Condividi tramite

Creazione impronta digitale documenti

  • Articolo

Gli Information Worker dell'organizzazione gestiscono molti tipi di informazioni riservate durante una giornata. Nel Portale di conformità di Microsoft Purview, l'impronta digitale dei documenti semplifica la protezione di queste informazioni identificando i moduli standard usati in tutta l'organizzazione. Questo articolo descrive i concetti alla base dell'impronta digitale dei documenti e come creare un'impronta digitale del documento usando il portale di conformità o PowerShell.

L'impronta digitale dei documenti include le funzionalità seguenti:

  • La prevenzione della perdita dei dati può usare l'impronta digitale dei documenti come metodo di rilevamento in Exchange, SharePoint, OneDrive, Teams e Dispositivi.
  • Le funzionalità delle impronte digitali dei documenti possono essere gestite tramite il Portale di conformità di Microsoft Purview.
  • La corrispondenza parziale è supportata.
  • È supportata la corrispondenza esatta .
  • Accuratezza del rilevamento migliorata
  • Supporto per il rilevamento in più lingue, incluse le lingue a doppio byte, ad esempio cinese, giapponese e coreano.

Importante

Se si è un cliente E5, è consigliabile aggiornare le impronte digitali esistenti per sfruttare il set completo di funzionalità di impronta digitale del documento. Se si è un cliente E3, è consigliabile eseguire l'aggiornamento a una licenza E5. Se si sceglie di non modificarle, non sarà possibile modificare le impronte digitali esistenti o crearne di nuove dopo aprile 2023.

Scenario di base per l'impronta digitale dei documenti

L'impronta digitale dei documenti è una funzionalità Prevenzione della perdita dei dati Microsoft Purview (DLP) che converte un modulo standard in un tipo di informazioni sensibili (SIT), che è possibile usare nelle regole dei criteri DLP. Ad esempio, è possibile creare l'impronta digitale di un documento basata su un modello di brevetto vuoto e creare quindi un criterio DLP che rileva e blocca tutti i modelli di brevetto in uscita contenenti dati sensibili. Facoltativamente, è possibile configurare suggerimenti per i criteri per notificare ai mittenti che potrebbero inviare informazioni riservate e che il mittente deve verificare che i destinatari siano qualificati per ricevere i brevetti. Questo processo funziona con tutti i moduli basati su testo utilizzati nell'organizzazione. Altri esempi di moduli che è possibile caricare includono:

  • Moduli governativi
  • Moduli di conformità Health Insurance Portability and Accountability Act (HIPAA)
  • Moduli di informazioni dei dipendenti per i reparti delle risorse umane
  • Moduli personalizzati creati specificamente per l'organizzazione

In teoria, l'organizzazione possiede già una pratica aziendale stabilita relativa all'utilizzo di alcuni moduli per la trasmissione di dati sensibili. Per abilitare il rilevamento, caricare un modulo vuoto da convertire in un'impronta digitale del documento. Configurare quindi un criterio corrispondente. Dopo aver completato questi passaggi, DLP rileva tutti i documenti nella posta in uscita che corrispondono a tale impronta digitale.

Funzionamento dell'impronta digitale dei documenti

Probabilmente hai già indovinato che i documenti non hanno impronte digitali effettive, ma il nome aiuta a spiegare la funzionalità. Come le impronti digitali di una persona presentano criteri univoci, così i documenti presentano modelli di parole univoci. Quando si carica un file, DLP identifica il modello di parola univoco nel documento, crea un'impronta digitale del documento in base a tale modello e usa tale impronta digitale del documento per rilevare i documenti in uscita contenenti lo stesso modello. Ecco perché il caricamento di un modulo o modello crea il tipo più efficace di impronta digitale del documento. Tutti gli utenti che compilano un modulo usano lo stesso set di parole originale e quindi aggiungono le proprie parole al documento. Se il documento in uscita non è protetto da password e contiene tutto il testo del modulo originale, la prevenzione della perdita dei dati può determinare se il documento corrisponde all'impronta digitale del documento.

Diagramma dell'impronta digitale dei documenti.

Il modello di brevetto contiene i campi vuoti "Titolo brevetto", "Inventori" e "Descrizione", insieme alle descrizioni per ognuno di questi campi, ovvero il modello di parola. Quando si carica il modello di brevetto originale, è in uno dei tipi di file supportati e in testo normale. DLP converte questo modello di parola in un'impronta digitale del documento, ovvero un piccolo file XML Unicode contenente un valore hash univoco che rappresenta il testo originale. L'impronta digitale viene salvata come classificazione dei dati in Active Directory. Come misura di sicurezza, il documento originale non viene archiviato nel servizio, ma viene archiviato solo il valore hash. Il documento originale non può essere ricostruito dal valore hash. L'impronta digitale del brevetto diventa quindi un SIT che è possibile associare a un criterio DLP. Dopo aver associato l'impronta digitale a un criterio DLP, DLP rileva tutti i messaggi di posta elettronica in uscita contenenti contenuti che corrispondono all'impronta digitale del brevetto e li gestisce in base ai criteri dell'organizzazione.

Ad esempio, se si configura un criterio DLP che impedisce ai dipendenti regolari di inviare messaggi in uscita contenenti brevetti, la prevenzione della perdita dei dati usa l'impronta digitale del brevetto per rilevare i brevetti e bloccare tali messaggi di posta elettronica. In alternativa, si potrebbe voler consentire al proprio reparto legale di inviare brevetti ad altre organizzazioni perché ha una necessità aziendale per farlo. Per consentire a reparti specifici di inviare informazioni riservate, creare eccezioni per tali reparti nei criteri DLP. In alternativa, è possibile consentire loro di sostituire un suggerimento per i criteri con una giustificazione aziendale.

Importante

Il testo nei documenti incorporati non viene considerato per la creazione di impronte digitali. È necessario fornire file modello di esempio che non contengono documenti incorporati.

Tipi di file supportati

L'impronta digitale dei documenti supporta gli stessi tipi di file supportati nelle regole del flusso di posta (note anche come regole di trasporto). Per un elenco dei tipi di file supportati, vedere Tipi di file supportati per l'ispezione del contenuto delle regole del flusso di posta. Una nota rapida sui tipi di file: né le regole del flusso di posta né l'impronta digitale dei documenti supportano il tipo di file dotx, che è un file modello in Microsoft Word. Quando viene visualizzata la parola "modello" in questo e in altri articoli sull'impronta digitale del documento, si riferisce a un documento che è stato stabilito come modulo standard, non al tipo di file modello.

Limitazioni della creazione dell'impronta digitale del documento

L'impronta digitale dei documenti non rileva informazioni sensibili nei casi seguenti:

  • File protetti da password
  • File che contengono solo immagini
  • Documenti che non contengono tutto il testo del modulo originale usato per la creazione dell'impronta digitale del documento
  • File di dimensioni superiori a 4 MB

Nota

Per usare l'impronta digitale dei documenti con i dispositivi, è necessario attivare l'analisi e la protezione avanzata della classificazione .

Le impronte digitali vengono archiviate in un pacchetto di regole separato. Questo pacchetto di regole ha un limite massimo di dimensioni di 1of 150 KB. Dato questo limite, è possibile creare circa 50 impronte digitali per tenant.

Gli esempi seguenti illustrano cosa accade se si crea un'impronta digitale del documento basata su un modello di brevetto. Tuttavia, è possibile usare qualsiasi modulo come base per la creazione di un'impronta digitale del documento.

Esempio del portale di conformità di un documento di brevetto corrispondente a un'impronta digitale di un documento di un modello di brevetto

  1. Nel Portale di conformità di Microsoft Purview selezionare Classificazione dati e quindi scegliere Classificatori.
  2. Nella pagina Classificatori scegliere Tipi di> informazioni sensibiliCrea sit basato su impronta digitale.
  3. Immettere un nome e una descrizione per il nuovo SIT.
  4. Caricare il file da usare come modello di impronta digitale.
  5. FACOLTATIVO: modificare i requisiti per ogni livello di attendibilità e quindi scegliere Avanti. Per altre informazioni, vedere Corrispondenza parziale e Corrispondenza esatta.
  6. Esaminare le impostazioni >create.
  7. Quando viene visualizzata la pagina di conferma, scegliere Fine.

Esempio di PowerShell di un documento di brevetto corrispondente a un'impronta digitale di un documento di un modello di brevetto

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Corrispondenza parziale

Per configurare la corrispondenza parziale di un'impronta digitale del documento, quando si configura il livello di attendibilità, scegliere Bassa, Media o Alta e indicare la quantità di testo nel file deve corrispondere all'impronta digitale in termini di percentuale compresa tra il 30% e il 90%.

Un livello di confidenza elevato restituisce il minor numero di falsi positivi, ma potrebbe causare più falsi negativi. I livelli di attendibilità bassa o media restituiscono più falsi positivi, ma da pochi a zero falsi negativi.

  • bassa attendibilità: gli elementi corrispondenti conterrà il minor numero di falsi negativi, ma il maggior numero di falsi positivi. La bassa confidenza restituisce tutte le corrispondenze di attendibilità bassa, media e alta.
  • attendibilità media: gli elementi corrispondenti conterrà un numero medio di falsi positivi e falsi negativi. La confidenza media restituisce tutte le corrispondenze di attendibilità medie e elevate.
  • confidenza elevata: gli elementi corrispondenti contengono il minor numero di falsi positivi, ma il maggior numero di falsi negativi.

Corrispondenza esatta

Per configurare la corrispondenza esatta di un'impronta digitale del documento, selezionare Esatto come valore per il livello di attendibilità elevato. Quando si imposta il livello di attendibilità elevato su Exact, verranno rilevati solo i file che hanno esattamente lo stesso testo dell'impronta digitale. Se il file ha anche una piccola deviazione dall'impronta digitale, non verrà rilevato.

Si usano già i SIT per le impronte digitali?

Le impronte digitali esistenti e i criteri/le regole per tali impronte digitali dovrebbero continuare a funzionare. Se non si vogliono usare le funzionalità di impronta digitale più recenti, non è necessario eseguire alcuna operazione.

Se si dispone di una licenza E5 e si vogliono usare le funzionalità di impronta digitale più recenti, è possibile creare una nuova impronta digitale o eseguire la migrazione di un criterio alla versione più recente.

Nota

La creazione di nuove impronte digitali usando i modelli in cui esiste già un'impronta digitale non è supportata.

Creare un nuovo criterio usando l'impronta digitale SIT usando il portale di conformità

  1. Nel Portale di conformità di Microsoft Purview selezionare Criteri diprevenzione >della perdita dei datiTipi> di > informazioni sensibili+ Crea criterio>personalizzato per creare un nuovo criterio.
  2. Selezionare l'area geografica o il paese >Successivo.
  3. Assegnare un nome ai criteri e specificare una descrizione >Avanti.
  4. Nella pagina Assegna unità di amministrazione scegliere tra le due opzioni seguenti:
    • Applicare i criteri a tutti gli utenti e i gruppi >Avanti.
      O
    • Aggiungere utenti e gruppi specifici da sottoporre al criterio >Avanti.
  5. Selezionare le posizioni in cui si desidera applicare il criterio >Avanti.
  6. Nella pagina Definisci impostazioni criteri scegliere Crea regole DLP> avanzate personalizzateAvanti.
  7. Nella pagina Personalizza regole DLP avanzate scegliere Crea regola.
  8. Immettere un nome e una descrizione per la regola.
  9. In Condizioni scegliere Aggiungi condizione>Contenuto contenuto.
  10. Assegnare al nuovo set di regole DLP un nome> gruppoAggiungere>tipi di informazioni sensibili.
  11. Cercare e selezionare il nome dell'impronta digitale SIT >Add.
  12. Selezionare il livello > di attendibilità Aggiungi un'azione.
  13. Selezionare l'azione da eseguire quando viene attivata la regola e quindi specificare i dettagli > dell'azione Salva>successivo.
  14. Scegliere tra queste due opzioni:
    • Testare il criterio >Avanti.
      O
    • attivare il criterio immediatamente >Avanti.
  15. Esaminare le impostazioni >Invia>completato.

Creare un tipo di informazioni sensibili personalizzato basato sull'impronta digitale dei documenti tramite PowerShell

Attualmente, è possibile creare un'impronta digitale del documento solo in PowerShell sicurezza & conformità.

La prevenzione della perdita dei dati usa i tipi di informazioni sensibili (SIT) per rilevare il contenuto sensibile. Per creare un sit personalizzato basato su un'impronta digitale del documento, usare il cmdlet New-DlpSensitiveInformationType . Nell'esempio seguente viene creata una nuova impronta digitale del documento denominata "Contoso Customer Confidential" in base al file C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Aggiungere infine il tipo di informazioni riservate "Contoso Customer Confidential" a un criterio DLP nel Portale di conformità di Microsoft Purview. In questo esempio viene aggiunta una regola a un criterio DLP esistente denominato "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

È anche possibile usare l'impronta digitale SIT nelle regole del flusso di posta in Exchange, come illustrato nell'esempio seguente. Per eseguire questo comando, è prima necessario connettersi a Exchange PowerShell. Si noti anche che la sincronizzazione dei SIT dal Portale di conformità di Microsoft Purview all'interfaccia di amministrazione di Exchange richiede tempo.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP ora rileva i documenti che corrispondono all'impronta digitale del documento Contoso Customer Form.docx.

Per informazioni sulla sintassi e sui parametri, vedere:

Modificare, testare o eliminare un'impronta digitale di un documento

Per eseguire questa operazione tramite l'interfaccia utente, aprire l'impronta digitale SIT che si desidera modificare, testare o eliminare e scegliere l'icona appropriata.

A tale scopo tramite PowerShell, eseguire i comandi seguenti.

Modificare un'impronta digitale di un documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testare un'impronta digitale di un documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Eliminare un'impronta digitale di un documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Eseguire la migrazione di un nuovo criterio usando l'impronta digitale SIT usando il portale di conformità

  1. Nel Portale di conformità di Microsoft Purview selezionare Criteri di prevenzione> della perdita dei datiTipi>di informazioni sensibili.
  2. Aprire il sit contenente l'impronta digitale di cui si vuole eseguire la migrazione.
  3. Scegliere Modifica.
  4. Caricare di nuovo lo stesso file di impronta digitale.
  5. Esaminare le impostazioni > dell'impronta digitale Completata.

Eseguire la migrazione di un'impronta digitale con PowerShell

Immettere il comando seguente:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"