Personalizzare una tipologia integrata di informazioni sensibili

  • Articolo

Quando si cercano informazioni sensibili nel contenuto, è necessario descrivere le informazioni in una cosiddetta regola. Prevenzione della perdita dei dati Microsoft Purview (DLP) include regole per i tipi di informazioni sensibili più comuni. È possibile usare queste regole immediatamente. Per usarli, è necessario includerli in un criterio. È possibile modificare queste regole predefinite per soddisfare le esigenze specifiche dell'organizzazione. A tale scopo, è possibile creare un tipo di informazioni sensibili personalizzato. Questo argomento illustra come personalizzare il file XML che contiene la raccolta di regole esistente in modo da poter rilevare una gamma più ampia di potenziali informazioni sulla carta di credito.

È possibile usare questo esempio e applicarlo ad altri tipi di informazioni riservate predefiniti. Per un elenco dei tipi di informazioni sensibili predefiniti e delle definizioni XML, vedere Definizioni di entità dei tipi di informazioni sensibili.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Esportare il file XML delle regole correnti

Per esportare l'XML, è necessario connettersi a PowerShell per Sicurezza e conformità.

  1. In PowerShell digitare quanto segue per visualizzare le regole dell'organizzazione sullo schermo. Se non sono state create regole personalizzate, verranno visualizzate solo le regole predefinite, denominate "Microsoft Rule Package".

    Get-DlpSensitiveInformationTypeRulePackage

  2. Archiviare le regole dell'organizzazione in una variabile digitando quanto segue. L'archiviazione di elementi in una variabile li rende subito disponibili in un secondo momento, in un formato adatto per i comandi remoti di PowerShell.

    $ruleCollections = Get-DlpSensitiveInformationTypeRulePackage

  3. Creare un file XML formattato con tutti i dati digitando quanto segue.

    [System.IO.File]::WriteAllBytes('C:\custompath\exportedRules.xml', $ruleCollections.SerializedClassificationRuleCollection)

    Importante

    Assicurarsi di usare il percorso del file in cui è effettivamente archiviato il pacchetto di regole. C:\custompath\ è un segnaposto.

Individuare la regola da modificare nel file XML

I cmdlet precedenti hanno esportato l'intera raccolta di regole, che include le regole predefinite fornite da Microsoft. Successivamente, sarà necessario cercare in modo specifico la regola numero di carta di credito che si desidera modificare.

  1. Usare un editor di testo per aprire il file esportato nella sezione precedente.

  2. Scorrere verso il basso fino al <Rules> tag , che è l'inizio della sezione che contiene le regole DLP. Poiché questo file XML contiene le informazioni per l'intera raccolta di regole, contiene altre informazioni nella parte superiore che è necessario scorrere oltre per ottenere le regole.

  3. Cercare Func_credit_card per trovare la definizione della regola Numero carta di credito. Nel codice XML i nomi delle regole non possono contenere spazi, quindi gli spazi vengono in genere sostituiti con caratteri di sottolineatura e i nomi delle regole sono talvolta abbreviati. Un esempio di questo è la regola del numero di previdenza sociale degli Stati Uniti, abbreviata SSN. Il codice XML per la regola Numero carta di credito dovrebbe essere simile all'esempio di codice seguente:

    <Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
       <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>

Dopo aver individuato la definizione della regola Numero carta di credito nel codice XML, è possibile personalizzare il codice XML della regola in base alle proprie esigenze. Per un aggiornamento sulle definizioni XML, vedere il glossario termini alla fine di questo argomento.

Modificare il file XML o creare una nuova tipologia di informazioni sensibili

È necessario creare un nuovo tipo di informazioni sensibili per i dati personalizzati poiché non è possibile modificare direttamente le regole predefinite. È possibile eseguire un'ampia gamma di operazioni con tipi di informazioni sensibili personalizzati, descritti in Creare un tipo di informazioni sensibili personalizzato in PowerShell per Sicurezza e conformità. Per questo esempio, la procedura verrà mantenuta semplice e verranno rimosse solo le prove corroborative e verranno aggiunte parole chiave alla regola Numero carta di credito.

Tutte le definizioni di regole XML sono basate sul modello generale seguente. È necessario copiare e incollare il codice XML di definizione del numero di carta di credito nel modello, modificare alcuni valori ." nell'esempio seguente) e quindi caricare il codice XML modificato come nuova regola che può essere usata nei criteri.

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id=". . .">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id=". . ." />
    <Details defaultLangCode=". . .">
      <LocalizedDetails langcode=" . . . ">
         <PublisherName>. . .</PublisherName>
         <Name>. . .</Name>
         <Description>. . .</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
   <!-- Paste the Credit Card Number rule definition here.-->
      <LocalizedStrings>
         <Resource idRef=". . .">
           <Name default="true" langcode=" . . . ">. . .</Name>
           <Description default="true" langcode=". . ."> . . .</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

A questo momento si ha un aspetto simile al codice XML seguente. Poiché i pacchetti e le regole delle regole sono identificati dai GUID univoci, è necessario generare due GUID: uno per il pacchetto della regola e uno per sostituire il GUID per la regola numero di carta di credito. Il GUID per l'ID entità nell'esempio di codice seguente è quello per la definizione di regola predefinita, che è necessario sostituire con uno nuovo. Esistono diversi modi per generare i GUID, ma la soluzione più semplice consiste nell'usare PowerShell digitando [guid]::NewGuid().

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id="8aac8390-e99f-4487-8d16-7f0cdee8defc">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id="8d34806e-cd65-4178-ba0e-5d7d712e5b66" />
    <Details defaultLangCode="en">
      <LocalizedDetails langcode="en">
        <PublisherName>Contoso Ltd.</PublisherName>
        <Name>Financial Information</Name>
        <Description>Modified versions of the Microsoft rule package</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
      <LocalizedStrings>
         <Resource idRef="db80b3da-0056-436e-b0ca-1f4cf7080d1f">
<!-- This is the GUID for the preceding Credit Card Number entity because the following text is for that Entity. -->
           <Name default="true" langcode="en-us">Modified Credit Card Number</Name>
           <Description default="true" langcode="en-us">Credit Card Number that looks for additional keywords, and another version of Credit Card Number that doesn't require keywords (but has a lower confidence level)</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

Rimuovere il requisito prove corroborative da una tipologia di informazioni sensibili

Ora è disponibile un nuovo tipo di informazioni riservate che è possibile caricare nel Portale di conformità di Microsoft Purview. Il passaggio successivo consiste nel rendere la regola più specifica. Modificare la regola in modo che cerchi solo un numero di 16 cifre che superi il checksum ma che non richieda prove aggiuntive (corroborative), ad esempio parole chiave. A questo scopo, è necessario rimuovere la parte del codice XML che cerca le prove corroborative. Queste ultime sono molto utili per ridurre i falsi positivi. In questo caso, in genere sono presenti determinate parole chiave o una data di scadenza vicino al numero della carta di credito. Se si rimuove questa prova, è necessario anche modificare il valore che indica quanto si ritiene probabile aver trovato un numero di carta di credito, abbassando il valore di confidenceLevel, ovvero 85 nell'esempio.

<Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="300"
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
      </Pattern>
    </Entity>

Cercare le parole chiave specifiche per l'organizzazione

Potrebbe essere necessario richiedere prove corroborative, ma si vogliono parole chiave diverse o aggiuntive e forse si vuole modificare la posizione in cui cercare tale evidenza. È possibile modificare per patternsProximity espandere o compattare la finestra per ottenere prove corroborative intorno al numero a 16 cifre. Per aggiungere parole chiave personalizzate, è necessario definire un elenco di parole chiave e farvi riferimento all'interno della regola. Il codice XML seguente aggiunge le parole chiave "company card" e "Contoso card", in modo che qualsiasi messaggio contenente tali frasi entro 150 caratteri da un numero di carta di credito venga identificato come numero di carta di credito.

<Rules>
<! -- Modify the patternsProximity to be "150" rather than "300." -->
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="150" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
<!-- Add the following XML, which references the keywords at the end of the XML sample. -->
          <Match idRef="My_Additional_Keywords" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
<!-- Add the following XML, and update the information inside the <Term> tags with the keywords that you want to detect. -->
    <Keyword id="My_Additional_Keywords">
      <Group matchStyle="word">
        <Term caseSensitive="false">company card</Term>
        <Term caseSensitive="false">Contoso card</Term>
      </Group>
    </Keyword>

Caricare una regola

Per caricare una regola, attenersi alla seguente procedura.

  1. Salvarlo come file XML con codifica Unicode. Questo è importante perché la regola non funzionerà se il file viene salvato con una codifica diversa.

  2. Connettersi a PowerShell per Sicurezza e conformità.

  3. In PowerShell digitare quanto segue.

    New-DlpSensitiveInformationTypeRulePackage -FileData ([System.IO.File]::ReadAllBytes('C:\custompath\MyNewRulePack.xml'))

    Importante

    Assicurarsi di usare il percorso del file in cui è effettivamente archiviato il pacchetto di regole. C:\custompath\ è un segnaposto.

  4. Per confermare, digitare Y, quindi premere INVIO.

  5. Verificare il nome visualizzato della nuova regola e che sia stata caricata immettendo:

    Get-DlpSensitiveInformationType

Per iniziare a usare la nuova regola per rilevare le informazioni riservate, è necessario aggiungere la regola a un criterio DLP. Per informazioni su come aggiungere la regola a un criterio, vedere Creare e distribuire criteri di prevenzione della perdita di dati.

Glossario

Ecco le definizioni dei termini incontrati durante questa procedura.


Termine Definizione
Entità Le entità sono i tipi di informazioni sensibili, ad esempio i numeri di carta di credito. Ogni entità ha un GUID univoco come ID. Se si copia un GUID e lo si cerca nel codice XML, si troveranno la definizione della regola XML e tutte le traduzioni localizzate di tale regola XML. È anche possibile trovare questa definizione individuando il GUID per la traduzione e quindi cercando tale GUID.
Funzioni Il file XML fa riferimento Func_credit_carda , che è una funzione nel codice compilato. Le funzioni vengono usate per eseguire regex complesse e verificare che i checksum corrispondano alle regole predefinite. Poiché ciò accade nel codice, alcune variabili non vengono visualizzate nel file XML.
IdMatch L'identificatore per il quale i criteri cercano corrispondenze, ad esempio un numero di carta di credito.
Elenchi di parole chiave Il file XML fa anche riferimento keyword_cc_verification a e keyword_cc_name, ovvero elenchi di parole chiave che si desidera trovare all'interno di patternsProximity per l'entità. Questi elementi non sono attualmente visualizzati nel codice XML.
Criterio Il modello contiene l'elenco di ciò che il tipo sensibile sta cercando. Questo include parole chiave, RegEx e funzioni interne, che eseguono attività come la verifica dei checksum. I tipi di informazioni sensibili possono avere più modelli con livelli di attendibilità univoci. Questo è utile quando si crea un tipo di informazioni riservate che restituisce un livello elevato di probabilità se vengono trovate prove corroborative e un livello minore se vengono trovate poche o nessuna prova corroborativa.
Modello confidenceLevel Questo è il livello di attendibilità con cui il motore DLP ha trovato una corrispondenza. Questo livello di attendibilità è associato a una corrispondenza per il modello se vengono soddisfatti i requisiti del modello. Si tratta della misura di attendibilità da prendere in considerazione quando si usano le regole del flusso di posta di Exchange (note anche come regole di trasporto).
patternsProximity Quando troviamo quello che sembra un modello di numero di carta di credito, patternsProximity è la distanza intorno a quel numero in cui cerchiamo prove corroborative.
recommendedConfidence Questo è il livello di attendibilità consigliato per questa regola. Il livello di attendibilità consigliato si applica alle entità e alle affinità. Per le entità, questo numero non viene mai valutato rispetto a confidenceLevel per il modello. È semplicemente un suggerimento che ti aiuta a scegliere un livello di confidenza se vuoi applicarlo. Per le affinità, l'oggetto confidenceLevel del modello deve essere superiore al recommendedConfidence numero per richiamare un'azione della regola del flusso di posta. è recommendedConfidence il livello di confidenza predefinito usato nelle regole del flusso di posta che richiama un'azione. Se si desidera, è possibile modificare manualmente la regola del flusso di posta da richiamare in base al livello di attendibilità del modello.

Ulteriori informazioni