Aplicar hash y cargar la tabla de origen de información confidencial para los datos exactos que coincidan con los tipos de información confidencial

En este artículo se muestra cómo aplicar hash y cargar la tabla de origen de información confidencial.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Se aplica a

• Creación de una nueva experiencia de tipo de información confidencial de coincidencia exacta de datos
• Creación de una experiencia clásica de coincidencia exacta de datos con información confidencial

Hash y carga de la tabla de origen de información confidencial

En esta fase, usted:

1. Configure un grupo de seguridad personalizado y una cuenta de usuario.
2. Configure la herramienta Agente de carga de coincidencia exacta de datos (EDM).
3. Use la herramienta Del agente de carga de EDM para aplicar hash, con un valor de sal, la tabla de origen de información confidencial y cargarla.

Puede aplicar un hash y cargar los datos confidenciales mediante el método Two-computer o el método De equipo único , tal como se describe en Hash y cargar los datos. El procedimiento recomendado consiste en usar dos equipos para separar los procesos de hash y carga de datos confidenciales. Separar los pasos entre dos equipos ayuda a garantizar que los datos reales nunca estén disponibles en formato de texto no cifrado en un equipo que podría estar en peligro debido a su conexión a Internet. Esto también facilita la identificación de los problemas que encuentre.

Requisitos previos

Requisitos tecnológicos

• Una cuenta profesional o educativa para Microsoft 365. Esta cuenta debe agregarse al grupo de seguridad EDM_DataUploaders .
• Un equipo con uno de los siguientes sistemas operativos. Este equipo ejecuta el agente de carga de EDM.
  • Windows 10
  • Windows Server 2016 con la versión 4.6.2 de .NET
  • Windows Server 2019
• Directorio en el equipo que se usa para cargar los datos. Este directorio contiene:
  • Agente de carga de EDM.
  • El archivo de datos de información confidencial en formato.csv, .tsv o canalización (|). De forma predeterminada, el agente de carga de EDM espera que el archivo de datos esté en .csv formato. > [! SUGERENCIA]

    Puede usar un archivo con datos separados por tabulaciones o canalizaciones (en lugar de comas), indicando las opciones "(Tab)" o "(|)" con el /ColumnSeparated parámetro . Por ejemplo: EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

  • La salida tiene y los archivos de sal que se crean al completar el procedimiento hash.
  • Nombre del almacén de datos del archivo edm.xml . En nuestro ejemplo se usa PatientRecords.

Requisitos de grupo de seguridad y cuenta de usuario

1. Como administrador global, vaya al centro de administración con el vínculo adecuado para su suscripción y cree un grupo de seguridad denominado EDM_DataUploaders.

2. Agregue uno o varios usuarios al grupo de seguridad de EDM_DataUploaders . (Estos son los usuarios que administran la base de datos de información confidencial).

Esquema exacto de coincidencia de datos

Si usó el esquema EDM y la herramienta de tipo de información confidencial para la nueva experiencia o el paquete de reglas o tipo de información confidencial de EDM para la experiencia clásica, debe descargar ese esquema para aplicar hash a la tabla de origen de información confidencial. Para obtener más información, consulte Exportación del archivo de esquema EDM en formato XML.

Para descargar este esquema EDM, abra una ventana del símbolo del sistema y ejecute el siguiente comando:

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

Requisitos de formato de datos

Antes de aplicar hash y cargar los datos confidenciales, ejecute una búsqueda de caracteres especiales en la tabla que puedan causar problemas al analizar el contenido.

Puede validar que la tabla está en un formato adecuado mediante el agente de carga de EDM con la sintaxis siguiente:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Problemas comunes de formato

1. Número no coincidente de columnas: Esto puede deberse a la presencia de comas o caracteres de comillas dentro de los valores de la tabla que EDM interpreta como delimitadores de columna. A menos que estén rodeando un valor completo, las comillas simples y dobles pueden hacer que la herramienta identifique erróneamente el inicio y el final de las columnas individuales.
2. Caracteres de comillas simples o comas dentro de un valor: Por ejemplo, si el nombre de una persona incluye una comilla única (como Tom O'Neil) o el nombre de una ciudad comienza con un apóstrofo (como 's-Gravenhage),debe modificar el proceso de exportación de datos usado para generar la tabla de información confidencial y rodear dichas columnas con comillas dobles.
3. Caracteres de comillas dobles dentro de los valores: El procedimiento recomendado consiste en usar el formato delimitado por tabulaciones para la tabla. Las tablas delimitadas por tabulaciones son menos susceptibles a estos problemas.

Hash y carga de los datos

Método de dos equipos

La tabla de origen de información confidencial tiene formato de texto no cifrado. Mediante el uso de un equipo para el paso hash y otro equipo para el paso de carga, se protegen los datos para que no se expongan en texto no cifrado en un equipo con una conexión directa a su inquilino de Microsoft 365.

Importante

Este enfoque requiere que se instale la misma versión del agente de carga de EDM en ambos equipos. A continuación, puede copiar el archivo hash y el archivo salt de la máquina segura en un equipo que pueda conectarse directamente a su inquilino de Microsoft 365.

1. En el equipo del entorno seguro, ejecute el siguiente comando en una ventana del símbolo del sistema:EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value] Por ejemplo: EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

   Esto genera un archivo hash y un archivo salt con estas extensiones si no especificó la opción /Salt <saltvalue> :

   • EdmHash
   • EdmSalt

2. Copie estos archivos de forma segura en el equipo que use para cargar la tabla de origen de información confidencial (por ejemplo, PatientRecords.csv) en el inquilino.

3. Autorice al agente de carga de EDM:

   1. Como administrador, abra una ventana del símbolo del sistema.
   2. Cambie al directorio donde está instalado el agente de carga de EDM. (El directorio recomendado es C:\EDM\Data).
   3. Ejecute el siguiente comando:

   EDM Upload Agent.exe /Authorize

   Importante

   Debe ejecutar el agente de carga de EDM desde la carpeta donde está instalado y debe sindicar la ruta de acceso completa a los archivos de datos.

4. Inicie sesión con su cuenta profesional o educativa de Microsoft 365. (La cuenta que se agregó al grupo de seguridad EDM_DataUploaders). La información de inquilino se extrae de la cuenta de usuario para establecer una conexión.

5. Para cargar los datos hash, ejecute el siguiente comando en una ventana del símbolo del sistema:

   EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\ /ColumnSeparator ["{Tab}"|"|"]

   Por ejemplo: EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\\Edm\\Hash\\**PatientRecords.EdmHash**

6. Para comprobar que la carga de los datos confidenciales se realizó correctamente, ejecute el siguiente comando en una ventana del símbolo del sistema:

   EdmUploadAgent.exe /GetDataStore

   Si la carga se realizó correctamente, se muestra una lista de almacenes de datos y cuándo se actualizaron por última vez.

7. Para mostrar todas las cargas de datos en un almacén determinado y, cuando se actualizaron, ejecute el siguiente comando en una ventana del símbolo del sistema:

   EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

Sugerencia

Para automatizar el proceso de hash y carga después de crearlo la primera vez, consulte Actualizar el archivo de tabla de origen de información confidencial de coincidencia de datos exactos.

Método de un solo equipo

Si desea aplicar hash y cargar desde un equipo, el equipo que use debe poder conectarse directamente a su inquilino de Microsoft 365. Además, el archivo de tabla de origen de información confidencial de texto no cifrado debe residir en este equipo para que se pueda aplicar un hash.

1. Seleccione el agente de carga de EDM adecuado para su organización.

   Versión del agente de carga de EDM	Descripción
   Comercial + GCC	Los clientes comerciales de ost deben usar esta opción.
   GCC-High	Esta opción está específicamente destinada a los suscriptores de alta seguridad de la nube pública.
   DoD	Esta opción está específicamente para clientes en la nube del Departamento de Defensa de Estados Unidos.

   Cada versión del agente de carga de EDM agrega automáticamente un valor de sal a los datos hash. Si lo elige, puede proporcionar su propio valor de sal.

   Advertencia

   Si decide usar su propio valor de sal, no puede volver a usar la versión estándar del agente de carga de EDM para su caso de uso.

2. Autorice al agente de carga de EDM:

   1. Como administrador, abra una ventana del símbolo del sistema.
   2. Cambie al directorio donde está instalado el agente de carga de EDM. (El directorio recomendado es C:\EDM\Data).
   3. Ejecute el siguiente comando:

   EDM Upload Agent.exe /Authorize

3. Inicie sesión con su cuenta profesional o educativa de Microsoft 365. (La cuenta que se agregó al grupo de seguridad EDM_DataUploaders). La información del inquilino se extrae de la cuenta de usuario para realizar la conexión.s

4. Para aplicar un hash y cargar los datos confidenciales, ejecute el siguiente comando en una ventana del símbolo del sistema:

   EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

Lenguajes de juego de caracteres EDM y de doble byte

La coincidencia exacta de datos admite caracteres de doble byte, como los usados en chino, japonés y coreano. Sin embargo, no admite coincidencias de cadena para la evidencia corroborativa codificada como caracteres de doble byte. Tampoco coincide con el texto CJK de varios tokens detectado en el contenido clasificado, a menos que la globalización de EDM esté habilitada como se describe a continuación. En todos los casos, una SIT debe asignarse a cualquier texto de varios tokens, tanto para el campo principal como para los campos de evidencia corroborativa.

Para invocar la coincidencia exacta de datos para caracteres de doble byte, siga estos pasos:

1. Cree un tipo de información confidencial de EDM (SIT) configurado para que coincida en el lenguaje de juego de caracteres de doble byte, como kanji japonés.

2. Asegúrese de que ha descargado e instalado la versión 17.01.0495.0 (o posterior) del agente de carga de EDM.

3. Actualice el parámetro de globalización del archivo EdmUploadAgent.exe.config a true: <add key=" IsGlobalizationEnabled" value="true">

4. Hash y carga de una tabla de origen con los datos que se van a buscar coincidencias.

Pasos siguientes

• Para la nueva experiencia: probar un tipo de información confidencial de coincidencia exacta de datos

• Para la experiencia clásica: crear un paquete de reglas o tipo de información confidencial que coincida con datos exactos