Comparteix a través de

Personalizar un tipo de información confidencial integrado

  • Article

Cuando busca información confidencial en el contenido, es necesario describir esa información en lo que se denomina una regla. Prevención de pérdida de datos de Microsoft Purview (DLP) incluye reglas para los tipos de información confidencial más comunes. Puede usar estas reglas de inmediato. Para usarlos, debe incluirlos en una directiva. Puede ajustar estas reglas integradas para satisfacer las necesidades específicas de su organización. Para ello, cree un tipo de información confidencial personalizado. En este tema se muestra cómo personalizar el archivo XML que contiene la colección de reglas existente para que pueda detectar una gama más amplia de información de tarjetas de crédito potenciales.

Puede tomar este ejemplo y aplicarlo a otros tipos integrados de información confidencial. Para obtener una lista de los tipos de información confidencial predeterminados y las definiciones XML, consulte Definiciones de entidades de tipo de información confidencial.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Exportar el archivo XML de las reglas actuales

Para exportar el XML, debe conectarse a Seguridad y cumplimiento PowerShell.

  1. En PowerShell, escriba lo siguiente para mostrar las reglas de la organización en pantalla. Si no ha creado las suyas propias, solo verá las reglas integradas predeterminadas, con la etiqueta "Paquete de reglas de Microsoft".

    Get-DlpSensitiveInformationTypeRulePackage

  2. Almacene las reglas de su organización en una variable escribiendo lo siguiente. Almacenar algo en una variable hace que esté disponible fácilmente más adelante en un formato que funcione para los comandos de PowerShell.

    $ruleCollections = Get-DlpSensitiveInformationTypeRulePackage

  3. Cree un archivo XML con formato con todos esos datos escribiendo lo siguiente.

    [System.IO.File]::WriteAllBytes('C:\custompath\exportedRules.xml', $ruleCollections.SerializedClassificationRuleCollection)

    Importante

    Asegúrese de que usa la ubicación del archivo donde realmente se almacena el paquete de reglas. C:\custompath\ es un marcador de posición.

Encontrar en el archivo XML la regla que quiera modificar

Los cmdlets anteriores exportaron toda la colección de reglas, que incluye las reglas predeterminadas que proporciona Microsoft. A continuación, tendrá que buscar específicamente la regla de número de tarjeta de crédito que desea modificar.

  1. Use un editor de texto para abrir el archivo XML exportado en la sección anterior.

  2. Desplácese hacia abajo hasta la <Rules> etiqueta , que es el inicio de la sección que contiene las reglas DLP. Dado que este archivo XML contiene la información de toda la colección de reglas, contiene otra información en la parte superior que debe desplazarse más allá para llegar a las reglas.

  3. Busque Func_credit_card para encontrar la definición de la regla Número de tarjeta de crédito. En el XML, los nombres de regla no pueden contener espacios, por lo que los espacios normalmente se reemplazan por caracteres de subrayado y los nombres de regla a veces se abrevian. Un ejemplo de esto es la regla de número del Seguro Social de EE. UU., que es un SSN abreviado. El XML de la regla de número de tarjeta de crédito debe tener un aspecto similar al siguiente ejemplo de código:

    <Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
       <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>

Ahora que ha encontrado la definición de la regla Número de tarjeta de crédito en el XML, puede personalizar el código XML de la regla para que se adapte a sus necesidades. Para obtener un actualizador sobre las definiciones XML, consulte el glosario de términos al final de este tema.

Modificar el código XML y crear un tipo de información confidencial

En primer lugar, deberá crear un nuevo tipo de información confidencial porque las reglas predeterminadas no se pueden modificar directamente. Puede hacer una amplia variedad de cosas con tipos de información confidencial personalizados, que se describen en Creación de un tipo de información confidencial personalizada en Seguridad y cumplimiento de PowerShell. En este ejemplo, lo haremos sencillo y solo se eliminarán las evidencias confirmativas y se agregarán palabras clave a la regla Número de tarjeta de crédito.

Todas las definiciones de regla XML se basan en la siguiente plantilla general. Debe copiar y pegar el XML de definición de número de tarjeta de crédito en la plantilla, modificar algunos valores (observe el ". . ." marcadores de posición en el ejemplo siguiente) y, a continuación, cargue el XML modificado como una nueva regla que se puede usar en las directivas.

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id=". . .">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id=". . ." />
    <Details defaultLangCode=". . .">
      <LocalizedDetails langcode=" . . . ">
         <PublisherName>. . .</PublisherName>
         <Name>. . .</Name>
         <Description>. . .</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
   <!-- Paste the Credit Card Number rule definition here.-->
      <LocalizedStrings>
         <Resource idRef=". . .">
           <Name default="true" langcode=" . . . ">. . .</Name>
           <Description default="true" langcode=". . ."> . . .</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

Ahora tiene algo parecido al siguiente XML. Como los paquetes de reglas y las reglas se identifican por sus GUID únicos, tiene que generar dos GUID: uno para el paquete de reglas y otro para reemplazar el GUID de la regla Número de tarjeta de crédito. El GUID del identificador de entidad en el ejemplo de código siguiente es el de nuestra definición de regla integrada, que debe reemplazar por una nueva. Hay varias maneras de generar los GUID, pero puede hacerlo fácilmente en PowerShell escribiendo [guid]:: NewGuid().

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id="8aac8390-e99f-4487-8d16-7f0cdee8defc">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id="8d34806e-cd65-4178-ba0e-5d7d712e5b66" />
    <Details defaultLangCode="en">
      <LocalizedDetails langcode="en">
        <PublisherName>Contoso Ltd.</PublisherName>
        <Name>Financial Information</Name>
        <Description>Modified versions of the Microsoft rule package</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
      <LocalizedStrings>
         <Resource idRef="db80b3da-0056-436e-b0ca-1f4cf7080d1f">
<!-- This is the GUID for the preceding Credit Card Number entity because the following text is for that Entity. -->
           <Name default="true" langcode="en-us">Modified Credit Card Number</Name>
           <Description default="true" langcode="en-us">Credit Card Number that looks for additional keywords, and another version of Credit Card Number that doesn't require keywords (but has a lower confidence level)</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

Quitar el requisito de evidencias corroborativas de un tipo de información confidencial

Ahora tiene un nuevo tipo de información confidencial que puede cargar en el portal de cumplimiento Microsoft Purview. El siguiente paso es hacer que la regla sea más específica. Modifique la regla para que solo busque un número de 16 dígitos que pase la suma de comprobación, pero que no requiera pruebas adicionales (corroborativas), como palabras clave. Para ello, tiene que quitar la parte del código XML que busca la evidencia corroborativa. La evidencia corroborativa es muy útil para reducir los falsos positivos. En este caso, normalmente hay ciertas palabras clave o una fecha de expiración cerca del número de tarjeta de crédito. Si quita esa evidencia, debe ajustar también la seguridad que tiene de haber encontrado un número de tarjeta de crédito. Para ello, reduzca confidenceLevel, que es 85 en el ejemplo.

<Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="300"
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
      </Pattern>
    </Entity>

Buscar palabras clave específicas de la organización

Quizás quiera requerir evidencia confirmativa pero con palabras claves diferentes o adicionales, y quizás quiera cambiar dónde buscar esa evidencia. Puede ajustar patternsProximity para expandir o reducir la ventana en busca de pruebas corroborativas alrededor del número de 16 dígitos. Para agregar sus propias palabras clave, debe definir una lista de palabras clave y hacer referencia a ella dentro de la regla. El siguiente XML agrega las palabras clave "tarjeta de empresa" y "Tarjeta contoso", de modo que cualquier mensaje que contenga esas frases dentro de 150 caracteres de un número de tarjeta de crédito se identificará como un número de tarjeta de crédito.

<Rules>
<! -- Modify the patternsProximity to be "150" rather than "300." -->
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="150" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
<!-- Add the following XML, which references the keywords at the end of the XML sample. -->
          <Match idRef="My_Additional_Keywords" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
<!-- Add the following XML, and update the information inside the <Term> tags with the keywords that you want to detect. -->
    <Keyword id="My_Additional_Keywords">
      <Group matchStyle="word">
        <Term caseSensitive="false">company card</Term>
        <Term caseSensitive="false">Contoso card</Term>
      </Group>
    </Keyword>

Cargar la regla

Para cargar la regla, siga el procedimiento siguiente.

  1. Guárdela como un archivo .xml con codificación Unicode. Es importante porque la regla no funcionará si se guarda con una codificación diferente.

  2. Conéctese al PowerShell de Seguridad y cumplimiento

  3. En el símbolo del sistema de PowerShell, escriba lo siguiente.

    New-DlpSensitiveInformationTypeRulePackage -FileData ([System.IO.File]::ReadAllBytes('C:\custompath\MyNewRulePack.xml'))

    Importante

    Asegúrese de que usa la ubicación del archivo donde realmente se almacena el paquete de reglas. C:\custompath\ es un marcador de posición.

  4. Para confirmar, escriba “Y” y presione Entrar.

  5. Compruebe el nombre para mostrar de la nueva regla y que se cargó; para ello, escriba lo siguiente:

    Get-DlpSensitiveInformationType

Para comenzar a usar la nueva regla para detectar información confidencial, tiene que agregarla a una directiva DLP. Para obtener información sobre cómo agregar la regla a una directiva, consulte Creación e implementación de directivas de prevención de pérdida de datos.

Glosario de términos

Estas son las definiciones de los términos que encontró en este procedimiento.


Término Definición
Entidad Las entidades son lo que llamamos tipos de información confidencial, como números de tarjeta de crédito. Cada entidad tiene un GUID único como ID. Si copia un GUID y lo busca en el código XML, encontrará la definición de regla XML y todas las traducciones localizadas de esa regla XML. Para encontrar esta definición, puede buscar el GUID de la traducción y, después, buscar por ese GUID.
Funciones El archivo XML hace referencia a Func_credit_card, que es una función en el código compilado. Las funciones se usan para ejecutar expresiones regulares complejas y comprobar que las sumas de comprobación coinciden con nuestras reglas integradas. Dado que esto sucede en el código, algunas de las variables no aparecen en el archivo XML.
IdMatch Este es el identificador para el que el patrón está intentando encontrar coincidencias, por ejemplo, un número de tarjeta de crédito.
Listas de palabras clave El archivo XML también hace referencia keyword_cc_verification a y keyword_cc_name, que son listas de palabras clave que estamos buscando que coincidan dentro de para patternsProximity la entidad. Actualmente no se muestran en el archivo XML.
Patrón El patrón contiene la lista de lo que busca el tipo confidencial. Incluye palabras clave, regex y funciones internas que realizan tareas como verificar sumas de comprobación. Los tipos de información confidencial pueden tener varios patrones con niveles de confianza únicos. Esto resulta útil para crear un tipo de información confidencial que devuelve una confianza alta si se encuentra evidencia confirmativa y una confianza menor si se encuentra poca o ninguna evidencia confirmativa.
Patrón confidenceLevel Este es el nivel de confianza en el que el motor de DLP encontró una coincidencia. Este nivel de confianza está asociado con una coincidencia del patrón si se cumplen los requisitos del patrón. Esta es la medida de confianza que debe tener en cuenta al usar reglas de flujo de correo de Exchange (también conocidas como reglas de transporte).
patternsProximity Cuando encontramos lo que parece un patrón de número de tarjeta de crédito, patternsProximity es la distancia alrededor de ese número donde buscaremos pruebas corroborativas.
recommendedConfidence Este es el nivel de confianza que recomendamos para esta regla. El nivel de confianza recomendado se aplica a entidades y afinidades. En el caso de las entidades, este número nunca se evalúa con respecto al confidenceLevel del patrón . Es simplemente una sugerencia para ayudar a elegir un nivel de confianza si quiere aplicar uno. En el caso de las afinidades, el confidenceLevel del patrón debe ser mayor que el recommendedConfidence número para que se invoque una acción de regla de flujo de correo. recommendedConfidence es el nivel de confianza predeterminado usado en las reglas de flujo de correo que invoca una acción. Si lo desea, puede cambiar manualmente la regla de flujo de correo para que se invoque en función del nivel de confianza del patrón, en su lugar.

Más información