信息的可能性。
在信用卡规则中,有一部分 XML 代码用于模式,其中包括主要标识符匹配和一些附加的证实证据。 关于全部三项要求的说明如下:
<IdMatch idRef="Func_credit_card" />:这需要匹配内部定义的名为信用卡的函数。 该函数包括以下几个验证:它与此实例中的正则表达式 (匹配 16 位数字) ,该表达式还可以包含空格分隔符等变体,以便也匹配 4111 1111 1111 1111 或连字符分隔符,以便也匹配 4111-1111-1111。
它针对 16 位数字评估 Lhun 的校验和算法,以确保这是信用卡号的可能性较高。
它要求强制匹配,之后将评估确定证据。
<Any minMatches="1">:本节指示至少需要存在以下一项证据。确定证据可能匹配以下三项之一:
<Match idRef="Keyword_cc_verification"><Match idRef="Keyword_cc_name"><Match idRef="Func_expiration_date">
这三项表明信用卡的关键字列表、信用卡名称或过期日期是必需的。 过期日期将作为另一个函数在内部定义和评估。
根据规则评估内容的过程
此处的 5 个步骤代表了 Exchange 为比较您的规则和电子邮件而执行的操作。 对于我们的信用卡规则示例而言,采取了以下步骤。
| 步骤 | 操作 |
|---|---|
| 1. 获取内容 | 斯宾塞·巴迪略 p> Visa: 4111 1111 1111 1111 过期时间:2/2012 |
| 2. 正则表达式分析 | 4111 1111 1111 1111 -> 检测到一个 16 位的数字 |
| 3. 功能分析 | 4111 1111 1111 1111 -> 匹配校验和 1234 1234 1234 1234 -> 不匹配 |
| 4. 其他证据 | |
| 关键字 Visa 位于数字旁。 日期 (2/2012) 的正则表达式位于数字旁。 | |
| 5. 结论 | |
| 有一个正则表达式与校验和匹配。 其他证据增加了可信度。 |
Microsoft 设置该规则的方式强制要求将确定证据(如关键字)作为电子邮件内容的一部分,以便匹配该规则。 因此,以下电子邮件内容不会被检测为包含信用卡:
玛吉的旅行,
我已收到关于 Spencer 的更新信息。
Spencer Badillo
4111 1111 1111 1111
请更新他的旅行信息。
您可以使用自定义规则,它将定义无需额外证据的模式,如下例所示。 这将检测仅包含信用卡号而无确定证据的邮件。
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
</Pattern>
</Entity>
本文的信用卡示例也可扩展应用于其他敏感信息规则。 若要查看 Exchange 中 Microsoft 提供的规则的完整列表,请通过以下方式使用 Exchange Online PowerShell 中的 Get-ClassificationRuleCollection cmdlet:
$rule_collection = Get-ClassificationRuleCollection
$rule_collection[0].SerializedClassificationRuleCollection | [System.IO.File]::WriteAllBytes('oob_classifications.xml', $file.FileData)