Exibir relatórios de detecção de política DLP
Aplica-se a: Exchange Server 2013
O gerenciamento de detecção de política de DLP (prevenção contra perda de dados) define amplamente as atividades que uma organização executa para identificar, investigar e resolver violações de política DLP. Para gerenciar incidentes, você precisa de acesso a informações que identifiquem o que foi detectado por suas políticas DLP. Essas informações de detecção são integradas aos formatos de log e dados existentes Microsoft Exchange Server 2013 para que você possa aproveitar um sistema de dados avançado existente para gerenciar seus incidentes de fluxo de email.
Para obter informações sobre como criar um relatório de incidentes junto com um único evento de detecção de política, consulte Criar relatórios de incidentes para detecções de política DLP. Para obter mais informações sobre logs de mensagens, consulte Rastrear mensagens com relatórios de entrega.
Observação
Exchange 2013: DLP é um recurso premium que exige uma licença Enterprise CAL do Exchange. Para obter mais informações sobre CALs e licenciamento de servidor, consulte Perguntas frequentes sobre licenciamento do Exchange.
Informações de auditoria
Os dados relacionados ao gerenciamento de detecção de DLP no Exchange são integrados aos logs de rastreamento de mensagens, também conhecidos como relatórios de entrega. Os recursos reutilizam grande parte da estrutura de log existente disponível no sistema. Para obter informações gerais, incluindo a compreensão da estrutura dos arquivos de log de rastreamento de mensagens, examine o conteúdo existente em Entender o Rastreamento de Mensagens ou Rastrear mensagens com relatórios de entrega.
O relatório de entrega é um log detalhado de todas as atividades de mensagem à medida que as mensagens são transferidas de e para um computador que está executando o serviço de transporte em um servidor da Caixa de Correio. O log de rastreamento de mensagens pode ser acessado por meio do Shell de Gerenciamento do Exchange usando o cmdlet Get-MessageTrackingLog . Os dados DLP são integrados ao relatório de entrega seguindo os formatos e convenções de dados existentes.
Formato de log de dados
Os logs de rastreamento de mensagens contêm dados dos agentes envolvidos no processamento do conteúdo do fluxo de email. Para DLP, o TRA (agente de regra de transporte) é usado para invocar a verificação de conteúdo de mensagens profundas e para aplicar as políticas definidas como parte dos ETRs. O Evento AgentInfo existente é usado para adicionar entradas relacionadas ao DLP no log de rastreamento de mensagens.
O nome do agente será TRA ou Agente de Regra de Transporte no evento AgentInfo. Um único evento AgentInfo será registrado por mensagem descrevendo o processamento DLP aplicado à mensagem. O campo CustomData do campo de entrada de log de rastreamento de mensagens é onde os dados DLP registrados pelo agente de regra de transporte serão exibidos. Esse campo pode conter várias entradas: uma classificação de dados e uma linha de informações do cliente para cada classificação de dados encontrada na mensagem, uma linha de regra para cada regra que se aplica à mensagem e uma linha de monitoramento de integridade para cada regra que excede o limite de tempo de carga ou execução.
Um exemplo da entrada de log DLP é exibido aqui. A saída foi formatada para exibir cadeias de caracteres em linhas separadas com novas linhas entre elas.
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
O Agente de Regra de Transporte requer agrupamento da ID da regra, ID da Política DLP (opcional), última data modificada, ação, severidade, modo, classificação de dados detectada (opcional) e substituição de remetente (opcional) com base na ID da regra (indicada por "TRA=ETR" na linha de log). Ele também exige que a ID de classificação de dados, a contagem e o nível de confiança das classificações sejam agrupados pelo nome da classificação (indicado por "TRA=DC" na linha de log).
Agrupamentos adicionais incluem ID de classificação de dados, substituição de remetente (opcional) e justificativa de substituição (opcional) com base na ID de classificação de dados para todas as classificações detectadas no cliente (indicadas por "TRA=CI" na linha de log). O Agente de Regra de Transporte também exige que a ID da regra, o relógio de parede de carga (opcional), o relógio CPU de carga (opcional), o relógio de parede de execução (opcional) e o relógio de CPU de execução (opcional) sejam agrupados por ID de regra para todas as regras que excedem os limites de carga ou execução do relógio wall ou CPU (indicados por "TRA=ETRP" na linha de log).
A seguir está uma lista completa dos campos de dados. Todos os dados no MTL são caracteres de tipo. A coluna Formatar descreve como reconhecer cada campo no Log de Rastreamento de Mensagens. A coluna Campo Opcional especifica quais campos podem não ser registrados quando uma regra corresponde. A coluna específica DLP mostra quais campos são específicos para o recurso DLP.
| Nome do campo | Descrição | Formatar | Campo opcional | Específico do DLP |
|---|---|---|---|---|
| Tra | Agente de Regra de Transporte; type AgentName | TRA=DC, ETR, CI ou ETRP | Obrigatório | Não |
| Dc | Classificação de dados; type groupName | TRA=DC | Opcional | Sim |
| ETR | Regra de transporte do Exchange; type groupName | TRA=ETR | Obrigatório | Não |
| Ci | Informações do cliente, groupName de tipo | TRA=CI | Opcional | Sim |
| ETRP | Desempenho da regra de transporte do Exchange; type groupName | TRA=ETRP | Opcional | Não |
| Dcid | ID da Classificação de Dados | dcid=GUID | Opcional | Sim |
| count | Contagem da Classificação de Dados | count=Integer | Opcional | Sim |
| Conf | Nível de confiança da Classificação de Dados | conf=Inteiro (percentual) | Opcional | Sim |
| sndOverride | Substituição do remetente; o campo é opcional. Na linha TRA=CI, quando o campo é definido como "ou" significa que a classificação de dados foi substituída. Se o campo for definido como "fp" significa que a classificação de dados foi relatada como um falso positivo. Na linha TRA=ETR, quando o campo é definido como "ou" significa que a regra ou parte da regra foi substituída. Se o campo for definido como "fp" significa que a regra ou parte da regra foi relatada como um falso positivo. |
sndOverride=ou fp Onde "ou" representa substituição e "fp" significa falso positivo. O campo sndOverride está presente quando um usuário final relatou uma substituição ou falso positivo para uma regra. |
Opcional | Sim |
| just | Justificação; o campo é opcional e só está disponível quando o campo de substituição do remetente é igual a "ou" na linha TRA=CI. Texto de justificativa fornecido pelo usuário final como o motivo pelo qual a classificação de dados deve ser substituída. | just=cadeia de caracteres de justificativa de entrada IW O campo de justificativa só é registrado quando o usuário final relata uma substituição. |
Opcional | Sim |
| ruleId | ID de uma regra | ruleId=GUID | Obrigatório | Não |
| dlpId | ID de uma política DLP. O campo é opcional; se não houver dlpId, a regra não pertence a uma política DLP. | dlpId=GUID | Opcional | Sim |
| st | Última data modificada de uma regra | st=UTC date-time | Obrigatório | Não |
| ação | Ação tomada por uma regra; poderia ter várias ações por regra | action=ação única Se houver várias ações aplicadas a uma regra, haverá vários campos de ação. |
Obrigatório | Não |
| Sev | Auditar a gravidade da regra | sev=1, 2 ou 3 Onde 1 representa baixo, 2 é médio e 3 significa alto. |
Opcional | Não |
| Modo | Estado da regra quando ela foi atingida (imposição, auditoria ou auditoria). | mode=audit, auditandnotify ou enforcement | Obrigatório | Não |
| loadW | Relógio de Parede de Carga; o campo é opcional | loadW=time em ms | Opcional | Não |
| loadC | Carregar relógio de CPU; o campo é opcional | loadC=time em ms | Opcional | Não |
| execW | Executar Relógio de Parede; o campo é opcional | execW=time em ms | Opcional | Não |
| execC | Executar relógio de CPU; o campo é opcional | execC=time em ms | Opcional | Não |
| id de mensagem | ID da mensagem | message-id=ID da mensagem | Obrigatório | Não |
| date-time | Data e hora em que a mensagem foi enviada em tempo universal | date-time=UTC date-time | Obrigatório | Não |
| sender-address | Email endereço especificado no campo remetente | endereço sender-address=Email | Obrigatório | Não |
| destinatário-endereço | Email endereço(es) dos destinatários da mensagem | endereço do destinatário=Email | Obrigatório | Não |
| message-subject | Dados encontrados no campo de assunto da mensagem | cadeia de caracteres de entrada message-subject=end-user | Obrigatório | Não |
Para obter mais informações
Prevenção contra perda de dados
Criar relatórios de incidente para detecções de política DLP