Sviluppo di file modello di criteri DLP in Exchange 2013
Si applica a: Exchange Server 2013
Nella seguente panoramica, vengono illustrati i componenti di una definizione dello schema XML per i file modello del criterio di prevenzione della perdita di dati (DLP) e viene fornito anche un file di criteri di esempio in formato XML. È utile comprendere l'architettura DLP complessiva e il processo di sviluppo delle regole prima di iniziare. Per altre informazioni, vedere Prevenzione della perdita dei dati e Definire modelli E tipi di informazioni DLP personalizzati.
Per semplificare l'uso e la gestione delle soluzioni per la prevenzione della perdita di dati, in Exchange Server 2013 viene introdotto un modello concettuale noto come criteri DLP e modello di criteri. I modelli di criteri DLP offrono una struttura preliminare del criterio DLP desiderato. Affinché possa essere valutato, un modello di criterio DLP deve incapsulare tutte le direttive e gli oggetti dati richiesti per soddisfare un determinato obiettivo per i criteri, quale una normativa o un'esigenza aziendale. Il modello non è specifico dell'ambiente. Si tratta semplicemente di una definizione o un modello di criteri che possono essere forniti come parte della configurazione del prodotto o forniti da editori e partner software indipendenti. Al contrario, i criteri DLP sono installazioni di runtime dei modelli specifici dell'ambiente di distribuzione. Il framework dei criteri di messaggistica esistente può incorporare criteri DLP tramite l'uso di regole di trasporto. Le regole di trasporto forniscono una notevole flessibilità nell'adattamento e nella definizione della ricchezza delle soluzioni DLP.
Struttura e origini dei modelli di criteri
I modelli di criteri DLP sono, generalmente, influenzati da più origini, quali direttive di elaborazione basate sul server, criteri dei computer client o altri costrutti di criteri, come illustrato nell'immagine seguente:
Sono disponibili semplici operazioni di gestione per i modelli di criteri DLP tramite Exchange Management Shell e interfacce basate su Internet, ad esempio l'interfaccia di amministrazione di Exchange, che includono funzionalità di importazione, esportazione, eliminazione e query. Un criterio DLP viene creato facendo riferimento a un modello di criteri DLP come parte del processo di creazione. Tali modelli di criteri DLP possono fare riferimento ai criteri installati nel sistema, che sono archiviati nei servizi di dominio di Active Directory, oppure essere forniti direttamente come input da criteri forniti esternamente.
I modelli di criteri DLP sono rappresentati come documenti XML. Un singolo schema XML viene utilizzato anche per i criteri forniti all'interno e all'esterno di Exchange. La struttura concettuale del documento XML viene rappresentata nella tabella seguente, che mostra gli elementi principali. Il set di definizioni dei componenti dei criteri consente di raggiungere un obiettivo di criteri specifico, ad esempio un regolamento o un'esigenza aziendale.
| Elemento strutturale | Significato o esempio |
|---|---|
| Autore | Microsoft o Partner |
| Versione | 15.0.1.0 |
| Nome criterio | PCI-DSS |
| Descrizione | I criteri DLP PCI-DSS consentono di rilevare la presenza di informazioni soggette a PCI Data Security Standard (PCI DSS), incluse informazioni come i numeri di carta di credito o di debito. L'uso di questo criterio non garantisce la conformità ad alcun regolamento. Al termine del test, effettuare le necessarie modifiche di configurazione in Exchange in modo che la trasmissione delle informazioni sia conforme ai criteri dell'organizzazione. Gli esempi includono la configurazione di TLS con partner aziendali noti o l'aggiunta di azioni più restrittive per le regole di trasporto, ad esempio l'aggiunta della protezione dei diritti ai messaggi che contengono questo tipo di dati. |
| Metadati | Tag per descrivere la normativa locale, il paese o la regione, le parole chiavi e altro ancora. |
| Insieme di costrutti di criteri | Definizioni delle regole di trasporto, quali condizioni e azioni. Definizioni del comportamento client di posta elettronica che controllano le prestazioni dei client tramite notifiche interattive. Facoltativamente, riferimenti di configurazione che devono essere coordinati con impostazioni client specifiche dell'ambiente. |
| Insieme di classificazioni dei dati | Indica le affinità ed entità delle classificazioni. Le entità dispongono di un conteggio e una probabilità, le affinità solo di una probabilità. È dotato di una propria serie di schemi di classificazione e proprietà. |
Definizione del formato dei modelli di criteri
I modelli di criteri DLP sono rappresentati come documenti XML che aderiscono al seguente schema. L'XML distingue tra maiuscole e minuscole. Ad esempio, dlpPolicyTemplates funzionerà, ma DlpPolicyTemplates non funzionerà.
<?xml version="1.0" encoding="UTF-8"?>
<dlpPolicyTemplates>
<dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
<contentVersion>4</contentVersion>
<publisherName>Microsoft</publisherName>
<name>
<localizedString lang="en">PCI-DSS</localizedString>
</name>
<description>
<localizedString lang="en">Detects the presence of information subject to Payment Card Industry Data Security Standard (PCI-DSS) compliance requirements.</localizedString>
</description>
<keywords></keywords>
<ruleParameters></ruleParameters>
<ruleParameters/>
<policyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP Policy."]]>
</commandBlock>
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "%%DlpPolicyName%%" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP Policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]>
</commandBlock>
</policyCommands>
<policyCommandsResources></policyCommandsResources>
</dlpPolicyTemplate>
</dlpPolicyTemplates>
Se un elemento nel parametro incluso nel file XML include uno spazio, il parametro deve essere messo tra virgolette, altrimenti non funzionerà. Nell'esempio seguente il parametro che segue -SentToScope è accettabile e non include virgolette doppie perché è una stringa continua di caratteri senza spazio. Tuttavia, il parametro specificato per Comments non verrà visualizzato nell'interfaccia di amministrazione di Exchange perché non sono presenti virgolette doppie e include spazi.
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments Monitors payment card information sent inside the organization -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
Elemento LocalizedString
Il formato del modello offre la possibilità di localizzare le stringhe nel modello, che possono essere presentate all'utente finale, ad esempio come parte della selezione dei modelli di criteri DLP installati. L'elemento LocalizedString può essere utilizzato per fornire più definizioni per i campi Nome e Descrizione.
Nodo RuleParameters
Si tratta di un set facoltativo di parametri che devono essere forniti durante la fase di creazione di istanze del modello durante la creazione di un criterio DLP per eseguire il mapping a oggetti specifici della distribuzione. Ad esempio ,un gruppo di distribuzione effettiva disponibile nella distribuzione.
Elemento DlpPolicyTemplate
Si tratta dell'elemento radice per il modello di criteri DLP ed è obbligatorio per tutti i modelli. Nella tabella seguente, sono elencati gli attributi disponibili:
| Nome attributo | Obbligatorio? | Descrizione |
|---|---|---|
| Versione | Sì | La versione numero utilizzata in questo documento di modelli di criteri DLP. |
| Stato | No | Configurazione predefinita opzionale per lo stato del criterio. |
| Modalità | No | Configurazione predefinita opzionale per la modalità del criterio. |
| Id | No | Un GUID per identificare in modo univoco tale definizione del modello di criteri DLP nel seguente formato:"A29C69BF-4F98-47F1-9A99-5771DFD2C27F". |
Gli elementi figlio includono la seguente sequenza di elementi.
| Elemento figlio | (minimo, massimo) | Descrizione |
|---|---|---|
| Publishername | (1, 1) | Metadati per l'editore del modello |
| Nome | (1, 1) | Nome localizzabile nome per questo modello. |
| Descrizione | (1, 1) | Descrizione localizzabile per questo modello. |
| Parole chiave | (1, 1) | Elenco di parole chiave applicabile a questo modello. Un modello può avere un elenco di parole chiave vuoto. |
| RuleParameters | (0, 1) | Elenco di parametri di modello utilizzati nella definizione del criterio. |
| PolicyCommands | (0, 1) | Elenco di definizioni delle regole di trasporto per questo criterio. Si tratta di un elemento opzionale. |
Modello di criteri DLP: PolicyCommands
Questa parte del modello di criteri contiene l'elenco dei comandi di Exchange Management Shell utilizzati per creare un'istanza della definizione dei criteri. Il processo di importazione esegue ognuno dei comandi come parte del processo di creazione di istanze. Comandi di criteri di esempio vengono forniti qui.
<PolicyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<CommandBlock> <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "PCI-DSS" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP policy."]]></CommandBlock>
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
</PolicyCommands>
Il formato dei cmdlet è la sintassi dei cmdlet di Exchange Management Shell standard per i cmdlet utilizzati. I comandi vengono eseguiti in sequenza. È possibile che ognuno dei nodi del comando contenga un blocco di script, costituito da più comandi. Di seguito, è riportato un esempio che spiega come incorporare il pacchetto di regole di classificazione all'interno di un modello di criteri DLP, installando il pacchetto di regole come parte del processo di creazione dei criteri. Il pacchetto di regole di classificazione viene incorporato nel modello di criteri e, quindi, passato come parametro al cmdlet all'interno del modello:
<CommandBlock>
<![CDATA[
$rulePack = [system.Text.Encoding]::Unicode.GetBytes('<?xml version="1.0" encoding="utf-8"?>
<rulePackage xmlns="http://schemas.microsoft.com/office/2011/mce">
<RulePack id="c3f021a3-c265-4dc2-b3a7-41a1800bf518">
<Version major="1" minor="0" build="0" revision="0"/>
<Publisher id="e17451d3-9648-4117-a0b1-493a6d5c73ad"/>
<Details defaultLangCode="en-us">
<LocalizedDetails langcode="en-us">
<PublisherName>Contoso</PublisherName>
<Name>Contoso Sample Rule Pack</Name>
<Description>This is a sample rule package</Description>
</LocalizedDetails>
</Details>
</RulePack>
<Rules>
<Entity id="7cc35258-6b35-4415-baff-a76d1a018980" patternsProximity="300" recommendedConfidence="85" workload="Exchange">
<Pattern confidenceLevel="85">
<IdMatch idRef="Regex_Contoso" />
<Any minMatches="1">
<Match idRef="Regex_conf" />
</Any>
</Pattern>
</Entity>
<Regex id="Regex_Contoso">(?i)(\bContoso\b)</Regex>
<Regex id="Regex_conf">(?i)(\bConfidential\b)</Regex>
<LocalizedStrings>
<Resource idRef="7cc35258-6b35-4415-baff-a76d1a018980">
<Name default="true" langcode="en-us">
Confidential Information Rule
</Name>
<Description default="true" langcode="en-us">
Sample rule pack - Detects Contoso confidential information
</Description>
</Resource>
</LocalizedStrings>
</Rules>
</RulePackage>
')
New-ClassificationRuleCollection -FileData $rulePack
New-TransportRule -name "customEntity" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -MessageContainsDataClassifications @{Name="Confidential Information Rule"} -SetAuditSeverity High]]>
</CommandBlock>
Gli elementi figlio includono la seguente sequenza ordinata di elementi.
| Elemento figlio | (minimo, massimo) | Descrizione |
|---|---|---|
| CommandBlock | (1, n) | Un blocco di comandi eseguito in PowerShell. I blocchi di comandi vengono eseguiti in sequenza. |
Ulteriori informazioni
Prevenzione della perdita di dati
Definire modelli DLP e tipi di informazione propri
Importare un modello di criteri DLP personalizzato da un file