Hacher et charger la table de source d’informations sensibles pour les données exactes correspondant aux types d’informations sensibles

Cet article explique comment hacher et charger votre table source d’informations sensibles.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

S’applique à

• Créer une nouvelle expérience de type d’informations sensibles correspondant exactement aux données
• Créer une expérience classique de type d’informations sensibles correspondant exactement aux données

Hachage et chargement de la table source d’informations sensibles

Au cours de cette phase, vous :

1. Configurez un groupe de sécurité et un compte d’utilisateur personnalisés.
2. Configurez l’outil Exact Data Match (EDM) Upload Agent.
3. Utilisez l’outil EDM Upload Agent pour hacher, avec une valeur salt, la table source d’informations sensibles et la charger.

Vous pouvez hacher et charger vos données sensibles à l’aide de la méthode à deux ordinateurs ou de la méthode Ordinateur unique , comme décrit dans Hachage et chargement de vos données. La meilleure pratique consiste à utiliser deux ordinateurs pour séparer les processus de hachage et de chargement de vos données sensibles. La séparation des étapes sur deux ordinateurs permet de s’assurer que vos données réelles ne sont jamais disponibles sous forme de texte clair sur un ordinateur susceptible d’être compromis en raison de sa connexion à Internet. Cela permet également d’isoler les problèmes que vous rencontrez plus facilement.

Configuration requise

Exigences technologiques

• Un compte professionnel ou scolaire pour Microsoft 365. Ce compte doit être ajouté au groupe de sécurité EDM_DataUploaders .
• Un ordinateur avec l’un des systèmes d’exploitation suivants. Cet ordinateur exécute l’agent de chargement EDM.
  • Windows 10
  • Windows Server 2016 avec .NET version 4.6.2
  • Windows Server 2019
• Répertoire sur l’ordinateur que vous utilisez pour charger vos données. Ce répertoire contient :
  • Agent de chargement EDM.
  • Votre fichier de données d’informations sensibles au format .csv, .tsv ou canal (|). Par défaut, l’agent de chargement EDM s’attend à ce que votre fichier de données soit au format .csv. > [! CONSEIL]

    Vous pouvez utiliser un fichier avec des données séparées par des onglets ou des canaux (au lieu de virgules), en indiquant les options « (Tab) » ou « (|) » avec le /ColumnSeparated paramètre . Par exemple : EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

  • La sortie contient et les fichiers salt qui sont créés à la fin de la procédure de hachage.
  • Nom du magasin de données du fichier edm.xml . Notre exemple utilise PatientRecords.

Exigences relatives au groupe de sécurité et au compte d’utilisateur

1. En tant qu’administrateur général, accédez au Centre d’administration à l’aide du lien approprié pour votre abonnement et créez un groupe de sécurité appelé EDM_DataUploaders.

2. Ajoutez un ou plusieurs utilisateurs au groupe de sécurité EDM_DataUploaders . (Il s’agit des utilisateurs qui gèrent la base de données d’informations sensibles.)

Schéma de correspondance exacte des données

Si vous avez utilisé le schéma EDM et l’outil de type d’informations sensibles pour la nouvelle expérience ou le package de règles/types d’informations sensibles EDM pour l’expérience classique, vous devez télécharger ce schéma pour hacher votre table de source d’informations sensibles. Pour plus d’informations, consultez Exportation du fichier de schéma EDM au format XML.

Pour télécharger ce schéma EDM, ouvrez une fenêtre d’invite de commandes et exécutez la commande suivante :

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

Exigences de mise en forme des données

Avant de hacher et de charger vos données sensibles, exécutez une recherche pour tous les caractères spéciaux dans la table qui peuvent entraîner des problèmes lors de l’analyse du contenu.

Vous pouvez vérifier que la table est dans un format approprié en utilisant l’agent de chargement EDM avec la syntaxe suivante :

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Problèmes courants de mise en forme

1. Nombre de colonnes incompatible : Cela peut être dû à la présence de virgules ou de guillemets dans les valeurs de la table qu’EDM interprète comme délimiteurs de colonnes. Sauf s’ils entourent une valeur entière, les guillemets simples et doubles peuvent entraîner une mauvaise identification du début et de la fin des colonnes individuelles par l’outil.
2. Guillemets simples ou virgules à l’intérieur d’une valeur : Par exemple, si le nom d’une personne inclut un guillemet unique (tel que Tom O’Neil) ou si le nom d’une ville commence par une apostrophe (telle que 's-Gravenhage), vous devez modifier le processus d’exportation de données utilisé pour générer la table d’informations sensibles et entourer ces colonnes de guillemets doubles.
3. Guillemets doubles à l’intérieur des valeurs : La meilleure pratique consiste à utiliser le format délimité par des tabulations pour le tableau. Les tables délimitées par des tabulations sont moins sensibles à ces problèmes.

Hachage et chargement de vos données

Méthode à deux ordinateurs

Votre table source d’informations sensibles est mise en forme en texte clair. En utilisant un ordinateur pour l’étape de hachage et un autre ordinateur pour l’étape de chargement, vous protégez vos données contre l’exposition en texte clair sur un ordinateur disposant d’une connexion directe à votre locataire Microsoft 365.

Importante

Cette approche nécessite que la même version de l’agent de chargement EDM soit installée sur les deux ordinateurs. Vous pouvez ensuite copier le fichier de hachage et le fichier salt de l’ordinateur sécurisé vers un ordinateur qui peut se connecter directement à votre client Microsoft 365.

1. Sur l’ordinateur dans l’environnement sécurisé, exécutez la commande suivante dans une fenêtre d’invite de commandes :EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value] Par exemple: EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

   Cela génère un fichier haché et un fichier salt avec ces extensions si vous n’avez pas spécifié l’option /Salt <saltvalue> :

   • EdmHash
   • EdmSalt

2. Copiez en toute sécurité ces fichiers sur l’ordinateur que vous utilisez pour charger votre table source d’informations sensibles (par exemple, PatientRecords.csv) sur votre locataire.

3. Autorisez l’agent de chargement EDM :

   1. En tant qu’administrateur, ouvrez une fenêtre d’invite de commandes.
   2. Basculez vers le répertoire où l’agent de chargement EDM est installé. (Le répertoire recommandé est C :\EDM\Data.)
   3. Exécutez la commande suivante :

   EDM Upload Agent.exe /Authorize

   Importante

   Vous devez exécuter l’agent de chargement EDM à partir du dossier où il est installé et vous devez sindiquer le chemin d’accès complet à vos fichiers de données.

4. Connectez-vous avec votre compte Microsoft 365 professionnel ou scolaire. (Compte ajouté au groupe de sécurité EDM_DataUploaders ). Vos informations de client sont extraites du compte d’utilisateur pour établir la connexion.

5. Pour charger les données hachées, exécutez la commande suivante dans une fenêtre d’invite de commandes :

   EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\ /ColumnSeparator ["{Tab}"|"|"]

   Par exemple : EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\\Edm\\Hash\\**PatientRecords.EdmHash**

6. Pour vérifier que le chargement de vos données sensibles a réussi, exécutez la commande suivante dans une fenêtre d’invite de commandes :

   EdmUploadAgent.exe /GetDataStore

   Si le chargement a réussi, la liste des magasins de données et leur date de dernière mise à jour s’affiche.

7. Pour afficher tous les chargements de données dans un magasin particulier et lorsqu’ils ont été mis à jour, exécutez la commande suivante dans une fenêtre d’invite de commandes :

   EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

Conseil

Pour automatiser le processus de hachage et de chargement une fois que vous l’avez créé pour la première fois, consultez Actualiser le fichier de table de la source d’informations sensibles correspondant exactement aux données.

Méthode d’ordinateur unique

Si vous souhaitez hacher et charger à partir d’un ordinateur, l’ordinateur que vous utilisez doit être en mesure de se connecter directement à votre locataire Microsoft 365. En outre, votre fichier de table source d’informations sensibles en texte clair doit résider sur cet ordinateur afin qu’il puisse être haché.

1. Sélectionnez l’agent de chargement EDM approprié pour votre organisation.

   Version de l’agent de chargement EDM	Description
   Commercial + GCC	Les clients commerciaux ost doivent utiliser cette option.
   GCC-High	Cette option s’adresse spécifiquement aux abonnés cloud gouvernementaux à haute sécurité.
   DOD	Cette option s’adresse spécifiquement aux clients cloud du département de la Défense des États-Unis.

   Chaque version de l’agent de chargement EDM ajoute automatiquement une valeur salt à vos données hachées. Si vous le souhaitez, vous pouvez fournir votre propre valeur de sel.

   Avertissement

   Si vous choisissez d’utiliser votre propre valeur salt, vous ne pouvez pas revenir à la version standard de l’agent de chargement EDM pour votre cas d’usage.

2. Autorisez l’agent de chargement EDM :

   1. En tant qu’administrateur, ouvrez une fenêtre d’invite de commandes.
   2. Basculez vers le répertoire où l’agent de chargement EDM est installé. (Le répertoire recommandé est C :\EDM\Data.)
   3. Exécutez la commande suivante :

   EDM Upload Agent.exe /Authorize

3. Connectez-vous avec votre compte Microsoft 365 professionnel ou scolaire. (Compte ajouté au groupe de sécurité EDM_DataUploaders .) Les informations de votre locataire sont extraites du compte d’utilisateur pour établir la connexion.s

4. Pour hacher et charger vos données sensibles, exécutez la commande suivante dans une fenêtre d’invite de commandes :

   EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

Langages EDM et de jeu de caractères codés sur deux octets

La correspondance exacte des données prend en charge les caractères codés sur deux octets, tels que ceux utilisés en chinois, japonais et coréen. Toutefois, il ne prend pas en charge les correspondances de chaîne pour les preuves corroboratives encodées sous forme de caractères codés sur deux octets. Il ne correspond pas non plus au texte cjk multi-jeton détecté dans le contenu classifié, sauf si la globalisation pour EDM est activée comme décrit ci-dessous. Dans tous les cas, un sit doit être mappé à n’importe quel texte à plusieurs jetons, à la fois pour le champ principal et pour les champs de preuve corroborative.

Pour appeler la correspondance exacte des données pour les caractères codés sur deux octets, procédez comme suit :

1. Créez un type d’informations sensibles (SIT) EDM configuré pour correspondre à la langue du jeu de caractères codés sur deux octets, comme le kanji japonais.

2. Vérifiez que vous avez téléchargé et installé la version 17.01.0495.0 (ou ultérieure) de l’agent de chargement EDM

3. Mettez à jour le paramètre de globalisation du fichier EdmUploadAgent.exe.config sur true : <add key=" IsGlobalizationEnabled" value="true">

4. Hachez et chargez une table source avec les données à mettre en correspondance.

Étapes suivantes

• Pour la nouvelle expérience : Tester un type d’informations sensibles correspondant exactement aux données

• Pour l’expérience classique : Créer un package de règles/types d’informations sensibles de correspondance de données exactes