Beschreiben benutzerdefinierter Typen vertraulicher Informationen mit exakter Datenübereinstimmung
Mit Exact Data Match (EDM, exakte Datenübereinstimmung) können Sie einen Typ vertraulicher Informationen (Sensitive Information Type, SIT) erstellen, der genaue Datenwerte zum Identifizieren und Schützen vertraulicher Informationen verwendet. Mit EDM können Sie sicherstellen, dass Ihr SIT:
- Einfach aktualisiert werden kann: Sie können schnell Anpassungen entsprechend den Änderungen Ihrer vertraulichen Daten vornehmen.
- False Positives reduziert: Sie können die richtigen Informationen genau identifizieren und so Fehler minimieren.
- Zu strukturierten Daten passt: Funktioniert gut mit organisierten Datasets.
- Datenschutz gewährleistet: Vertrauliche Daten bleiben sicher und privat, auch gegenüber Microsoft.
- Über Dienste hinweg integriert werden kann: Sie können EDM für verschiedene Microsoft-Clouddienste verwenden, um eine bessere Datengovernance zu ermöglichen.
Wenn Sie beispielsweise Kundenkontonummern haben, kennzeichnet EDM nur diese Nummern, was das Risiko falscher Flags erheblich verringert.
Mit der EDM-basierten Klassifizierung können Sie benutzerdefinierte vertrauliche Typen erstellen, die exakten Werten aus einer Datenbank entsprechen, die bis zu 100 Millionen Datenzeilen umfassen können. Diese Datenbank kann täglich aktualisiert werden, um Änderungen wie neue oder ausscheidende Mitarbeitende, Patient*innen oder Kund*innen widerzuspiegeln und sicherzustellen, dass Ihre benutzerdefinierten Typen vertraulicher Informationen aktuell und relevant sind. Sie können diese Klassifizierungen auch auf Richtlinien für den erweiterten Datenschutz anwenden. Beispiele sind Microsoft Purview Data Loss Prevention-Richtlinien oder Microsoft Cloud App Security-Dateirichtlinien.
Unterschiede bei einem EDM-SIT
Wenn Sie mit EDM-SITs arbeiten, ist es hilfreich, einige der damit zusammenhängenden speziellen Konzepte zu verstehen.
Schema
Das Schema ist eine Blaupause in einem XML-Dateiformat. Dieses definiert:
- Name des Schemas (im Folgenden als DataStore bezeichnet).
- Namen der Felder, die Ihre Quelltabelle für vertrauliche Informationen enthält. Jedes Schemafeld entspricht direkt einer Spalte in Ihrer Tabelle.
- Welche Felder durchsuchbar sind.
- Eine konfigurierbare Übereinstimmung. Dies ist ein anpassbarer Parameter zum Verfeinern der Suche, z. B. durch Nichtbeachtung der Groß-/Kleinschreibung oder Interpunktion in den Daten, nach denen Sie suchen.
Quelltabelle für vertrauliche Informationen
Die Quelltabelle für vertrauliche Informationen enthält die Werte, nach denen der EDM-SIT sucht. Sie enthält folgende Elemente:
- Spaltenüberschriften stellen die Feldnamen dar.
- Zeilen entsprechen einzelnen Datensätzen.
- Jede Zelle enthält den spezifischen Wert für den zugehörigen Datensatz und das jeweilige Feld.
Im Folgenden sehen Sie ein einfaches Beispiel für eine Quelltabelle für vertraulichen Informationen:
| Vorname | Nachname | Geburtsdatum |
|---|---|---|
| Isaiah | Langer | 05-05-1960 |
| Ana | Bowman | 11-24-1971 |
| Oscar | Bezirk | 02-12-1998 |
Regelpaket
Jeder SIT verfügt über ein Regelpaket. Sie verwenden das Regelpaket in einem EDM-SIT, um Folgendes zu definieren:
- Übereinstimmungen geben das Feld an, das als primäres Element für genaue Suchvorgänge verwendet wird. Es kann sich um einen regulären Ausdruck mit oder ohne Prüfsummenüberprüfung, eine Schlüsselwortliste, ein Wörterbuch mit Schlüsselwörtern oder eine Funktion handeln.
- Die Klassifizierung bestimmt die spezifischen Übereinstimmungskriterien für Typen vertraulicher Informationen, die eine Suche mit EDM auslösen.
- Unterstützende Elemente sind zusätzliche Daten, die die Wahrscheinlichkeit erhöhen, dass eine Übereinstimmung korrekt ist, wenn sie in der Nähe der primären Daten gefunden werden. Sie können beispielsweise nach dem Schlüsselwort „SSN“ (US-Sozialversicherungsnummer) in der Nähe einer tatsächlichen Sozialversicherungsnummer suchen. Ein unterstützendes Element kann ein regulärer Ausdruck mit oder ohne Prüfsummenüberprüfung, eine Schlüsselwortliste oder ein Wörterbuch mit Schlüsselwörtern sein.
- Konfidenzgrade geben den Grad der Sicherheit (von hoch bis niedrig) einer Übereinstimmung basierend auf der Menge der unterstützenden Beweise an, die im primären Element gefunden wurden.
- Näherung bezieht sich auf den Abstand (gemessen in der Zeichenanzahl) zwischen den primären und unterstützenden Elementen.
Angeben Ihres eigenen Schemas und eigener Daten
Microsoft Purview enthält viele vordefinierte SITs. Diese SITs enthalten Schemas, RegEx-Muster, Schlüsselwörter und Konfidenzgrade. Bei EDM-SITs sind Sie jedoch dafür verantwortlich, das Schema sowie die primären und sekundären Felder zu definieren, die vertrauliche Elemente identifizieren. Da sowohl das Schema als auch die primären und sekundären Datenwerte streng vertraulich sind, verschlüsseln Sie sie über eine Hash-Funktion, die einen zufällig generierten oder selbst bereitgestellten Salt-Wert enthält. Nur die Hashwerte werden in den Dienst hochgeladen, sodass Ihre vertraulichen Daten niemals ungeschützt sind.
Primäre und sekundäre unterstützende Elemente
Bei einem EDM-SIT handelt es sich bei einem primären Element um die spezifischen Informationen, die Sie identifizieren und schützen möchten, z. B. eine Kreditkartennummer oder Sozialversicherungsnummer. EDM erfordert, dass das primäre Element über einen vorhandenen SIT auffindbar ist. Dies bedeutet, dass Sie vor dem Einrichten Ihres EDM-SIT Ihr primäres Element mit einem der vordefinierten SITs abgleichen müssen, die das System bereits identifizieren kann.
Beispiel: Wenn Ihr EDM-SIT-Schema die US-Sozialversicherungsnummer (SSN) als primäres Element enthält, müssen Sie diese dem SIT US-Sozialversicherungsnummer (SSN) zuordnen. Diese Anforderung ist wichtig, da primäre Elemente in einem bestimmten Format vorliegen müssen, um erkannt zu werden.
Wenn das primäre Element in einem überprüften Element gefunden wurde, sucht EDM nach einem sekundären oder unterstützenden Element. Sekundäre Elemente verstärken die Identifizierung des primären Elements als „vertraulich“. Sekundäre Elemente müssen keinem festen Muster folgen, es sei denn, sie enthalten mehrere Token. Wenn sie mehrere Token enthalten, erfordert diese Bedingung eine Zuordnung zu einem SIT, ähnlich einem primären Element. Sekundäre Elemente müssen sich innerhalb einer bestimmten Nähe zum primären Element befinden.
Funktionsweise des Abgleichs
EDM vergleicht Zeichenfolgen in Ihren Dokumenten und E-Mails mit Werten in der Quelltabelle für vertrauliche Informationen. Dabei wird überprüft, ob die Werte in den überprüften Inhalten in der Tabelle vorhanden sind. Für den Vergleich werden unidirektionale kryptografische Hashes abgeglichen.
Für ein effektiveres Erkennungssystem können Sie EDM in Verbindung mit den vom System bereitgestellten Standard-SITs verwenden. Richten Sie EDM mit hohem Konfidenzgrad ein, damit Sie benachrichtigt werden, wenn eine genaue Übereinstimmung mit den von Ihnen angegebenen vertraulichen Daten gefunden wird. Gleichzeitig können Sie einen Standard-SIT (z. B. den für die US-Sozialversicherungsnummer) mit einem niedrigeren Konfidenzgrad verwenden. Auf diese Weise sind sowohl genaue Übereinstimmungen abgedeckt als auch die Fälle, in denen nur ein Hinweis auf vertrauliche Informationen vorliegt, und es werden mehr potenzielle Risiken erfasst.
Eine Liste der Dienste, die EDM unterstützt, finden Sie unter Services that EDM supports (Von EDM unterstützte Dienste).
Erstellen eines EDM-basierten SIT
Das Erstellen und Finden einer exakten Datenübereinstimmung (EDM) basierend auf Typen vertraulicher Informationen (SIT) ist ein mehrstufiger Prozess. Sie können die neue Oberfläche, die vorhandene klassische Oberfläche oder PowerShell verwenden.
Die neue EDM-Oberfläche
Die neue EDM-Oberfläche kombiniert die Funktionalität der Assistenten für das EDM-Schema und die EDM-basierten Typen vertraulicher Informationen in einer einzigen Benutzeroberfläche. Die neue Oberfläche bietet folgende neue Funktionen:
- Vereinfachter Workflow: Die Erstellung von Schemas und SITs ist jetzt ein einheitlicher Prozess, der die notwendigen Schritte reduziert und klare Anweisungen für die Zuordnung von Datenelementen zu den vordefinierten SITs des Systems bietet. Durch diesen integrierten Ansatz werden auch automatisch die geeigneten Konfidenzgrade für die Erkennungsregeln festgelegt, wodurch die Einrichtung schneller und benutzerfreundlicher ist.
- Automatisierte Schema- und SIT-Erstellung: Durch das Hochladen einer nicht vertraulichen Beispieldatendatei kann das System automatisch ein Schema generieren und anschließend die besten SITs zur Verknüpfung mit Ihren primären Datenfeldern vorschlagen. Diese Automatisierung beseitigt die Notwendigkeit, Schemadetails manuell einzugeben, und stellt sicher, dass die SITs korrekt abgeglichen werden. Das Ergebnis ist ein präziserer Datenschutz.
- Zusätzliche Schutzmaßnahmen zum Gewährleisten einer besseren Leistung: Das neue System warnt Sie, wenn ein primäres Feld mit einem zu weit gefassten SIT verbunden ist. Diese Maßnahme trägt dazu bei, potenziell irrelevante Übereinstimmungen zu vermeiden, die den Prozess verlangsamen könnten. Diese proaktiven Benachrichtigungen helfen Ihnen, eine optimale Systemleistung aufrecht zu erhalten, indem Sie sie davon abhalten, Konfigurationen vorzunehmen, die zu Ineffizienzen oder Fehlern beim Datenabgleich führen könnten.
Die neue EDM-Oberfläche auf einen Blick
| Phase | Anforderungen |
|---|---|
| Phase 1: Exportieren von Quelldaten für EDM-basierte Typen vertraulicher Informationen | - Lesezugriff auf die vertraulichen Daten |
| Phase 2: Erstellen der Beispieldatei | - Ermitteln der Spaltenüberschriften und des Formats der Daten, nach denen Sie in den einzelnen Spalten suchen. |
| Phase 3: Erstellen des EDM-SIT | - Zugriff auf Microsoft Purview-Complianceportal>Datenklassifizierung>Exakte Datenübereinstimmung |
| Phase 4: Hashen und Hochladen der Quelltabelle für vertrauliche Informationen für EDM-basierte Typen vertraulicher Informationen | - Benutzerdefinierte Sicherheitsgruppe und Benutzerkonto - Hashen und Hochladen von einem Computer: lokaler Administratorzugriff auf einen Computer mit direktem Internetzugriff und zum Hosten des EDM Upload Agent - Hashen und Hochladen von separaten Computern: lokaler Administratorzugriff auf einen Computer mit direktem Internetzugriff und zum Hosten des EDM Upload Agent für das Hochladen und lokaler Administratorzugriff auf einen sicheren Computer zum Hosten des EDM Upload Agent, um die Quelltabelle für vertrauliche Informationen zu hashen - Lesezugriff auf die Quelltabelle für vertrauliche Informationen |
| Phase 5: Testen eines Typs vertraulicher Informationen für die exakte Datenübereinstimmung (EDM) | - Zugriff auf das Microsoft Purview-Complianceportal |
Klassische EDM-Benutzeroberfläche
Sie können zwischen der neuen und klassischen Oberfläche wechseln. Es wird jedoch empfohlen, die neue Oberfläche zu verwenden, es sei denn, Ihre Anforderungen fallen in einen oder mehrere dieser vier Anwendungsfälle:
- Mehrere SITs pro Schema: Die klassische Oberfläche ermöglicht die Zuordnung mehrerer SITs zu einem einzelnen Schema, was in der neuen Oberfläche nicht möglich ist.
- Verwalten von mehr als zehn SITs: Wenn Sie mehr als zehn SITs erstellen oder verwalten müssen, müssen Sie die klassische Oberfläche verwenden. Da Sie mehrere EDM-SITs demselben Schema zuordnen können, ist die Verwendung von mehr als zehn EDM-SITs möglich. Beim Versuch, ein elftes Schema in der neuen Oberfläche zu erstellen, wird ein Fehler generiert.
- Benutzerdefinierte Schemanamen: In der klassischen Oberfläche können Sie benutzerdefinierte Namen für Ihre EDM-Schemas angeben. Bei der neuen Oberfläche ist dies nicht möglich, da die Schemanamen dort automatisch generiert werden.
- Bearbeiten vorhandener Schemas: Wenn Sie Schemas bearbeiten müssen, die in der klassischen Benutzeroberfläche erstellt oder über PowerShell hochgeladen wurden, müssen Sie die klassische Oberfläche verwenden, da diese Funktionalität von der neuen Oberfläche nicht unterstützt wird.
Die klassische EDM-Oberfläche auf einen Blick
| Phase | Anforderungen |
|---|---|
| Phase 1: Exportieren von Quelldaten für EDM-basierte Typen vertraulicher Informationen | - Lesezugriff auf die vertraulichen Daten |
| Phase 2: Erstellen des Schemas für EDM-basierte Typen vertraulicher Informationen | – Zugriff auf den Assistenten für Typen vertraulicher Informationen im Complianceportal – Zugriff auf das Microsoft 365 Admin Center über „Sicherheit und Compliance“ von PowerShell |
| Phase 3: Hashen und Hochladen der Quelltabelle für vertrauliche Informationen für EDM-basierte Typen vertraulicher Informationen | - Benutzerdefinierte Sicherheitsgruppe und Benutzerkonto - Hashen und Hochladen von einem Computer: lokaler Administratorzugriff auf einen Computer mit direktem Internetzugriff und zum Hosten des EDM Upload Agent - Hashen und Hochladen von separaten Computern: lokaler Administratorzugriff auf einen Computer mit direktem Internetzugriff und zum Hosten des EDM Upload Agent für das Hochladen und lokaler Administratorzugriff auf einen sicheren Computer zum Hosten des EDM Upload Agent, um die Quelltabelle für vertrauliche Informationen zu hashen - Lesezugriff auf die Quelltabelle für vertrauliche Informationen und die Schemadatei |
| Phase 4: Erstellen eines EDM-basierten Typs vertraulicher Informationen/-Regelpakets | - Zugriff auf das Microsoft Purview-Complianceportal |
| Testen eines EDM-basierten Typs vertraulicher Informationen | - Zugriff auf das Microsoft Purview-Complianceportal |
Interaktiver Leitfaden zum Identifizieren von Daten mithilfe der EDM-basierten Klassifizierung
In diesem interaktiven Leitfaden erfahren Sie, wie Azure Information Protection Ihnen dabei hilft, Inhalte mit EDM-Klassifizierern zu kategorisieren und vertrauliche Elemente zu beschriften, um die Daten Ihrer Organisation zu schützen.
Weitere Informationen
- Informationen zu EDM-basierten Typen vertraulicher Informationen
- Erste Schritte mit EDM-basierten Typen vertraulicher Informationen
- Neue Oberfläche für den Workflow zum Erstellen EDM-basierter Typen vertraulicher Informationen
- Klassische Oberfläche für den Workflow zum Erstellen EDM-basierter Typen vertraulicher Informationen