На этом шаге определите действия, которые программа будет выполнять над сообщениями, нарушившими политику, а также укажите получателей, которым программа будет отправлять уведомления о нарушении политики.
Чтобы определить действия, настройте следующие параметры:
Удаление сообщения, вызвавшего нарушение политики.
Если флажок установлен, программа удаляет сообщение, вызвавшее нарушение политики. Сообщение удаляется, если любая часть сообщения (заголовок, содержимое или любое из его вложений) нарушает политику.
Если флажок снят, программа пропускает сообщение без изменений.
Независимо от того, установлен или снят флажок, при нарушении политики программа регистрирует событие как возможную утечку данных и создает инцидент.
В раскрывающемся списке вы можете выбрать приоритет, который программа присваивает инциденту при нарушении политики: Низкий, Средний, Высокий. Приоритет отражает степень опасности нарушения политики и срочность, с которой инцидент должен быть обработан.
Добавление записей о нарушениях политики в журнал событий Windows.
Если флажок установлен, программа при нарушении политики записывает в журнал событий Windows следующее событие: “Уровень (Level)=Warning; Источник (Source)=KSCM8; Код события (Event ID)=16000”. В описании события содержатся сведения об отправителе, получателях, теме сообщения, о нарушенной политике и связанной с ней категории.
События о нарушении политики могут быть полезны, если вы используете автоматизированные системы сбора и анализа событий безопасности (SIEM, Security Information and Event Management) для контроля состояния информационной безопасности организации. С помощью этих событий вы можете получать актуальную информацию о возникающих инцидентах в то время, когда вы не пользуетесь Консолью управления.
Если флажок снят, запись событий в журнал событий Windows не выполняется.
По умолчанию флажок снят.
Чтобы указать получателей уведомлений, настройте следующие параметры:
Отправка уведомления о нарушении политики на адреса специалистов по информационной безопасности.
Если флажок установлен, программа при нарушении политики посылает уведомление с информацией о нарушении на адрес (адреса) специалистов по информационной безопасности. Адрес или список адресов специалистов по информационной безопасности должен быть предварительно настроен в узле Защита данных от утечек.
Если флажок снят, программа не посылает уведомление на адреса специалистов по информационной безопасности.
Отправка уведомления о нарушении политики менеджеру отправителя сообщения.
Если флажок установлен, программа при нарушении политики посылает менеджеру отправителя сообщения уведомление с информацией о нарушении. Программа получает адрес менеджера отправителя из Active Directory®.
Если флажок снят, программа не посылает уведомление менеджеру отправителя сообщения.
Отправка уведомления о нарушении политики на дополнительные адреса.
Если флажок установлен, программа при нарушении политики посылает уведомление с информацией о нарушении на дополнительные адреса, указанные в поле ввода.
Если флажок снят, программа не посылает уведомление на дополнительные адреса.