Exibir relatórios de detecção de política DLP

Aplica-se a: Exchange Server 2013

O gerenciamento de detecção de política de DLP (prevenção contra perda de dados) define amplamente as atividades que uma organização executa para identificar, investigar e resolver violações de política DLP. Para gerenciar incidentes, você precisa de acesso a informações que identifiquem o que foi detectado por suas políticas DLP. Essas informações de detecção são integradas aos formatos de log e dados existentes Microsoft Exchange Server 2013 para que você possa aproveitar um sistema de dados avançado existente para gerenciar seus incidentes de fluxo de email.

Para obter informações sobre como criar um relatório de incidentes junto com um único evento de detecção de política, consulte Criar relatórios de incidentes para detecções de política DLP. Para obter mais informações sobre logs de mensagens, consulte Rastrear mensagens com relatórios de entrega.

Observação

Exchange 2013: DLP é um recurso premium que exige uma licença Enterprise CAL do Exchange. Para obter mais informações sobre CALs e licenciamento de servidor, consulte Perguntas frequentes sobre licenciamento do Exchange.

Informações de auditoria

Os dados relacionados ao gerenciamento de detecção de DLP no Exchange são integrados aos logs de rastreamento de mensagens, também conhecidos como relatórios de entrega. Os recursos reutilizam grande parte da estrutura de log existente disponível no sistema. Para obter informações gerais, incluindo a compreensão da estrutura dos arquivos de log de rastreamento de mensagens, examine o conteúdo existente em Entender o Rastreamento de Mensagens ou Rastrear mensagens com relatórios de entrega.

O relatório de entrega é um log detalhado de todas as atividades de mensagem à medida que as mensagens são transferidas de e para um computador que está executando o serviço de transporte em um servidor da Caixa de Correio. O log de rastreamento de mensagens pode ser acessado por meio do Shell de Gerenciamento do Exchange usando o cmdlet Get-MessageTrackingLog . Os dados DLP são integrados ao relatório de entrega seguindo os formatos e convenções de dados existentes.

Formato de log de dados

Os logs de rastreamento de mensagens contêm dados dos agentes envolvidos no processamento do conteúdo do fluxo de email. Para DLP, o TRA (agente de regra de transporte) é usado para invocar a verificação de conteúdo de mensagens profundas e para aplicar as políticas definidas como parte dos ETRs. O Evento AgentInfo existente é usado para adicionar entradas relacionadas ao DLP no log de rastreamento de mensagens.

O nome do agente será TRA ou Agente de Regra de Transporte no evento AgentInfo. Um único evento AgentInfo será registrado por mensagem descrevendo o processamento DLP aplicado à mensagem. O campo CustomData do campo de entrada de log de rastreamento de mensagens é onde os dados DLP registrados pelo agente de regra de transporte serão exibidos. Esse campo pode conter várias entradas: uma classificação de dados e uma linha de informações do cliente para cada classificação de dados encontrada na mensagem, uma linha de regra para cada regra que se aplica à mensagem e uma linha de monitoramento de integridade para cada regra que excede o limite de tempo de carga ou execução.

Um exemplo da entrada de log DLP é exibido aqui. A saída foi formatada para exibir cadeias de caracteres em linhas separadas com novas linhas entre elas.

Source: AGENT

EventId: AGENTINFO

CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

O Agente de Regra de Transporte requer agrupamento da ID da regra, ID da Política DLP (opcional), última data modificada, ação, severidade, modo, classificação de dados detectada (opcional) e substituição de remetente (opcional) com base na ID da regra (indicada por "TRA=ETR" na linha de log). Ele também exige que a ID de classificação de dados, a contagem e o nível de confiança das classificações sejam agrupados pelo nome da classificação (indicado por "TRA=DC" na linha de log).

Agrupamentos adicionais incluem ID de classificação de dados, substituição de remetente (opcional) e justificativa de substituição (opcional) com base na ID de classificação de dados para todas as classificações detectadas no cliente (indicadas por "TRA=CI" na linha de log). O Agente de Regra de Transporte também exige que a ID da regra, o relógio de parede de carga (opcional), o relógio CPU de carga (opcional), o relógio de parede de execução (opcional) e o relógio de CPU de execução (opcional) sejam agrupados por ID de regra para todas as regras que excedem os limites de carga ou execução do relógio wall ou CPU (indicados por "TRA=ETRP" na linha de log).

A seguir está uma lista completa dos campos de dados. Todos os dados no MTL são caracteres de tipo. A coluna Formatar descreve como reconhecer cada campo no Log de Rastreamento de Mensagens. A coluna Campo Opcional especifica quais campos podem não ser registrados quando uma regra corresponde. A coluna específica DLP mostra quais campos são específicos para o recurso DLP.

Nome do campo Descrição Formatar Campo opcional Específico do DLP
Tra Agente de Regra de Transporte; type AgentName TRA=DC, ETR, CI ou ETRP Obrigatório Não
Dc Classificação de dados; type groupName TRA=DC Opcional Sim
ETR Regra de transporte do Exchange; type groupName TRA=ETR Obrigatório Não
Ci Informações do cliente, groupName de tipo TRA=CI Opcional Sim
ETRP Desempenho da regra de transporte do Exchange; type groupName TRA=ETRP Opcional Não
Dcid ID da Classificação de Dados dcid=GUID Opcional Sim
count Contagem da Classificação de Dados count=Integer Opcional Sim
Conf Nível de confiança da Classificação de Dados conf=Inteiro (percentual) Opcional Sim
sndOverride Substituição do remetente; o campo é opcional.

Na linha TRA=CI, quando o campo é definido como "ou" significa que a classificação de dados foi substituída. Se o campo for definido como "fp" significa que a classificação de dados foi relatada como um falso positivo.

Na linha TRA=ETR, quando o campo é definido como "ou" significa que a regra ou parte da regra foi substituída. Se o campo for definido como "fp" significa que a regra ou parte da regra foi relatada como um falso positivo.
sndOverride=ou fp

Onde "ou" representa substituição e "fp" significa falso positivo. O campo sndOverride está presente quando um usuário final relatou uma substituição ou falso positivo para uma regra.
Opcional Sim
just Justificação; o campo é opcional e só está disponível quando o campo de substituição do remetente é igual a "ou" na linha TRA=CI. Texto de justificativa fornecido pelo usuário final como o motivo pelo qual a classificação de dados deve ser substituída. just=cadeia de caracteres de justificativa de entrada IW

O campo de justificativa só é registrado quando o usuário final relata uma substituição.
Opcional Sim
ruleId ID de uma regra ruleId=GUID Obrigatório Não
dlpId ID de uma política DLP. O campo é opcional; se não houver dlpId, a regra não pertence a uma política DLP. dlpId=GUID Opcional Sim
st Última data modificada de uma regra st=UTC date-time Obrigatório Não
ação Ação tomada por uma regra; poderia ter várias ações por regra action=ação única

Se houver várias ações aplicadas a uma regra, haverá vários campos de ação.
Obrigatório Não
Sev Auditar a gravidade da regra sev=1, 2 ou 3

Onde 1 representa baixo, 2 é médio e 3 significa alto.
Opcional Não
Modo Estado da regra quando ela foi atingida (imposição, auditoria ou auditoria). mode=audit, auditandnotify ou enforcement Obrigatório Não
loadW Relógio de Parede de Carga; o campo é opcional loadW=time em ms Opcional Não
loadC Carregar relógio de CPU; o campo é opcional loadC=time em ms Opcional Não
execW Executar Relógio de Parede; o campo é opcional execW=time em ms Opcional Não
execC Executar relógio de CPU; o campo é opcional execC=time em ms Opcional Não
id de mensagem ID da mensagem message-id=ID da mensagem Obrigatório Não
date-time Data e hora em que a mensagem foi enviada em tempo universal date-time=UTC date-time Obrigatório Não
sender-address Email endereço especificado no campo remetente endereço sender-address=Email Obrigatório Não
destinatário-endereço Email endereço(es) dos destinatários da mensagem endereço do destinatário=Email Obrigatório Não
message-subject Dados encontrados no campo de assunto da mensagem cadeia de caracteres de entrada message-subject=end-user Obrigatório Não

Para obter mais informações

Prevenção contra perda de dados

Criar relatórios de incidente para detecções de política DLP

Acompanhar mensagens com notificações de entrega