Создание отчетов об инцидентах для обнаружений политики DLPCreate incident reports for DLP policy detections

Применимо к: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

В Exchange Server 2013 можно установить действие для создания отчета об инциденте в наборе правил политики защиты от потери данных. Кроме того, вы можете указать, кому должны отправляться отчеты и что делать с оригинальным сообщением. Отчет может содержать любые из следующих данных.In Exchange Server 2013, you can establish an action to create an incident report within a DLP policy rule set. Additionally, you can indicate to whom the report should be sent and what to do with the original message. The incident report can contain any of the following information.

Содержание отчета управления инцидентамиContent of an incident management report

Действие Создать отчет об инциденте позволяет пользователям посылать отчеты о событиях на ящик управления инцидентами. Один отчет создается для каждого сообщения только в том случае, если действие Создать отчет об инциденте применяется в политике.The Generate Incident Report action enables users to send incident reports to an incident management mailbox. A single incident report will be generated for each message only if the Generate Incident Report action is applied within a policy.

Ниже приводится полный список строк в шаблоне отчета. Столбец формата описывает, как опознать каждое поле в отчете. Необязательное поле столбца указывает, каких из полей может не быть в отчете для каждого правила. В столбце DLP приведены поля, созданные в результате работы компонента DLP.The following is a complete list of the line names in the incident report template. The format column describes how to recognize each field in the report. The optional field column specifies what fields might not be in the Report for each rule match. The DLP specific column shows what fields exist as a result of the DLP feature.

Имя строкиLine name

ОписаниеDescription

ФорматFormat

Необязательное полеOptional field

Характерное для DLPDLP specific

Идентификатор сообщенияMessage-Id

Идентификатор исходного отправленного сообщенияID of the original sent message

Идентификатор сообщения: Идентификатор сообщенияMessage-Id: ID of message

ОбязательноеMandatory

НетNo

ОтправительSender

Подлинный отправитель исходного сообщенияTrue sender of the original message

Отправитель: Адрес электронной почты отправителяSender: Email address of sender

ОбязательноеMandatory

НетNo

ТемаSubject

Тема исходного сообщенияSubject of the original message

Тема: Строка темы конечного пользователяSubject: end-user input subject string

ОбязательноеMandatory

НетNo

КомуTo

Получатель или получатели исходного сообщенияRecipient or recipients of the original message

Каждая строка "Кому" будет содержать только одного получателя, и может быть указано до 10 получателей, отображаемых в отчете. Если существуют дополнительные получатели, в следующей строке "Кому" будет отображаться оставшееся количество получателей.Each To line will only contain a single recipient, and there can be up to 10 recipients displayed in the Incident Report. If there are additional recipients, the next To line will display the remaining number of recipients.

Кому: Адрес электронной почты получателяTo: Email address of recipient

ОбязательноеMandatory

НетNo

КопияCC

Поле "Копия" исходного сообщения; строка является необязательнойCC email address of the original message; the line is optional

Каждая строка копии будет содержать только один адрес электронной почты для отправки копии, и в отчете может быть указано до 10 адресов электронной почты для отправки копии. Если есть дополнительные адреса, следующая строка копии будет содержать оставшееся количество адресов электронной почты для отправки копии.Each CC line will only contain a single CC email address, and there can only be up to 10 CC email addresses that are displayed in the Incident Report. If there are additional CC addresses, the next CC line will display the remaining number of CC email addresses.

Копия: Адрес электронной почты получателя копииCC: Email address of CC recipient

НеобязательныйOptional

НетNo

Скрытая копияBCC

Поле "Скрытая копия" исходного сообщения; строка является необязательнойBCC email address of the original message; the line is optional

Каждая строка скрытой копии будет содержать только один адрес электронной почты для отправки копии, и в отчете может быть указано до 10 адресов электронной почты для отправки скрытой копии. Если есть дополнительные адреса, следующая строка скрытой копии будет содержать оставшееся количество адресов электронной почты для отправки скрытой копии.Each BCC line will only contain a single BCC email address, and there can only be up to 10 BCC addresses that are displayed in the Incident Report. If there are additional BCC email addresses, the following BCC line will display the remaining number of BCC email addresses.

Скрытая копия: Адрес электронной почты получателя скрытой копииBCC: Email address of BCC recipient

НеобязательныйOptional

НетNo

СерьезностьSeverity

Уровень срабатывания правила; отображает наивысшую серьезность, если сработало несколько правил.Audit severity of the rule hit; displays the highest severity if multiple rules were hit.

Серьезность: низкий, средний или высокий уровеньSeverity: Low, Medium, or High

НеобязательныйOptional

НетNo

ПереопределениеOverride

Указывает, сообщается ли о переопределении для сообщения, и приводит обоснование.Displays if an override was reported for the message, and the justification of the override if provided.

Переопределение: да, обоснование: Строка ввода обоснованияOverride: Yes, Justification: IW input justification string

НеобязательныйOptional

ДаYes

Ложное срабатываниеFalse Positive

Указывает, сообщено ли о сообщении как о ложном срабатывании.Displays if a false positive was reported for the message.

Ложное срабатывание: ДаFalse Positive: Yes

НеобязательныйOptional

ДаYes

Классификация данныхData Classification

Классификации обнаруженных данных, найденных в исходном сообщении; строка является необязательнойDetected data classifications found in the original message; the line is optional.

Каждая строка классификации данных будет содержать только одну обнаруженную классификация вместе с ее количеством, вероятностью, а также рекомендуемой минимальной степенью достоверности. До 5 обнаруженных классификаций будет отображаться в отчете. Если классификация была привязкой, значение счетчика не применяется и не будет отображаться.Each data classification line will only contain a single detected classification along with its count, confidence, and recommended minimum confidence level. Up to 5 detected classifications will be displayed in the Incident Report. If the detected classification was an affinity, the count value does not apply and will not be shown.

Классификация данных: тип конфиденциальной информации, число: число экземпляров конфиденциальной информации, найденных в сообщение, вероятность: процентное значение, рекомендуемый минимум достоверности: процентное значениеData Classification: sensitive information type, Count: instances of the sensitive information found in the message, Confidence: percent value, Recommended Minimum Confidence: percent value

НеобязательныйOptional

ДаYes

Срабатывание правилаRule Hit

Отображает все правила, которые сработали на исходном сообщении.Displays all the rules that hit the original message.

Включает имя сработавшего правила, политику DLP, где находится правило, действия, которые были выполнены для сообщения из-за правила, классификации данных в правиле, из-за которых оно сработало, и определение правила.Includes the name of the rule that was hit, the DLP Policy (optional) that the rule resides in, action(s) that were taken on the message because of the rule, data classification(s) in the rule that caused the rule to hit, and the definition of the rule.

Срабатывание правила: имя правила, политика DLP: имя политики DLP, если это применимо, действие: одно действие, классификация данных: тип конфиденциальной информации, определение: определение правила, если это применимоRule Hit: rule name, DLP Policy: DLP Policy name if applicable, Action: single action, Data Classification: sensitive information type, Definition: rule definition if applicable

ОбязательноеMandatory

НетNo

ID совпаденияID Match

Отображает найденную классификацию данных, точное соответствие в содержимом сообщения и основное свидетельство совпадения с классификацией данных; строка необязательна.Displays the matched data classification, the exact matched content from the message, and the primary evidence of the data classification match; the line is optional.

ID совпадения: тип конфиденциальной информации, значение: фактическое значение конфиденциальных данных, контекст: текст вокруг данных в сообщенииID Match: sensitive information type, Value: actual value of the sensitive data, Context: text around the sensitive data in the message

НеобязательныйOptional

ДаYes

Дополнительные сведенияFor more information

Просмотр отчетов об обнаружении политик защиты от потери данныхView DLP policy detection reports

Защита от потери данныхData loss prevention