Rilevazione dei documenti con informazioni sensibili usando Creazione impronta digitale documenti

Completato

Gli Information Worker di un’organizzazione gestiscono molti tipi di informazioni riservate durante una giornata. Nel Portale di conformità di Microsoft Purview, Creazione impronta digitale documenti semplifica la protezione di queste informazioni da parte di un'organizzazione. Lo fa identificando i moduli standard usati da un'organizzazione.

Questa unità esamina i concetti alla base di Creazione impronta digitale documenti. Esamina anche come creare l'impronta digitale di un documento usando Windows PowerShell.

Scenario di base per la creazione impronta digitale documenti

Creazione impronta digitale documenti è una funzionalità Prevenzione della perdita dei dati Microsoft Purview (DLP). Converte un modulo standard in un tipo di informazioni riservate. Un'organizzazione può quindi usare questo tipo di informazioni nei criteri DLP. Ad esempio, un'organizzazione può completare i passaggi seguenti:

1. Crea un'impronta digitale del documento basata su un modello di brevetto vuoto.
2. Crea quindi un criterio DLP che rileva e blocca tutti i modelli di brevetto in uscita contenenti dati sensibili.
3. Facoltativamente, configura i suggerimenti per i criteri per notificare ai mittenti che potrebbero inviare informazioni riservate. Qualsiasi mittente che riceve il suggerimento per i criteri deve verificare che i destinatari dispongano dell'autorizzazione per ricevere i brevetti.

Questo processo funziona con tutti i moduli basati su testo utilizzati in un’organizzazione. Altri esempi di moduli che un'organizzazione può caricare includono:

• Moduli governativi
• Moduli di conformità Health Insurance Portability and Accountability Act (HIPAA)
• Moduli di informazioni dei dipendenti per i reparti delle risorse umane
• Moduli personalizzati creati specificamente per un'organizzazione

Prendi in considerazione l'esempio riportato di seguito. Contoso possiede già una pratica aziendale stabilita relativa all'utilizzo di alcuni moduli per la trasmissione di dati sensibili. Contoso inizia caricando un modulo vuoto che successivamente converte in un'impronta digitale del documento. Dopo aver creato l'impronta digitale del documento, Contoso crea una nuova regola di classificazione dei dati. Questa regola usa l'impronta digitale del documento creata in precedenza. Contoso configura quindi un criterio DLP corrispondente e aggiunge la regola ai criteri. Con l'impronta digitale del documento ora assegnata a un criterio DLP, il servizio DLP rileva tutti i documenti nella posta in uscita che corrispondono a tale impronta.

Funzionamento di Creazione impronta digitale documenti

Sappiamo tutti che i documenti non hanno impronte digitali effettive. Tuttavia, il nome "Creazione impronta digitale documenti" aiuta a spiegare la funzionalità. Come le impronti digitali di una persona presentano criteri univoci, così i documenti presentano modelli di parole univoci. Quando un'organizzazione carica un file, Microsoft Purview DLP:

1. Identifica il modello di parola univoco nel documento.
2. Crea un'impronta digitale del documento in base a tale modello.
3. Usa l'impronta digitale del documento per rilevare i documenti in uscita contenenti lo stesso modello.

Questo processo mostra perché il caricamento di un modulo o modello crea il tipo più efficace di impronta digitale del documento. Chiunque compila un modulo usa lo stesso set originale di parole. Aggiunge quindi le proprie parole al documento. Se il documento in uscita contiene tutto il testo del modulo originale e non è protetto da password, la prevenzione della perdita dei dati può determinare se corrisponde all'impronta digitale del documento.

Importante

Per il momento, la prevenzione della perdita dei dati può usare Creazione impronta digitale documenti solo come metodo di rilevamento in Exchange Online.

Le organizzazioni possono usare qualsiasi modulo come base per la creazione di un'impronta digitale del documento. Il seguente esempio mostra cosa accade se crei un'impronta digitale del documento in base al modello di brevetto. Puoi comunque usare qualsiasi modello per la creazione di un'impronta.

Il modello di brevetto contiene i campi bianchi "Titolo del brevetto", "Inventori" e "Descrizione" e le descrizioni per ognuno di questi campi, vale a dire il modello di parole. Il modello di brevetto originale deve essere in uno dei tipi di file supportati e in testo normale. Quando l'organizzazione carica il modello di brevetto:

1. DLP converte questo modello di parola in un'impronta digitale del documento. L'impronta digitale è un piccolo file XML Unicode contenente un valore hash univoco che rappresenta il testo originale.

2. L'organizzazione salva l'impronta digitale del brevetto come classificazione dei dati in Active Directory.

   Nota

   Come misura di sicurezza, il sistema non archivia il documento originale stesso nel servizio; archivia solo il valore hash. Il sistema non è in grado di ricostruire il documento originale dal valore hash.

3. L'impronta digitale del brevetto diventa poi un tipo di informazione sensibile che l'organizzazione può associare a un criterio DLP.

4. Dopo che l'organizzazione ha associato l'impronta digitale a un criterio DLP, DLP rileva tutti i messaggi di posta elettronica in uscita contenenti documenti che corrispondono all'impronta digitale del brevetto. Si occupa quindi di loro secondo il criterio dell'organizzazione.

Ad esempio, supponiamo di voler configurare un criterio DLP che impedisce ai normali dipendenti di inviare messaggi in uscita contenenti brevetti. DLP usa l'impronta digitale del brevetto per rilevare i brevetti e bloccare tali messaggi di posta elettronica. In alternativa, potresti consentire al reparto legale di inviare brevetti ad altre organizzazioni per esigenze lavorative. Puoi consentire a reparti specifici di inviare informazioni riservate creando eccezioni per tali reparti nei criteri di prevenzione della perdita dei dati. In alternativa, puoi consentire loro di sostituire un suggerimento per i criteri con una giustificazione aziendale.

Tipi di file supportati

Creazione impronta digitale documenti supporta gli stessi tipi di file supportati dalle regole del flusso di posta (note anche come regole di trasporto). Per un elenco dei tipi di file supportati, vedi Tipi di file supportati per l'ispezione del contenuto delle regole del flusso di posta.

Nota

Le regole del flusso di posta e Creazione impronta digitale documenti non supportano il tipo di file dotx. Questa situazione può creare confusione perché dotx è un file modello in Word. Quando si vede la parola "modello" in questa unità, si fa riferimento a un documento definito da un’organizzazione come modulo standard, non al tipo di file modello.

Creazione impronta digitale documenti non rileva informazioni riservate nei casi seguenti:

• File protetti da password.
• File che contengono solo immagini.
• Documenti che non contengono tutto il testo del modulo originale usato per la creazione dell'impronta digitale del documento.
• File maggiori di 10 MB.

Utilizza PowerShell per creare un pacchetto di regole di classificazione in base a Creazione impronta digitale documenti

Attualmente, puoi creare un'impronta digitale del documento solo usando il modulo PowerShell Sicurezza & conformità.

DLP usa i pacchetti di regole di classificazione per individuare il contenuto riservato. Per creare un pacchetto di regole di classificazione in base a un impronta digitale del documento, utilizza i cmdlet New-DlpFingerprint e New-DlpSensitiveInformationType.

Nota

Poiché il sistema non archivia i risultati di New-DlpFingerprint all'esterno della regola di classificazione dei dati, è sempre necessario eseguire New-DlpFingerprint e New-DlpSensitiveInformationType o Set-DlpSensitiveInformationType nella stessa sessione di PowerShell.

Verrà ora illustrato un esempio su come creare un pacchetto di regole di classificazione basato su Creazione impronta digitale documenti.

1. In questo esempio viene creata una nuova impronta digitale di documento in base al file C:\Documenti\Contoso Employee Template.docx. La nuova impronta digitale viene archiviata come variabile e potrà essere quindi utilizzata con il cmdlet New-DlpSensitiveInformationType nella stessa sessione di PowerShell.

   $Employee_Template = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx'))
   
   $Employee_Fingerprint = New-DlpFingerprint -FileData $Employee_Template -Description "Contoso Employee Template"
   
   

2. Dopo aver creato l'impronta digitale del documento, è necessario creare una nuova regola di classificazione dei dati. Per questo esempio, denominalo Contoso Employee Confidential. Questa regola utilizza l'impronta digitale del file C:\Documenti\Contoso Customer Information Form.docx.

   $Customer_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx'))
   
   $Customer_Fingerprint = New-DlpFingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"
   
   New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."
   
   

3. Puoi ora usare il cmdlet Get-DlpSensitiveInformationType per trovare tutti i pacchetti di regole di classificazione dei dati DLP. In questo esempio Contoso Customer Confidential fa parte dell'elenco dei pacchetti delle regole di classificazione dei dati. Aggiungi quindi il pacchetto di regole di classificazione dei dati Contoso Customer Confidential a un criterio DLP. Anche se è possibile completare questo passaggio nel Portale di conformità di Microsoft Purview, in questo esempio viene aggiunta una regola a un criterio DLP esistente denominato ConfidentialPolicy.

   New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True
   
   

4. Puoi anche usare il pacchetto della regola di classificazione dei dati nelle regole del flusso di posta in Exchange Online. Per eseguire questo comando devi prima connetterti a Exchange Online PowerShell. Tieni presente che la sincronizzazione del pacchetto di regole dal Portale di conformità di Microsoft Purview all'interfaccia di amministrazione di Exchange richiede tempo.

   New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}
   
   

Prevenzione della perdita dei dati Microsoft Purview ora rileva i documenti che corrispondono all'impronta digitale del documento Contoso Customer Form.docx.