檢視 DLP 原則偵測報告
適用於:Exchange Server 2013
資料外洩防護 (DLP) 原則偵測管理廣義地定義組織為了查明、調查與解決違反 DLP 原則所執行的活動。 為了管理事件,您需要存取資訊來識別 DLP 原則所偵測到的狀況。 此偵測資訊與現有的 Microsoft Exchange Server 2013 資料和記錄格式已整合,可讓您利用現有一個豐富的資料系統來管理郵件流程事件。
如需建立附隨報告以及單一原則偵測事件的相關資訊,請參閱 建立 DLP 原則偵測的附隨報告。 如需郵件記錄的相關資訊,請參閱 使用傳遞回報追蹤郵件。
注意事項
Exchange 2013:DLP 是需要 Exchange 企業版用戶端存取授權 (CAL) 的高階功能。 如需 CAL 和伺服器授權的詳細資訊,請參閱 Exchange 授權常見問題。
稽核資訊
與 Exchange 中的 DLP 偵測管理相關的資料已整合至郵件追蹤記錄,也稱為傳遞回報。 此功能重複使用許多系統中提供的記錄架構。 如需一般資訊,包括瞭解訊息追蹤記錄檔的結構,請檢閱 瞭解訊息追蹤 或 使用傳遞報告追蹤訊息中的現有內容。
傳遞回報是在信箱伺服器上執行傳輸服務之電腦上進行郵件往返時的所有郵件活動詳細記錄。 您可以使用 Get-MessageTrackingLog Cmdlet,透過 Exchange 管理命令介面來存取訊息追蹤記錄。 資料已整合至遵從現有的資料格式與慣例的傳遞回報。
資料記錄格式
郵件追蹤記錄包含來自涉及處理郵件流程內容之代理程式的資料。 對於 DLP 而言,傳輸規則代理程式 (TRA) 是用來呼叫深入的郵件內容掃描,以及用來套用定義為 ETR 一部分的原則。 現有的 AgentInfo 事件是用來新增郵件追蹤記錄中的 DLP 相關項目。
代理程式名稱在 AgentInfo 事件中為 [TRA] 或 [傳輸規則代理程式]。 將會依描述套用至郵件之 DLP 程序的郵件來記錄單一 AgentInfo 事件。 郵件追蹤記錄項目欄位的 [CustomData] 欄位其中的 DLP 資料是由出現的傳輸規則代理程式所記錄。 此欄位可包含多個項目: 郵件中找到的每一個資料分類有一項資料分類與客戶資訊行,每一個套用至郵件的規則有一個規則行,以及每一個超過負載或執行時間閾值的規則有一個健全狀況監視行。
DLP 記錄項目的示例顯示在此處。 輸出已格式化以顯示新行之間分隔行中的字串。
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
「傳輸規則代理程式」需要分組規則 ID、DLP 原則 ID (選用)、上次修改日期、動作、嚴重性、模式、偵測到的資料分類 (選用),以及根據規則 ID (由記錄行中的 "TRA=ETR" 指示) 的寄件者覆寫 (選用)。 其也需要將資料分類 ID、計數,以及分類的信賴等級依分類名稱 (由記錄行中的 "TRA=DC" 指示) 分組。
其他分組包含資料分類 ID、寄件者置換 (選用),以及根據用戶端 (由記錄行中的 "TRA=CI" 指示) 所偵測到之所有分類的資料分類 ID 的覆寫理由 (選用)。 「傳輸規則代理程式」也需要將規則 ID、載入牆上時間 (選用)、載入 CPU 時間 (選用)、執行牆上時間 (選用),以及執行 CPU 時間 (選用) 依超過載入或執行牆上時間或 CPU 時間閾值 (由記錄行中的 "TRA=ETRP" 指定) 之所有規則的規則 ID 進行分組。
以下是資料欄位的完整清單。 MTL 中的所有資料為類型字串。 格式欄說明如何辨識郵件追蹤記錄中的每一個欄位。 選用欄位欄指定當規則相符時無法記錄哪些欄位。 DLP 特定欄顯示哪些欄位是專用於 DLP 功能。
| 欄位名稱 | 描述 | 格式 | 選用欄位 | DLP 專屬 |
|---|---|---|---|---|
| TRA | 傳輸規則代理程式;鍵入 AgentName | TRA=DC、 ETR、 CI 或 ETRP | 強制性 | 否 |
| 直流 | 資料分類;鍵入 groupName | TRA=DC | 選用 | 是 |
| ETR | 交換傳輸規則;鍵入 groupName | TRA=ETR | 強制性 | 否 |
| 詞 | 用戶端資訊,鍵入 groupName | TRA=CI | 選用 | 是 |
| ETRP | 交換傳輸規則效能;鍵入 groupName | TRA=ETRP | 選用 | 否 |
| dcid | 資料分類的 ID | dcid=GUID | 選用 | 是 |
| Count | 資料分類的計數 | count=Integer | 選用 | 是 |
| conf | 資料分類的信賴等級 | conf = 整數 (%) | 選用 | 是 |
| sndOverride | 寄件者覆寫;該欄位是可選的。 在 TRA=CI 行中,當欄位設定為 「or」 表示已覆寫資料分類時。 如果欄位設定為 「fp」,表示資料分類回報為誤判。 在 TRA=ETR 行中,當欄位設定為 「or」 時,表示已覆寫規則或規則的一部分。 如果欄位設定為 「fp」,表示規則或規則的一部分回報為誤判。 |
sndOverride=or 或 fp 其中 「or」 代表覆寫,而 「fp」 表示誤判。 當使用者已針對規則回報覆寫或誤判時,會顯示 sndOverride 欄位。 |
選用 | 是 |
| 只是 | 理由;欄位是選擇性的,而且只有在傳送者覆寫欄位等於 TRA=CI 行中的 「or」 時才能使用。 理由文字是由使用者提供作為應該覆寫資料分類的原因。 | just = IW 輸入理由字串 只有在使用者報告覆寫時才會記錄理由欄位。 |
選用 | 是 |
| ruleId | 規則的 ID | ruleId=GUID | 強制性 | 否 |
| dlpId | DLP 原則的 ID。 欄位是選擇性的;如果沒有 dlpId,則規則不屬於 DLP 原則。 | dlpId=GUID | 選用 | 是 |
| 聖 | 規則的上次修改日期 | st=UTC 日期及時間 | 強制性 | 否 |
| action | 依規則採取的動作;每一個規則可具備多個動作 | action=單一動作 如果一個規則有多個動作,則會有多個動作欄位。 |
強制性 | 否 |
| sev | 規則的稽核嚴重性 | sev = 1、 2 或 3 其中 1 表示低,2 表示中,而 3 表示高。 |
選用 | 否 |
| 模式 | 叫用時的規則狀態 (強制執行、稽核或 auditandnotify)。 | mode = 稽核、auditandnotify 或強制執行 | 強制性 | 否 |
| loadW | 載入牆上時間;該欄位是可選的 | loadW = 時間毫秒 | 選用 | 否 |
| loadC | 載入 CPU 時間;該欄位是可選的 | loadC = 時間毫秒 | 選用 | 否 |
| execW | 執行牆上時間;該欄位是可選的 | execW = 時間毫秒 | 選用 | 否 |
| execC | 執行 CPU 時間;該欄位是可選的 | execC = 時間毫秒 | 選用 | 否 |
| message-id | 郵件 ID | message-id = 郵件 ID | 強制性 | 否 |
| date-time | 以國際標準時間傳送郵件的日期與時間 | date-time = UTC 日期及時間 | 強制性 | 否 |
| sender-address | 在寄件者欄位中指定的電子郵件地址 | sender-address = 電子郵件地址 | 強制性 | 否 |
| recipient-address | Email郵件收件者 () 的位址 (es) | recipient-address = 電子郵件地址 | 強制性 | 否 |
| message-subject | 在郵件的主旨欄位中找到的資料 | message-subject = 使用者輸入主旨字串 | 強制性 | 否 |