Cómo se aplican las reglas DLP para evaluar los mensajes en Exchange 2013
Se aplica a: Exchange Server 2013
Puede configurar reglas de información confidencial dentro de las directivas de prevención de pérdida de datos (DLP) de Microsoft Exchange para detectar datos específicos en los mensajes de correo electrónico. Este tema le ayudará a comprender cómo se aplican estas reglas y cómo se evalúan los mensajes. Puede evitar las interrupciones de flujos de trabajo a sus usuarios de correo electrónico y obtener un alto nivel de precisión con sus detecciones de DLP si sabe cómo se aplican sus reglas. Como ejemplo, vamos a usar la regla de información de tarjetas de crédito proporcionada por Microsoft. Al activar una regla de transporte o una directiva DLP, el agente de reglas de transporte de Exchange compara los mensajes que los usuarios envían con los conjuntos de reglas que cree.
Obtener la precisión que necesita
Imagine que necesita tomar una acción determinada en cuanto a la información de las tarjetas de crédito en los mensajes. Las acciones que realice una vez que se encuentren esos mensajes no son el tema de este tema, pero puede obtener más información al respecto en Acciones de regla de transporte en Exchange 2013. Debe asegurarse de que lo que se detecta en un mensaje es realmente datos de tarjeta de crédito y no otra cosa (por ejemplo, un código de reserva o un número de identificación del vehículo). Para satisfacer esta necesidad, vamos a dejar claro que la siguiente información debe clasificarse como una tarjeta de crédito:
Margie's Travel,
He recibido la información actualizada de la tarjeta de crédito de Manuel.
Manuel Ortega
Visa: 4111 1111 1111 1111
Caduca: 2/2012
Actualice su perfil de viajes. **
También vamos a dejar claro que la siguiente información no debe clasificarse como una tarjeta de crédito:
Hola Alex,
Espero estar en Hawaii también. Mi código de reserva es 1234 1234 1234 1234 y estaré allí en marzo de 2012.
Saludos, Elisa
El siguiente fragmento de código XML muestra cómo estas necesidades se definen actualmente en una regla de información confidencial que se proporciona con Exchange:
<Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085" patternsProximity="300" recommendedConfidence="85">
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
<Any minMatches="1">
<Match idRef="Keyword_cc_verification" />
<Match idRef="Keyword_cc_name" />
<Match idRef="Func_expiration_date" />
</Any>
</Pattern>
</Entity>
Coincidencia de patrones en su solución
La definición de reglas XML mostrada anteriormente incluye la coincidencia de patrones, que mejora la probabilidad de que la regla detecte solo la información importante, y no información irrelevante relacionada. Para más información sobre el esquema XML para reglas y plantillas de DLP, vea Definir sus propios tipos de información y plantillas de DLP.
En la regla de tarjeta de crédito, hay una sección de código XML para patrones, que incluye una coincidencia de identificador principal y otras pruebas corroborativas. Todos estos requisitos se explican aquí:
<IdMatch idRef="Func_credit_card" />: esta línea requiere una coincidencia de una función, denominada tarjeta de crédito, que se define internamente. Esta función incluye un par de validaciones de la forma siguiente:Coincide con una expresión regular (en esta instancia para 16 dígitos) que también podría incluir variaciones como un delimitador de espacio para que también coincida con 4111 1111 1111 1111 o un delimitador de guion para que también coincida con 4111-1111-1111-1111-1111.
Evalúa el algoritmo de suma de comprobación del Lhun con respecto al número de 16 dígitos para garantizar que la probabilidad de que sea un número de tarjeta de crédito es alta.
Requiere una coincidencia obligatoria, tras la cual se evalúa la prueba adicional.
<Any minMatches="1">: esta sección indica que se requiere la presencia de al menos uno de los siguientes elementos de evidencia.La evidencia corroborativa puede ser una coincidencia de una de estas tres declaraciones:
<Match idRef="Keyword_cc_verification"/><Match idRef="Keyword_cc_name"/><Match idRef="Func_expiration_date"/>
Estos tres estados de cuenta significan una lista de palabras clave para las tarjetas de crédito, los nombres de las tarjetas de crédito o una fecha de expiración. La fecha de caducidad se define y se evalúa internamente como otra función.
El proceso de evaluación de contenido con las reglas
Estos cinco pasos representan acciones que Exchange realiza para comparar su regla con los mensajes de correo electrónico. Para nuestro ejemplo de regla de tarjetas de crédito, se llevan a cabo los siguientes pasos.
| Paso | Acción |
|---|---|
| 1. Obtener contenido | Sergio Valladares Visa: 4111 1111 1111 1111 Vence: 2/2012 |
| 2. Análisis de expresiones regulares | 4111 1111 1111 1111 -> se detectó un número de 16 dígitos |
| 3. Análisis de funciones | 4111 1111 1111 1111 -> coincide con suma de comprobación 1234 1234 1234 1234 -> no coincide |
| 4. Pruebas adicionales | La palabra clave Visa está próxima al número. Una expresión regular para una fecha (2/2012) está próxima al número. |
| 5. Veredicto | Expresión regular que coincide con una suma de comprobación. Las pruebas adicionales aumentan la confianza. |
Las pruebas de corroboración (por ejemplo, palabras clave) son necesarias en el contenido del mensaje para que coincidan con la regla. Se detecta que el contenido siguiente no contiene una tarjeta de crédito:
Margie's Travel,
He recibido la información actualizada de Manuel.
Manuel Ortega
4111 1111 1111 1111
Actualice su perfil de viaje.
Puede usar una regla personalizada que defina un patrón sin pruebas adicionales. En este ejemplo se detectarían mensajes con un número de tarjeta de crédito solo sin ninguna evidencia corroboradora.
<Pattern confidenceLevel="85">
<IdMatch idRef="Func_credit_card" />
</Pattern>
</Entity>
También puede ampliar los ejemplos de tarjetas de crédito de este artículo a otras reglas de información confidencial. Para ver la lista completa de las reglas proporcionadas por Microsoft en Exchange, use el cmdlet Get-ClassificationRuleCollection en el Shell de administración de Exchange. Por ejemplo:
$rule_collection = Get-ClassificationRuleCollection
[System.IO.File]::WriteAllBytes('oob_classifications.xml', $rule_collection[0].SerializedClassificationRuleCollection)
Más información
Prevención de pérdida de datos