Partilhar via

Hash e carregue a tabela de fonte de informações confidenciais para tipos de informações confidenciais de correspondência exata de dados

  • Artigo

Este artigo mostra como fazer hash e carregar sua tabela de origem de informações confidenciais.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Aplicável a

Hash e carregar a tabela de origem de informações confidenciais

Nesta fase, você:

  1. Configure um grupo de segurança personalizado e uma conta de usuário.
  2. Configure a ferramenta EDM Upload Agent.
  3. Use a ferramenta EDM Upload Agent para hash, com um valor de sal, a tabela de origem de informações confidenciais e carregue-a.

O hash e o carregamento podem ser feitos usando um computador ou você pode separar a etapa de hash da etapa de carregamento para obter maior segurança.

Se você quiser usar o hash e carregá-los de um computador, será preciso fazer isso em um computador que possa se conectar diretamente ao seu locatário do Microsoft 365. Isso requer que o arquivo de tabela de fonte de informações confidenciais de texto claro esteja nesse computador para hash.

Se você não quiser expor seu arquivo de tabela de fonte de informações confidenciais de texto claro no computador de acesso direto, poderá hash-lo em um computador que está em um local seguro. Nesse cenário, a mesma versão do Agente de Carregamento do EDM deve ser instalada em ambos os computadores. Em seguida, você pode copiar o arquivo de hash e o arquivo de sal do computador seguro para um computador que pode se conectar diretamente ao locatário do Microsoft 365.

Importante

Se você usou o esquema Exact Data Match e a ferramenta de tipo de informações confidenciais para criar seu arquivo de esquema, você deverá baixar o esquema para esse procedimento se ainda não tiver feito isso. Veja , Exportando o arquivo de esquema EDM no formato XML.

Observação

Se sua organização tiver configurado a Chave do Cliente para o Microsoft 365 no nível do locatário, uma correspondência de dados exata usará a funcionalidade de criptografia automaticamente. Isso está disponível apenas para locatários licenciados do E5 na nuvem Comercial.

Práticas recomendadas

Separe os processos de hash e upload dos dados confidenciais para que você possa isolar mais facilmente quaisquer problemas no processo.

Uma vez em produção, mantenha as duas etapas separadas na maioria dos casos. Para garantir que seus dados reais nunca estejam disponíveis em formulário de texto claro em um computador que possa ser comprometido devido à sua conexão com a Internet, execute o processo de hash em um computador isolado. Em seguida, transfira o arquivo para um computador voltado para a Internet para carregá-lo.

Verifique se sua tabela de dados confidenciais não tem problemas de formatação

Antes de fazer hash e carregar seus dados confidenciais, faça uma pesquisa para validar a presença de caracteres especiais que podem causar problemas na análise do conteúdo.

Você pode validar que a tabela está em um formato adequado para usar com o EDM usando o Agente de Carregamento EDM com a seguinte sintaxe:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Se a ferramenta indicar uma incompatibilidade no número de colunas, pode ser devido à presença de vírgulas ou caracteres de citação dentro de valores na tabela que estão sendo confundidos com delimitadores de coluna. A menos que estejam cercando um valor inteiro, aspas simples e duplas podem fazer com que a ferramenta seja identificada erroneamente quando uma coluna individual inicia ou termina.

Se você encontrar caracteres de cotação única ou dupla em torno de valores completos: você pode deixá-los como eles são.

Se você encontrar caracteres de citação única ou vírgulas dentro de um valor: por exemplo, o nome da pessoa Tom O'Neil ou a cidade 's-Gravenhage, que começa com um caractere apóstrofe, você precisa modificar o processo de exportação de dados usado para gerar a tabela de informações confidenciais e cercar essas colunas com aspas duplas.

Se os caracteres de cotação dupla forem encontrados dentro de valores, talvez seja preferível usar o formato delimitado por guia para a tabela, que é menos suscetível a esses problemas.

Pré-requisitos

  • uma conta corporativa ou escolar do Microsoft 365 para adicionar ao grupo de segurança EDM_DataUploaders
  • um Windows 10, Windows Server 2016 com o .NET versão 4.6.2 ou um computador Windows Server 2019 para executar o Agente de Carregamento EDM
  • um diretório em seu computador de carregamento para o seguinte:
    • o agente de carregamento EDM
    • seu arquivo de item confidencial no formato .csv, .tsv ou pipe (|), PatientRecords.csv em nossos exemplos
    • os arquivos de hash e sal de saída criados ao concluir esse procedimento
    • o nome do repositório de armazenamento do arquivo edm.xml, para esse exemplo, é PatientRecords

Importante

  1. Se você estiver usando Windows Server 2016 ou earler, também deve instalar o Visual C++ antes de instalar o Agente de Carregamento EDM.

Configuração do grupo de segurança e conta de usuário

  1. Como administrador global, acesse o centro de administração usando o link apropriado para sua assinatura e crie um grupo de segurança chamado EDM_DataUploaders.

  2. Adicione um ou mais usuários ao grupo de segurança EDM_DataUploaders . (Esses usuários gerenciam o banco de dados de informações confidenciais.)

Hash e carregamento de um computador

Esse computador deve ter acesso direto ao seu locatário do Microsoft 365.

Observação

Antes de iniciar esse procedimento, verifique se você é membro do grupo de segurança EDM_DataUploaders .

Dica

Opcionalmente, você pode executar uma validação em seu arquivo de tabela de origem de informações confidenciais para marcar-lo por erros antes de carregar executando:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Para obter mais informações sobre todos os parâmetros compatíveis com o EdmUploadAgent.exe, execute

EdmUploadAgent.exe /?

  • Agente de carregamento EDM
  • Comercial + GCC – A maioria dos clientes comerciais deve usar essa opção.
  • GCC-High – Essa opção é especificamente para assinantes de nuvem do governo de alta segurança.
  • DoD – Essa opção é especificamente para Estados Unidos clientes de nuvem do Departamento de Defesa.

Observação

O Agente de Carregamento EDM nos links acima foi atualizado para adicionar automaticamente um valor de sal aos dados de hash. Como alternativa, você pode fornecer seu próprio valor salt. Depois de usar essa versão, você não poderá usar a versão anterior do Agente de Carregamento do EDM.

Você pode carregar dados com o Agente de Carregamento EDM para qualquer armazenamento de dados fornecido até cinco vezes por dia.

  1. Autorize o Agente de Carregamento EDM, abra a janela Prompt de Comando como administrador, alterne para o diretório C:\EDM\Data e execute o seguinte comando:

    EDM Upload Agent.exe /Authorize

    Importante

    Você deve executar o aplicativo EDM Upload Agent da pasta em que ele está instalado e indicar o caminho completo para seus arquivos de dados.

  2. Entre com sua conta corporativa ou de estudante do Microsoft 365 que foi adicionada ao grupo de segurança EDM_DataUploaders . As informações do locatário são extraídas da conta do usuário para fazer a conexão.

    IMPORTANTE: se você usou o esquema Exact Data Match e a ferramenta de tipo de informações confidenciais para criar seu esquema, você deverá baixá-lo para uso neste procedimento se ainda não tiver. Execute este comando em uma janela prompt de comando:

    EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  3. Para criar o hash e carregar os dados confidenciais, execute o seguinte comando no prompt de comando:

    EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Observação

    O formato padrão para o arquivo de dados confidenciais é valores separados por vírgulas. Você pode especificar um arquivo separado por guia indicando a opção "{Tab}" com o parâmetro /ColumnSeparator ou especificar um arquivo separado por pipe indicando a opção "|".

    Exemplo: EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

Idiomas de conjunto de caracteres EDM e bytes duplos

A correspondência exata de dados dá suporte a caracteres de bytes duplos, como os usados em chinês, japonês e coreano. No entanto, ele não dá suporte a correspondências de cadeia de caracteres para evidências corroborativas codificadas como caracteres de bytes duplos. Também não corresponde ao texto CJK de vários tokens detectado no conteúdo classificado, a menos que a globalização para EDM tenha sido habilitada, conforme descrito abaixo. Em todos os casos, um SIT deve ser mapeado para qualquer texto de vários tokens, tanto para o campo primário quanto para campos de evidências corroborativos.

Importante

Para invocar a correspondência exata de dados para caracteres de bytes duplos, você precisa seguir as seguintes etapas:

  1. Crie um SIT (Tipo de Informações Confidenciais) EDM que se destina a corresponder à linguagem de conjunto de caracteres de bytes duplos, como kanji japonês.

  2. Verifique se você baixou e instalou a versão 17.01.0495.0 (ou posterior) do Agente de Carregamento do EDM

  3. Atualize o parâmetro de globalização do arquivo EdmUploadAgent.exe.config para true: <add key=" IsGlobalizationEnabled" value="true">

  4. Hash e carregue uma tabela de origem com os dados a serem correspondidos.

Separar hash e upload

Execute o hash em um computador em um ambiente seguro. Você deve ter a mesma versão do Agente de Carregamento EDM instalada em ambos os computadores.

OPCIONAL: se você criou o arquivo de esquema usando o esquema Exact Data Match e a ferramenta SIT, execute o seguinte comando em uma janela prompt de comando para baixar o arquivo no formato XML:

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  1. No computador no ambiente seguro, execute o seguinte comando em uma janela prompt de comando:

    EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Por exemplo:

    EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

    Observação

    O formato padrão para o arquivo de dados confidenciais é valores separados por vírgulas. Você pode especificar um arquivo separado por guia indicando a opção "{Tab}" com o parâmetro /ColumnSeparator ou especificar um arquivo separado por pipe indicando a opção "|".

    Isso gera um arquivo hash e um arquivo de sal com essas extensões se você não especificar a opção /Salt <saltvalue> :

    • .EdmHash
    • .EdmSalt

  2. Copie esses arquivos de forma segura para o computador que você usa para carregar seu arquivo de tabela de origem de informações confidenciais (PatientRecords) para seu locatário.

  3. Autorize o Agente de Carregamento EDM, abra a janela Prompt de Comando como administrador, alterne para o diretório C:\EDM\Data e execute o seguinte comando:

    EdmUploadAgent.exe /Authorize

    Importante

    Você deve executar o aplicativo EDM Upload Agent da pasta em que ele está instalado e indicar o caminho completo para seus arquivos de dados.

  4. Entre com sua conta corporativa ou de estudante do Microsoft 365 que foi adicionada ao grupo de segurança EDM_DataUploaders . As informações do locatário são extraídas da conta do usuário para fazer a conexão.

  5. Para carregar os dados com hash, execute o seguinte comando no prompt de comando do Windows:

    EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\ /ColumnSeparator ["{Tab}"|"|"]

    Por exemplo:

    EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\\Edm\\Hash\\**PatientRecords.EdmHash**

  6. Para verificar se o carregamento de seus dados confidenciais foi bem-sucedido, execute o seguinte comando em uma janela prompt de comando:

    EdmUploadAgent.exe /GetDataStore

    Uma lista de armazenamentos de dados e quando eles foram exibidos pela última vez atualizados.

  7. Para exibir todos os uploads de dados em um armazenamento específico e quando eles forem atualizados, execute o seguinte comando em uma janela prompt de comando:

    EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

Observação

Para automatizar o processo de hash e upload depois de criá-lo pela primeira vez, consulte Atualizar seus dados exatos correspondem a um arquivo de tabela de fonte de informações confidenciais.

Próximas etapas

ou