Partager via

Hacher et charger la table de source d’informations sensibles pour les données exactes correspondant aux types d’informations sensibles

  • Article

Cet article explique comment hacher et charger votre table source d’informations sensibles.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

S’applique à

Hachage et chargement de la table source d’informations sensibles

Au cours de cette phase, vous :

  1. Configurez un groupe de sécurité et un compte d’utilisateur personnalisés.
  2. Configurez l’outil EDM Upload Agent.
  3. Utilisez l’outil EDM Upload Agent pour hacher, avec une valeur salt, la table source d’informations sensibles et la charger.

Le hachage et le chargement peuvent être effectués à l’aide d’un ordinateur ou vous pouvez séparer l’étape de hachage de l’étape de chargement pour plus de sécurité.

Si vous voulez hacher et charger à partir d’un ordinateur, vous devez le faire à partir d’un ordinateur qui peut se connecter directement à votre client Microsoft 365. Pour cela, votre fichier de table source d’informations sensibles en texte clair doit se trouver sur cet ordinateur pour le hachage.

Si vous ne souhaitez pas exposer votre fichier de table source d’informations sensibles en texte clair sur l’ordinateur à accès direct, vous pouvez le hacher sur un ordinateur qui se trouve dans un emplacement sécurisé. Dans ce scénario, la même version de l’agent de chargement EDM doit être installée sur les deux ordinateurs. Vous pouvez ensuite copier le fichier de hachage et le fichier salt de l’ordinateur sécurisé vers un ordinateur qui peut se connecter directement à votre client Microsoft 365.

Importante

Si vous avez utilisé le schéma Exact Data Match et l’outil de type d’informations sensibles pour créer votre fichier de schéma, vous devez télécharger le schéma pour cette procédure si vous ne l’avez pas déjà fait. Consultez Exportation du fichier de schéma EDM au format XML.

Remarque

Si votre organisation a configuré la clé client pour Microsoft 365 au niveau du locataire, une correspondance exacte des données utilise automatiquement la fonctionnalité de chiffrement. Cette offre est disponible uniquement pour les clients sous licence E5 dans le cloud commercial.

Meilleures pratiques

Séparez les processus de hachage et de chargement des données sensibles afin de pouvoir isoler plus facilement les problèmes du processus.

Une fois en production, conservez les deux étapes séparées dans la plupart des cas. Pour vous assurer que vos données réelles ne sont jamais disponibles sous forme de texte clair sur un ordinateur susceptible d’être compromis en raison de sa connexion à Internet, exécutez le processus de hachage sur un ordinateur isolé. Ensuite, transférez le fichier sur un ordinateur accessible sur Internet pour le charger.

Vérifiez que votre table de données sensibles n’a pas de problèmes de mise en forme

Avant de hacher et de charger vos données sensibles, effectuez une recherche pour valider la présence de caractères spéciaux susceptibles d’entraîner des problèmes lors de l’analyse du contenu.

Vous pouvez vérifier que la table est dans un format approprié à utiliser avec EDM à l’aide de l’agent de chargement EDM avec la syntaxe suivante :

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Si l’outil indique une incompatibilité dans le nombre de colonnes, cela peut être dû à la présence de virgules ou de guillemets dans les valeurs de la table qui sont confondues avec les délimiteurs de colonnes. Sauf s’ils entourent une valeur entière, les guillemets simples et doubles peuvent entraîner l’identification incorrecte de l’outil à l’endroit où une colonne individuelle commence ou se termine.

Si vous trouvez des guillemets simples ou doubles entourant des valeurs complètes : vous pouvez les laisser tels qu’ils sont.

Si vous trouvez des guillemets simples ou des virgules à l’intérieur d’une valeur : par exemple, le nom de la personne Tom O’Neil ou le gravenhage de la ville, qui commence par un caractère d’apostrophe, vous devez modifier le processus d’exportation des données utilisé pour générer la table d’informations sensibles et entourer ces colonnes de guillemets doubles.

Si des guillemets doubles se trouvent à l’intérieur des valeurs, il peut être préférable d’utiliser le format délimité par des tabulations pour le tableau, qui est moins sensible à de tels problèmes.

Configuration requise

  • un compte professionnel ou scolaire pour Microsoft 365 à ajouter au groupe de sécurité EDM_DataUploaders
  • Windows 10, Windows Server 2016 avec .NET version 4.6.2 ou un ordinateur Windows Server 2019 pour l’exécution de l’agent de chargement EDM
  • un répertoire sur votre ordinateur de chargement pour les éléments suivants :
    • l’agent de chargement EDM
    • votre fichier d’élément sensible au format .csv, .tsv ou canal (|), PatientRecords.csv dans nos exemples
    • les fichiers de hachage et de sel de sortie créés à l’issue de cette procédure
    • Le nom du magasin de données provenant du fichier edm.xml, ici PatientRecords

Importante

  1. Si vous utilisez Windows Server 2016 ou earler, vous devez également installer Visual C++ avant d’installer l’agent de chargement EDM.
  2. Lors du chargement d’un fichier d’élément sensible au format .csv, vérifiez que l’encodage UTF-8 est utilisé dans le fichier .csv

Configurer les groupe de sécurité personnalisé et compte d’utilisateur

  1. En tant qu’administrateur général, accédez au Centre d’administration à l’aide du lien approprié pour votre abonnement et créez un groupe de sécurité appelé EDM_DataUploaders.

  2. Ajoutez un ou plusieurs utilisateurs au groupe de sécurité EDM_DataUploaders . (Ces utilisateurs gèrent la base de données d’informations sensibles.)

Hacher et charger à partir d’un même ordinateur

Cet ordinateur doit avoir accès directement à votre client Microsoft 365.

Remarque

Avant de commencer cette procédure, vérifiez que vous êtes membre du groupe de sécurité EDM_DataUploaders .

Conseil

Si vous le souhaitez, vous pouvez exécuter une validation sur votre fichier de table source d’informations sensibles pour rechercher des erreurs avant de charger en exécutant :

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Pour plus d’informations sur tous les paramètres pris en charge par le EdmUploadAgent.exe, exécutez

EdmUploadAgent.exe /?

  • Agent de chargement EDM
  • Commercial + GCC : la plupart des clients commerciaux doivent utiliser cette option.
  • GCC-High : cette option est spécifiquement destinée aux abonnés cloud gouvernementaux à haute sécurité.
  • DoD : cette option est spécifiquement destinée aux clients cloud du département de la Défense des États-Unis.

Remarque

L’agent de chargement EDM dans les liens ci-dessus a été mis à jour pour ajouter automatiquement une valeur salt aux données hachées. Vous pouvez également fournir votre propre valeur salt. Une fois que vous avez utilisé cette version, vous ne pourrez plus utiliser la version précédente de l’agent de chargement EDM.

Vous pouvez charger des données avec l’agent de chargement EDM dans n’importe quel magasin de données donné jusqu’à cinq fois par jour.

  1. Autorisez l’agent de chargement EDM, ouvrez la fenêtre d’invite de commandes en tant qu’administrateur, basculez vers le répertoire C :\EDM\Data , puis exécutez la commande suivante :

    EDM Upload Agent.exe /Authorize

    Importante

    Vous devez exécuter l’application EDM Upload Agent à partir du dossier où elle est installée et indiquer le chemin d’accès complet à vos fichiers de données.

  2. Connectez-vous avec votre compte professionnel ou scolaire pour Microsoft 365 qui a été ajouté au groupe de sécurité EDM_DataUploaders . Vos informations de client sont extraites du compte d’utilisateur pour établir la connexion.

    IMPORTANT : si vous avez utilisé l’outil de type Correspondance exacte des données et informations sensibles pour créer votre schéma, vous devez le télécharger pour l’utiliser dans cette procédure si vous ne l’avez pas déjà fait. Exécutez cette commande dans une fenêtre d’invite de commandes :

    EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  3. Pour hacher et charger les données sensibles, exécutez la commande suivante dans l’invite de commandes Windows :

    EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Remarque

    Le format par défaut du fichier de données sensibles est les valeurs séparées par des virgules. Vous pouvez spécifier un fichier séparé par des tabulations en indiquant l’option « {Tab} » avec le paramètre /ColumnSeparator, ou vous pouvez spécifier un fichier séparé par des canaux en indiquant l’option « | ».

    Exemple : EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

Langages EDM et de jeu de caractères codés sur deux octets

La correspondance exacte des données prend en charge les caractères codés sur deux octets, tels que ceux utilisés en chinois, japonais et coréen. Toutefois, il ne prend pas en charge les correspondances de chaîne pour les preuves corroboratives encodées sous forme de caractères codés sur deux octets. Il ne correspond pas non plus au texte cjk multi-jeton détecté dans le contenu classifié, sauf si la globalisation pour EDM a été activée comme décrit ci-dessous. Dans tous les cas, un sit doit être mappé à n’importe quel texte à plusieurs jetons, à la fois pour le champ principal et pour les champs de preuve corroborative.

Importante

Pour appeler la correspondance exacte des données pour les caractères codés sur deux octets, vous devez effectuer les étapes suivantes :

  1. Créez un type d’informations sensibles (SIT) EDM qui est destiné à correspondre à la langue du jeu de caractères codés sur deux octets, telle que le kanji japonais.

  2. Vérifiez que vous avez téléchargé et installé la version 17.01.0495.0 (ou ultérieure) de l’agent de chargement EDM

  3. Mettez à jour le paramètre de globalisation du fichier EdmUploadAgent.exe.config sur true : <add key=" IsGlobalizationEnabled" value="true">

  4. Hachez et chargez une table source avec les données à mettre en correspondance.

Séparer le hachage et le chargement

Effectuez le hachage sur un ordinateur dans un environnement sécurisé. Vous devez avoir la même version de l’agent de chargement EDM installé sur les deux ordinateurs.

FACULTATIF : si vous avez créé votre fichier de schéma à l’aide du schéma Exact Data Match et de l’outil SIT, exécutez la commande suivante dans une fenêtre d’invite de commandes pour télécharger le fichier au format XML :

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  1. Sur l’ordinateur dans l’environnement sécurisé, exécutez la commande suivante dans une fenêtre d’invite de commandes :

    EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Par exemple :

    EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

    Remarque

    Le format par défaut du fichier de données sensibles est les valeurs séparées par des virgules. Vous pouvez spécifier un fichier séparé par des tabulations en indiquant l’option « {Tab} » avec le paramètre /ColumnSeparator, ou vous pouvez spécifier un fichier séparé par des canaux en indiquant l’option « | ».

    Cela génère un fichier haché et un fichier salt avec ces extensions si vous n’avez pas spécifié l’option /Salt <saltvalue> :

    • .EdmHash
    • .EdmSalt

  2. Copiez ces fichiers de manière sécurisée sur l’ordinateur que vous utilisez pour charger votre fichier de table source d’informations sensibles (PatientRecords) sur votre locataire.

  3. Autorisez l’agent de chargement EDM, ouvrez la fenêtre d’invite de commandes en tant qu’administrateur, basculez vers le répertoire C :\EDM\Data , puis exécutez la commande suivante :

    EdmUploadAgent.exe /Authorize

    Importante

    Vous devez exécuter l’application EDM Upload Agent à partir du dossier où elle est installée et indiquer le chemin d’accès complet à vos fichiers de données.

  4. Connectez-vous avec votre compte professionnel ou scolaire pour Microsoft 365 qui a été ajouté au groupe de sécurité EDM_DataUploaders . Vos informations de client sont extraites du compte d’utilisateur pour établir la connexion.

  5. Pour charger les données hachées, exécutez la commande suivante dans l’invite de commandes Windows :

    EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\ /ColumnSeparator ["{Tab}"|"|"]

    Par exemple :

    EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\\Edm\\Hash\\**PatientRecords.EdmHash**

  6. Pour vérifier que le chargement de vos données sensibles a réussi, exécutez la commande suivante dans une fenêtre d’invite de commandes :

    EdmUploadAgent.exe /GetDataStore

    La liste des magasins de données et leur date de dernière mise à jour s’affiche.

  7. Pour afficher tous les chargements de données dans un magasin particulier et lorsqu’ils ont été mis à jour, exécutez la commande suivante dans une fenêtre d’invite de commandes :

    EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

Remarque

Pour automatiser le processus de hachage et de chargement une fois que vous l’avez créé pour la première fois, consultez Actualiser le fichier de table de la source d’informations sensibles correspondant exactement aux données.

Prochaines étapes

ou