

Data Loss Prevention (DLP)
DLP، سیستمی است که به منظور شناسایی به موقع یک حادثه بالقوه نقص یا نشت اطلاعات و جلوگیری از آن، طراحی شده است. به عبارت دیگر DLP به مدیران شبکه امکان مدیریت اطلاعات حساس را در Exchange می دهد.
DLP از طریق DLP Policy ها، کار می کند. DLP Policy ها بسته های حاوی یکسری از Rule های ایجاد شده از نوع Transport Rule، هستند. در واقع، DLP Policy ها، چیزی به جز Transport Rule های ویژه نیستند. DLP Policy ها، بررسی و دسته بندی ایمیل ها را به عنوان ایمیل های حساس و غیر حساس، بر اساس کلمات کلیدی، واژه نامه ها و یا حتی Regex، امکان پذیر می سازند و بدین ترتیب، تعیین می کنند که یک ایمیل، DLP Policy های یک سازمان را نقض نموده است یا خیر.
قابلیت خوب دیگر DLP، پیام هایی بنام Policy Tip هستند. Policy Tip، پیامی است که به ارسال کنندگان ایمیل اخطار می دهد که آنها ممکن است در حال نقض یک DLP Policy باشند.
برای ایجاد یک DLP Policy در:
EAC——> Compliance management ——> data loss prevention TAB
بر روی + کلیک می کنیم. سه گزینه برای ایجاد یک DLP Policy وجود دارد:
۱٫ New DLP Policy from template: ایجاد یک DLP Policy با استفاده از Template های ارائه شده توسط مایکروسافت، هر Template شامل چند Transport Rule آماده است که با Priority های مختلف در کنار هم قرار می گیرند.
۲٫ New DLP Policy from custom Template: ایجاد یک DLP Policy با استفاده از فایل ارائه شده توسط یک شرکت ثالث (Third Party)
۳٫ New Custom DLP policy: ایجاد یک DLP Policy به صورت Manuall
یک DLP Policy می تواند دارای یکی از روش های عملیاتی زیر باشد:
۱٫ Enforce Policy: در این روش، Policy فعال شده است و تمامی Action های تعیین شده در آن، انجام خواهد شد.
۲٫ Test DLP Policy with policy Tips: در این روش، Policy فعال شده است اما Action های تعیین شده در آن اجرا نخواهد شد و تنها در Message Tracking log، ثبت می گردند و Policy Tip ها به کاربران نمایش داده می شوند.
۳٫ Tets DLP Policy without policy Tips: در این روش، Policy فعال شده است اما Action های تعیین شده در آن، اجرا نخواهند شد و تنها در Message Tracking log، ثبت می گردند و Policy Tip ها به کاربران نمایش داده نمی شوند.
نکته: یک DLP Policy می تواند از طریق یک Policy Tip، ابطال شود
ساختار شماتیک
سفارشی سازی پیام Policy Tip:
برای سفارشی سازی پیام Policy Tip در:
EAC ——> Compliance management ——-> data loss prevention TAB
بر روی لینک Manage policy tips کلیک می کنیم و در پنجره باز شده، بر روی + کلیک می کنیم. در قسمت Policy Tip مورد نظر، در قسمت Local، زبان مورد نظر (فارسی پشتیبانی می شود) و در قسمت Text، متن مورد نظر را درج می کنیم. باید توجه داشت که:
-
با انتخاب Notify the sender، متن اختصاص یافته به این نوع Policy Tip، هنگامی که در یک Transport Rule، نوع Action:
Notify the sender with a policy tip ——-> Notify the sender, but allow them to send
انتخاب شده باشد، قابل مشاهده خواهد بود.
-
با انتخاب Allow the sender to override، متن اختصاص یافته به این نوع Policy Tip، هنگامی که در یک Transport Rule، نوع Action:
Notify the sender with a policy tip ——> Block the message unless it’s a false positive
یا
Block the message, but allow the sender to override and send
یا
Block the message, but allow the sender to override with a business justification and send
انتخاب شده باشد، قابل مشاهده خواهد بود.
-
با انتخاب Block the message، متن اختصاص یافته به این نوع Policy Tip، هنگامی که در یک Transport Rule، نوع Action:
Notify the sender with a policy tip ——> Block the message
انتخاب شده باشد، قابل مشاهده خواهد بود.
-
با انتخاب Link to compliance url، آدرس یک صفحه وب وارد می شود که در آن توضیحاتی در مورد Compliance سازمان داده شده است. این صفحه هنگامی که کاربر در یک Policy Tip، بر روی عبارت More details کلیک می کند، ظاهر می گردد.
Manage document fingerprints
یکی دیگر از قابلیت های DLP، شناسایی فرم های استاندارد یک سازمان که برای نامه نگاری و یا هر تبادل اطلاعات رسمی دیگر بکار می روند، به عنوان Sensitive Information می باشد. برای انجام پیکربندی این موضوع، در:
EAC ——> Compliance management ——> data loss prevention TAB
بر روی لینک Manage document fingerprints، کلیک می کنیم و فایل فرم خام مورد نظر را با کلیک بر روی +، اضافه می نماییم. اکنون این فایل به عنوان یک Sensitive information در یک Transport Rule قابل استفاده است.
جدول انواع فایل های مورد پشتیبانی در یک Transport Rule
Category |
File extension |
Notes |
Office 2013, Office 2010, and Office 2007 |
.docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx |
Microsoft OneNote and Microsoft Publisher files aren’t supported by default. You can enable support for these file types by using IFilter integration. For more information, see Register Filter Pack IFilters with Exchange 2013.The contents of any embedded parts contained within these file types are also inspected. However, any objects that aren’t embedded—for example, linked documents—aren’t inspected. |
Office 2003 |
.doc, .ppt, .xls |
None |
Additional Office files |
.rtf, .vdw, .vsd, .vss, .vst |
None |
Adobe PDF |
|
None |
HTML |
.html |
None |
XML |
.xml, .odp, .ods, .odt |
None |
Text |
.txt, .asm, .bat, .c, .cmd, .cpp, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, inf, .ini, inx, .js, .log, .m3u, .pl, .rc, .reg, .txt, .vbs, .wtx |
None |
OpenDocument |
.odp, .ods, .odt |
No parts of .odf files are processed. For example, if the .odf file contains an embedded document, the contents of that embedded document aren’t inspected. |
AutoCAD Drawing |
.dxf |
AutoCAD 2013 files aren’t supported. |
Image |
.jpg, .tiff |
Only the metadata text associated with these image files is inspected. There is no optical character recognition. |
Journaling
برخی از سازمان ها ممکن است نیازمند ثبت تمامی ایمیل های خروجی از سازمان و ورودی به سازمان از منظر چشم انداز مدیریت تطابق باشند. Journaling قابلیتی است که با استفاده از آن می توان تمامی ایمیل ها و رکوردهای مورد نظر را ورودی و خروجی را، ثبت نمود. دو نوع Journaling توسط Exchange ارائه می شود:
الف- Standard Journaling: این Journaling، بر روی Mailbox Database، پیکربندی می شود و می تواند برای ثبت تمامی ایمیل های ورودی و خروجی متعلق به Mailbox هایی که بر روی آن دیتابیس میزبانی می شود، مورد استفاده قرار بگیرد.
ب- Premium Journaling: این نوع Journaling می تواند برای ثبت ایمیل های ورودی و خروجی، بر اساس معیارهایی از قبیل: recipient، distribution group و یا ایمیل های داخلی یا ایمیل های خارجی، مورد استفاده قرار گیرد.
– یک Journal Report برای ایمیل های ارسال شده به خارج از سازمان ممکن است با Journal Report برای ایمیل درون سازمانی، متفاوت باشد. چرا که ایمیل های داخلی حاوی اطلاعات بیشتری در Header، از بابت مبدا و مقصد هستند. اطلاعاتی که در یک Journal Report ارائه می شود، شامل:
-
Sender: شامل SMTP Address فرستنده ایمیل می باشد.
-
Subject: شامل Subject ایمیل Journal شده می باشد
-
Message-ID: شامل Message-ID ایجاد شده به وسیله Exchange می باشد.
-
To: شامل SMTP Address گیرنده ایمیل می باشد. گیرنده ایمیل دربرگیرنده: To، Cc یا Bcc است.
همچنین ایمیل اصلی به صورت Attachment یک Journal Report، قرار می گیرد.
پارامترهای Journaling Rule:
-
Scop ایمیل هایی که Journal شده اند. که می تواند فقط ایمیل های داخلی، فقط ایمیل های خارجی و یا تمامی ایمیل ها، باشد
-
کاربرانی که می خواهیم آنها را Journal کنیم. این کاربر می تواند یک Exchange Mailbox، Distribution Group، Mail User یا Contact باشد.
-
تعیین میل باکسی که Journal Report ها باید به آن فرستاده شود. این Mailbox با عنوان Journal Recipient نامیده می شود. باید توجه داشت که می توان یک Journal Recipient ثانویه به عنوان آلترناتیو تعیین نمود. Alternative Journal Recipient، اغلب در مواردی بکار می رود که Rxchange برای ارسال Journal Report به Journal Recipient های پیکربندی شده، با مشکلی مواجه شود. در این حالت Alternative Journal Recipient، گزارشات NDR را در حالی که Journal Report آنها، Attach شده است، دریافت خواهند کرد. در صورتی که Alternative Journal Recipient پیکربندی نشده باشد، NDR Report ها نیز ایجاد نخواهند شد.