创建 DLP 策略检测事件报告
适用于:Exchange Server 2013
在 Exchange Server 2013 中,您可以建立用于在 DLP 策略规则集中创建事件报告的操作。 此外,还可以指示应向其发送报告的人员以及要对原始邮件执行的操作。 事件报告可以包含以下任何信息。
事件管理报告的内容
用户使用“生成事件报告”操作可以将事件报告发送给事件管理邮箱。 仅当在策略中应用了“生成事件报告”操作时,才会为每封邮件生成一个事件报告。
以下是事件报告模板中的行名称的完整列表。 “格式”列描述如何识别报告中的每个字段。 “可选字段”列为每个规则匹配指定可以不包含在报告中的字段。 “特定于 DLP”列显示了因为 DLP 功能而存在的字段。
| 行名 | 说明 | 格式 | 可选字段 | 特定于 DLP |
|---|---|---|---|---|
| 邮件 Id | 原始已发送邮件的 ID | 邮件 Id:邮件的 ID | 强制 | 否 |
| 发件人 | 原始邮件的实际发件人 | 发件人:发件人的电子邮件地址 | 强制 | 否 |
| 主题 | 原始邮件的主题 | 主题:最终用户输入主题字符串 | 强制 | 否 |
| 收件人 | 原始邮件的一个或多个收件人 每个“收件人”行仅包含一个收件人,事件报告中最多可以显示 10 个收件人。 如果存在其他收件人,则下一个“收件人”行会显示剩余数量的收件人。 |
收件人:收件人的电子邮件地址 | 强制 | 否 |
| 抄送 | 原始邮件的“抄送”电子邮件地址;该行是可选的 每个“抄送”行仅包含一个抄送电子邮件地址,事件报告中最多可以显示 10 个抄送电子邮件地址。 如果存在其他抄送地址,则下一个“抄送”行会显示剩余数量的抄送电子邮件地址。 |
抄送:抄送收件人的电子邮件地址 | 可选 | 否 |
| 密件抄送 | 原始邮件的"密件抄送"电子邮件地址;该行是可选的 每个“密件抄送”行仅包含一个密件抄送电子邮件地址,事件报告中最多可以显示 10 个密件抄送地址。 如果存在其他密件抄送电子邮件地址,则后续“密件抄送”行会显示剩余数量的密件抄送电子邮件地址。 |
密件抄送:密件抄送收件人的电子邮件地址 | 可选 | 否 |
| 严重性 | 规则命中的审核严重性;命中多个规则时显示最高严重性。 | 严重性:低、中或高 | 可选 | 否 |
| 首选参数 | 显示是否为邮件报告了替代,以及替代理由(如果提供)。 | 替代:是,理由:IW 输入理由字符串 | 可选 | 是 |
| 误报 | 显示是否为邮件报告了误报。 | 误报:是 | 可选 | 是 |
| 数据分类 | 原始邮件中发现的检测到的数据分类;该行是可选的。 每个数据分类行仅包含一个检测到的分类及其计数、可信度和建议的最低可信度级别。 最多在事件报告中显示 5 个检测到的分类。 如果检测到的分类是相关性,则不应用并且不会显示计数值。 |
数据分类:敏感信息类型,计数:邮件中发现的敏感信息的实例,可信度:百分比值,建议最低可信度:百分比值 | 可选 | 是 |
| 规则命中 | 显示命中原始邮件的所有规则。 包含命中的规则的名称、规则所在的 DLP 策略(可选)、由于规则而对邮件执行的操作、规则中导致命中规则的数据分类以及规则定义。 |
规则命中:规则名称,DLP 策略:DLP 策略名称(如果适用),操作:单个操作,数据分类:敏感信息类型,定义:规则定义(如果适用) | 强制 | 否 |
| ID 匹配 | 显示匹配的数据分类、邮件中的准确匹配内容以及数据分类匹配的主要证据;该行是可选的。 | ID 匹配:敏感信息类型,值:敏感数据的实际值,上下文:邮件中敏感数据周围的文本 | 可选 | 是 |