Aplicar hash y cargar la tabla de origen de información confidencial para los datos exactos que coincidan con los tipos de información confidencial

  • Artículo

En este artículo se muestra cómo aplicar hash y cargar la tabla de origen de información confidencial.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Se aplica a

Hash y carga de la tabla de origen de información confidencial

En esta fase, usted:

  1. Configure un grupo de seguridad personalizado y una cuenta de usuario.
  2. Configure la herramienta agente de carga de EDM.
  3. Use la herramienta Del agente de carga de EDM para aplicar hash, con un valor de sal, la tabla de origen de información confidencial y cargarla.

El hash y la carga se pueden realizar mediante un equipo o puede separar el paso hash del paso de carga para una mayor seguridad.

Si desea aplicar un algoritmo hash y cargar desde un equipo, tendrá que hacerlo desde un equipo que pueda conectarse directamente a su espacio empresarial de Microsoft 365. Esto requiere que el archivo de tabla de origen de información confidencial de texto no cifrado esté en ese equipo para el hash.

Si no desea exponer el archivo de tabla de origen de información confidencial de texto no cifrado en el equipo de acceso directo, puede aplicarle un hash en un equipo que se encuentra en una ubicación segura. En este escenario, se debe instalar la misma versión del agente de carga de EDM en ambos equipos. A continuación, puede copiar el archivo hash y el archivo salt de la máquina segura en un equipo que pueda conectarse directamente a su inquilino de Microsoft 365.

Importante

Si usó el esquema de coincidencia de datos exactos y la herramienta de tipo de información confidencial para crear el archivo de esquema, debe descargar el esquema para este procedimiento si aún no lo ha hecho. Consulte Exportación del archivo de esquema EDM en formato XML.

Nota:

Si su organización ha configurado la clave de cliente para Microsoft 365 en el nivel de inquilino, una coincidencia exacta de datos usará la funcionalidad de cifrado automáticamente. Esto solo está disponible para los inquilinos con licencia E5 en la nube comercial.

Procedimientos recomendados

Separe los procesos de hash y carga de los datos confidenciales para que pueda aislar más fácilmente los problemas del proceso.

Una vez en producción, mantenga los dos pasos separados en la mayoría de los casos. Para asegurarse de que los datos reales nunca estén disponibles en formato de texto no cifrado en un equipo que pueda estar en peligro debido a su conexión a Internet, ejecute el proceso de hash en un equipo aislado. A continuación, transfiera el archivo a un equipo accesible desde Internet para cargarlo.

Asegúrese de que la tabla de datos confidenciales no tiene problemas de formato.

Antes de aplicar hash y cargar los datos confidenciales, realice una búsqueda para validar la presencia de caracteres especiales que podrían causar problemas al analizar el contenido.

Puede validar que la tabla está en un formato adecuado para usar con EDM mediante el agente de carga de EDM con la sintaxis siguiente:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Si la herramienta indica una falta de coincidencia en el número de columnas, puede deberse a la presencia de comas o caracteres de comillas dentro de los valores de la tabla que se confunden con delimitadores de columna. A menos que estén rodeando un valor completo, las comillas simples y dobles pueden hacer que la herramienta identifique erróneamente dónde se inicia o termina una columna individual.

Si encuentra caracteres de comillas simples o dobles alrededor de valores completos: puede dejarlos tal y como están.

Si encuentra caracteres de comillas simples o comas dentro de un valor: por ejemplo, el nombre de la persona Tom O'Neil o la ciudad de Gravenhage, que comienza con un carácter apóstrofo, debe modificar el proceso de exportación de datos utilizado para generar la tabla de información confidencial y rodear dichas columnas con comillas dobles.

Si se encuentran caracteres de comillas dobles dentro de valores, podría ser preferible usar el formato delimitado por tabulaciones para la tabla, que es menos susceptible a estos problemas.

Requisitos previos

  • una cuenta profesional o educativa para que Microsoft 365 se agregue al grupo de seguridad de EDM_DataUploaders
  • una Windows 10, Windows Server 2016 con la versión 4.6.2 de .NET o una máquina windows server 2019 para ejecutar el agente de carga de EDM
  • un directorio de la máquina de carga para lo siguiente:
    • el agente de carga de EDM
    • el archivo de elemento confidencial en formato .csv, .tsv o canalización (|), PatientRecords.csv en nuestros ejemplos
    • los archivos hash y salt de salida creados al completar este procedimiento
    • el nombre del almacén de datos del archivo edm.xml que para este ejemplo es PatientRecords

Importante

  1. Si usa Windows Server 2016 o earler, también debe instalar Visual C++ antes de instalar el agente de carga de EDM.

Configuración de la cuenta de usuario y del grupo de seguridad personalizado

  1. Como administrador global, vaya al centro de administración con el vínculo adecuado para su suscripción y cree un grupo de seguridad denominado EDM_DataUploaders.

  2. Agregue uno o varios usuarios al grupo de seguridad de EDM_DataUploaders . (Estos usuarios administran la base de datos de información confidencial).

Crear un hash y cargar desde un equipo

Este equipo debe tener acceso directo a su espacio empresarial de Microsoft 365.

Nota:

Antes de comenzar este procedimiento, asegúrese de que es miembro del grupo de seguridad EDM_DataUploaders .

Sugerencia

Opcionalmente, puede ejecutar una validación en el archivo de tabla de origen de información confidencial para comprobar si hay errores antes de cargarlo mediante la ejecución de:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Para obtener más información sobre todos los parámetros admitidos por el EdmUploadAgent.exe, ejecute .

EdmUploadAgent.exe /?

  • Agente de carga de EDM
  • Comercial + GCC : la mayoría de los clientes comerciales deben usar esta opción.
  • GCC-High : esta opción está específicamente destinada a los suscriptores de alta seguridad en la nube gubernamental.
  • DoD: esta opción está específicamente para clientes en la nube del Departamento de Defensa de Estados Unidos.

Nota:

El agente de carga de EDM en los vínculos anteriores se ha actualizado para agregar automáticamente un valor de sal a los datos hash. De forma alternativa, puede brindar su propio valor de sal. Una vez que haya usado esta versión, no podrá usar la versión anterior del agente de carga de EDM.

Puede cargar datos con el agente de carga de EDM en cualquier almacén de datos determinado hasta cinco veces al día.

  1. Autorice el agente de carga de EDM, abra la ventana del símbolo del sistema como administrador, cambie al directorio C:\EDM\Data y, a continuación, ejecute el siguiente comando:

    EDM Upload Agent.exe /Authorize

    Importante

    Debe ejecutar la aplicación agente de carga de EDM desde la carpeta donde está instalada e indicar la ruta de acceso completa a los archivos de datos.

  2. Inicie sesión con su cuenta profesional o educativa de Microsoft 365 que se agregó al grupo de seguridad EDM_DataUploaders . La información de inquilino se extrae de la cuenta de usuario para establecer una conexión.

    IMPORTANTE: Si usó el esquema de coincidencia de datos exactos y la herramienta de tipo de información confidencial para crear el esquema, debe descargarlo para usarlo en este procedimiento si aún no lo ha hecho. Ejecute este comando en una ventana del símbolo del sistema:

    EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  3. Para crear un hash y cargar los datos confidenciales, ejecute el siguiente comando en la ventana del Símbolo del sistema:

    EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Nota:

    El formato predeterminado para el archivo de datos confidenciales es valores separados por comas. Puede especificar un archivo separado por tabulaciones indicando la opción "{Tab}" con el parámetro /ColumnSeparator, o bien puede especificar un archivo separado por canalización indicando la opción "|".

    Ejemplo: EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

Lenguajes de juego de caracteres EDM y de doble byte

La coincidencia exacta de datos admite caracteres de doble byte, como los usados en chino, japonés y coreano. Sin embargo, no admite coincidencias de cadena para la evidencia corroborativa codificada como caracteres de doble byte. Tampoco coincide con el texto CJK de varios tokens detectado en el contenido clasificado, a menos que la globalización de EDM se haya habilitado como se describe a continuación. En todos los casos, una SIT debe asignarse a cualquier texto de varios tokens, tanto para el campo principal como para los campos de evidencia corroborativa.

Importante

Para invocar la coincidencia exacta de datos para caracteres de doble byte, debe realizar los pasos siguientes:

  1. Cree un tipo de información confidencial de EDM (SIT) que esté pensado para coincidir en el idioma del juego de caracteres de doble byte, como kanji japonés.

  2. Asegúrese de que ha descargado e instalado la versión 17.01.0495.0 (o posterior) del agente de carga de EDM.

  3. Actualice el parámetro de globalización del archivo EdmUploadAgent.exe.config a true: <add key=" IsGlobalizationEnabled" value="true">

  4. Hash y carga de una tabla de origen con los datos que se van a buscar coincidencias.

Separe el hash y cargue

Aplique el algoritmo hash en un equipo en un entorno seguro. Debe tener instalada la misma versión del agente de carga de EDM en ambos equipos.

OPCIONAL: Si creó el archivo de esquema mediante el esquema de coincidencia de datos exactos y la herramienta SIT, ejecute el siguiente comando en una ventana del símbolo del sistema para descargar el archivo en formato XML:

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  1. En el equipo del entorno seguro, ejecute el siguiente comando en una ventana del símbolo del sistema:

    EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Por ejemplo:

    EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

    Nota:

    El formato predeterminado para el archivo de datos confidenciales es valores separados por comas. Puede especificar un archivo separado por tabulaciones indicando la opción "{Tab}" con el parámetro /ColumnSeparator, o bien puede especificar un archivo separado por canalización indicando la opción "|".

    Esto genera un archivo hash y un archivo salt con estas extensiones si no especificó la opción /Salt <saltvalue> :

    • .EdmHash
    • .EdmSalt

  2. Copie estos archivos de forma segura en el equipo que use para cargar el archivo de tabla de origen de información confidencial (PatientRecords) en el inquilino.

  3. Autorice el agente de carga de EDM, abra la ventana del símbolo del sistema como administrador, cambie al directorio C:\EDM\Data y, a continuación, ejecute el siguiente comando:

    EdmUploadAgent.exe /Authorize

    Importante

    Debe ejecutar la aplicación agente de carga de EDM desde la carpeta donde está instalada e indicar la ruta de acceso completa a los archivos de datos.

  4. Inicie sesión con su cuenta profesional o educativa de Microsoft 365 que se agregó al grupo de seguridad EDM_DataUploaders . La información de inquilino se extrae de la cuenta de usuario para establecer una conexión.

  5. Para cargar los datos con hash, ejecute el siguiente comando en el Símbolo del sistema de Windows:

    EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\ /ColumnSeparator ["{Tab}"|"|"]

    Por ejemplo:

    EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\\Edm\\Hash\\**PatientRecords.EdmHash**

  6. Para comprobar que la carga de los datos confidenciales se realizó correctamente, ejecute el siguiente comando en una ventana del símbolo del sistema:

    EdmUploadAgent.exe /GetDataStore

    Se muestra una lista de almacenes de datos y cuándo se actualizaron por última vez.

  7. Para mostrar todas las cargas de datos en un almacén determinado y, cuando se actualizaron, ejecute el siguiente comando en una ventana del símbolo del sistema:

    EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

Nota:

Para automatizar el proceso de hash y carga después de crearlo la primera vez, consulte Actualizar el archivo de tabla de origen de información confidencial de coincidencia de datos exactos.

Pasos siguientes

o