DLP ポリシー検出のレポートの表示

製品: Exchange Server 2013

データ損失防止 (DLP) ポリシー検出管理では、組織が DLP ポリシー違反を特定、調査し、解決するために実行するアクティビティを広範に定義します。 インシデントを管理するには、DLP ポリシーが検出した内容を特定する情報にアクセスする必要があります。 この検出情報は既存の Microsoft Exchange Server 2013 データおよびログ形式と統合されるため、すでに存在する豊富なデータ システムを活用してメール フロー インシデントを管理できます。

単一のポリシー検出イベントに沿ったインシデント レポートの作成方法の詳細については、「DLP ポリシー検出のインシデント レポートの作成」を参照してください。 メッセージ ログの詳細については、「配信レポートによるメッセージの追跡」を参照してください。

注:

Exchange 2013: DLP は、Exchange エンタープライズ クライアント アクセス ライセンス (CAL) が必要なプレミアム機能です。 CAL とサーバー ライセンスの詳細については、「 Exchange ライセンスに関する FAQ」を参照してください。

監査情報

Exchange での DLP 検出管理に関連するデータは、配信レポートとも呼ばれるメッセージ追跡ログに統合されています。 この機能は、システムで使用可能な既存のロギング フレームワークの多くを再利用します。 メッセージ追跡ログ ファイルの構造を含む概要については、「メッセージ追跡について」または「配信レポートによるメッセージの追跡」にある内容を確認してください。

配信レポートは、メールボックス サーバー上でトランスポート サービスを実行しているコンピューターの間でメッセージが転送されるときのすべてのメッセージ アクティビティに関する詳細なログです。 メッセージ追跡ログは、Exchange 管理シェルを介して Get-MessageTrackingLog コマンドレットを使用するとアクセスできます。 DLP データは、既存のデータ形式および規則に従い、配信レポートに統合されます。

データ ログの書式

メッセージ追跡ログには、メール フロー コンテンツの処理に関与するエージェントからのデータが含まれています。 DLP では、トランスポート ルール エージェント (TRA) を使用して、ディープ メッセージ コンテンツ スキャンを呼び出し、ETR の一部として定義されたポリシーを適用します。 メッセージ追跡ログに DLP 関連エントリを追加するには、既存の AgentInfo イベントを使用します。

エージェント名は、AgentInfo イベントの TRA または トランスポート ルール エージェント になります。 メッセージに適用された DLP 処理を説明するメッセージごとに、1 つの AgentInfo イベントがログに記録されます。 メッセージ追跡ログエントリ フィールドの CustomData フィールドは、トランスポート ルール エージェントによってログに記録された DLP データが表示される場所です。 このフィールドには、メッセージに見つかったデータ分類ごとに 1 つのデータ分類とクライアント情報行、メッセージに適用されるルールごとに 1 つのルール行、読み込みまたは実行時間のしきい値を超えるルールごとに 1 つの正常性監視行という複数のエントリが含まれる場合があります。

以下は、DLP ログ エントリの例です。 出力の書式は、文字列を別々の行に表示し、行と行の間を 1 行空けるように設定されています。

Source: AGENT

EventId: AGENTINFO

CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

トランスポート ルール エージェントでは、ルール ID (ログ行内の "TRA=ETR" で示されます) に基づいて、ルール ID、DLP ポリシー ID (オプション)、最終変更日時、アクション、重大度、モード、検出されたデータ分類 (オプション)、および送信者上書き (オプション) をグループ化する必要があります。 また、データ分類 ID、カウント、および分類の信頼レベルも、分類名 (ログ行内の "TRA=DC" で示されます) でグループ化する必要があります。

その他のグループには、クライアントで検出されたすべての分類 (ログ行の "TRA=CI" で示される) のデータ分類 ID に基づいて、データ分類 ID、送信者のオーバーライド (省略可能)、およびオーバーライドの理由 (省略可能) が含まれます。 トランスポート ルール エージェントでは、ルール ID、ロード ウォール クロック (省略可能)、ロード CPU クロック (省略可能)、実行ウォール クロック (省略可能)、実行 CPU クロック (省略可能) も、負荷または実行の壁または CPU クロックのしきい値 (ログ 行の "TRA=ETRP" で示される) を超えるルール ID でグループ化する必要があります。

以下は、すべてのデータ フィールドの一覧です。 メッセージ追跡ログ内のすべてのデータは文字列型です。 形式列は、メッセージ追跡ログ内の各フィールドの認識方法についての説明です。 オプション フィールド列には、ルールに一致してもログに記録されない可能性があるフィールドが記されています。 DLP 固有列には、DLP 機能に固有のフィールドが記されています。

フィールド名 説明 フォーマット オプション フィールド DLP 固有
TRA トランスポート ルール エージェント (AgentName 型) TRA=DC、ETR、CI、または ETRP 必須 X
DC データ分類 (groupName 型) TRA=DC 省略可能
ETR Exchange トランスポート ルール (groupName 型) TRA=ETR 必須 いいえ
CI クライアント情報 (groupName 型) TRA=CI 省略可能 はい
ETRP Exchange トランスポート ルール パフォーマンス (groupName 型) TRA=ETRP 省略可能 いいえ
dcid データ分類の ID dcid=GUID 省略可能 はい
count データ分類のカウント count= 整数 省略可能 はい
conf データ分類の信頼レベル conf= 整数 (%) 省略可能 はい
sndOverride 送信者の上書き。省略可能フィールド。

TRA=CI 行で、フィールドが "or" に設定されている場合、データ分類が上書きされたことを示します。 フィールドが "fp" に設定されている場合、データ分類が誤検知として通知されたことを示します。

TRA=ETR 行で、フィールドが "or" に設定されている場合、ルールまたはルールの一部が上書きされたことを示します。 フィールドが "fp" に設定されている場合、ルールまたはルールの一部が誤検知として通知されたことを示します。
sndOverride=or または fp

ここで、"or" は上書きを表し、"fp" は誤検知を意味します。 sndOverride フィールドは、エンド ユーザーがルールに対して上書きまたは誤検出を報告した場合に、表示されます。
省略可能 はい
just 正当 化;フィールドは省略可能であり、送信者オーバーライド フィールドが TRA=CI 行の "または" と等しい場合にのみ使用できます。 データ分類をオーバーライドする理由としてエンド ユーザーによって提供される正当な理由テキスト。 just=IW (正当な理由の文字列を入力)

正当性フィールドは、エンド ユーザーが上書きを報告した場合にのみログに記録されます。
省略可能 はい
ruleId ルールの ID ruleId=GUID 必須 いいえ
dlpId DLP ポリシーの ID。 フィールドは省略可能です。dlpId がない場合、ルールは DLP ポリシーに属していません。 dlpId=GUID 省略可能 はい
st ルールの最終変更日時 st=UTC 日時 必須 いいえ
アクション ルールによって実行されるアクション。1 つのルールに対して複数のアクションが実行される場合があります。 action=1 つのアクション

1 つのルールに対して複数のアクションが存在する場合、複数のアクション フィールドが存在します。
必須 いいえ
sev ルールの監査重要度 sev=1、2、または 3

ここで、1 は "低"、2 は "中"、3 は "高" を表します。
省略可能 いいえ
mode ルールが該当したときのルールの状態 (enforcement、audit、または auditandnotify)。 mode=audit、auditandnotify、または enforcement 必須 いいえ
loadW 読み込みウォール クロック。省略可能フィールド loadW= 時間 (ミリ秒) 省略可能 いいえ
loadC 読み込み CPU クロック。省略可能フィールド loadC= 時間 (ミリ秒) 省略可能 いいえ
execW 実行ウォール クロック。省略可能フィールド execW= 時間 (ミリ秒) 省略可能 いいえ
execC 実行 CPU クロック。省略可能フィールド execC= 時間 (ミリ秒) 省略可能 いいえ
message-id メッセージの ID message-id= メッセージの ID 必須 いいえ
date-time メッセージが送信された日時 (UTC) date-time=UTC 日時 必須 いいえ
sender-address 送信者フィールドに指定された電子メール アドレス sender-address= 電子メール アドレス 必須 いいえ
recipient-address メッセージ受信者の電子メール アドレス recipient-address= 電子メール アドレス 必須 いいえ
message-subject メッセージの件名フィールド内のデータ message-subject= エンドユーザーが入力する件名文字列 必須 いいえ

関連情報

データ損失防止

DLP ポリシー検出のインシデント レポートの作成

配信レポートによるメッセージの追跡