Partilhar via

Hash e carregue a tabela de fonte de informações confidenciais para tipos de informações confidenciais de correspondência exata de dados

  • Artigo

Este artigo mostra-lhe como fazer hash e carregar a tabela de origem de informações confidenciais.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Aplicável a

Hash e carregar a tabela de origem de informações confidenciais

Nesta fase, irá:

  1. Configure um grupo de segurança personalizado e uma conta de utilizador.
  2. Configure a ferramenta EDM Upload Agent.
  3. Utilize a ferramenta EDM Upload Agent para hash, com um valor de sal, a tabela de origem de informações confidenciais e carregue-a.

O hashing e o carregamento podem ser feitos com um computador ou pode separar o passo hash do passo de carregamento para maior segurança.

Se você quiser usar o hash e carregá-los de um computador, será preciso fazer isso em um computador que possa se conectar diretamente ao seu locatário do Microsoft 365. Isto requer que o ficheiro de tabela de origem de informações confidenciais de texto não encriptado esteja nesse computador para hashing.

Se não quiser expor o ficheiro de tabela de origem de informações confidenciais de texto não encriptado no computador de acesso direto, pode hashá-lo num computador que esteja numa localização segura. Neste cenário, a mesma versão do Agente de Carregamento EDM tem de ser instalada em ambos os computadores. Em seguida, pode copiar o ficheiro hash e o ficheiro salt do computador seguro para um computador que se possa ligar diretamente ao seu inquilino do Microsoft 365.

Importante

Se utilizou o esquema De Correspondência de Dados Exata e a ferramenta de tipo de informações confidenciais para criar o ficheiro de esquema, terá de transferir o esquema para este procedimento se ainda não o tiver feito. Veja Exportar o ficheiro de esquema EDM no formato XML.

Observação

Se a sua organização tiver configurado a Chave de Cliente para o Microsoft 365 ao nível do inquilino, uma correspondência de dados exata utilizará a funcionalidade de encriptação automaticamente. Isso está disponível apenas para locatários licenciados do E5 na nuvem Comercial.

Práticas recomendadas

Separe os processos de hashing e carregamento dos dados confidenciais para que possa isolar mais facilmente quaisquer problemas no processo.

Uma vez em produção, mantenha os dois passos separados na maioria dos casos. Para garantir que os seus dados reais nunca estão disponíveis num formato de texto não encriptado num computador que possa estar comprometido devido à ligação à Internet, execute o processo de hashing num computador isolado. Em seguida, transfira o ficheiro para um computador com acesso à Internet para o carregar.

Certifique-se de que a tabela de dados confidenciais não tem problemas de formatação

Antes de hash e carregar os seus dados confidenciais, efetue uma pesquisa para validar a presença de carateres especiais que podem causar problemas na análise do conteúdo.

Pode validar que a tabela está num formato adequado para utilizar com o EDM ao utilizar o Agente de Carregamento EDM com a seguinte sintaxe:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Se a ferramenta indicar um erro de correspondência no número de colunas, tal poderá dever-se à presença de vírgulas ou carateres de aspas dentro dos valores na tabela que estão a ser confundidos com delimitadores de colunas. A menos que estejam à volta de um valor inteiro, as aspas simples e duplas podem fazer com que a ferramenta se detete mal onde uma coluna individual começa ou termina.

Se encontrar carateres de plica ou de aspas em redor dos valores completos: pode deixá-los tal como estão.

Se encontrar carateres de plicas ou vírgulas dentro de um valor: por exemplo, o nome da pessoa Tom O'Neil ou o caráter grave da cidade, que começa com um caráter apóstrofo, tem de modificar o processo de exportação de dados utilizado para gerar a tabela de informações confidenciais e rodear essas colunas com aspas duplas.

Se forem encontrados carateres de aspas nos valores, poderá ser preferível utilizar o formato delimitado por tabulações para a tabela, que é menos suscetível a tais problemas.

Pré-requisitos

  • uma conta escolar ou profissional do Microsoft 365 para adicionar ao grupo de segurança EDM_DataUploaders
  • um windows 10, Windows Server 2016 com .NET versão 4.6.2 ou um computador Windows Server 2019 para executar o Agente de Carregamento EDM
  • um diretório no seu computador de carregamento para o seguinte:
    • o Agente de Carregamento EDM
    • o ficheiro de item confidencial no formato .csv, .tsv ou pipe (|), PatientRecords.csv nos nossos exemplos
    • os ficheiros hash de saída e salt criados ao concluir este procedimento
    • o nome do repositório de armazenamento do arquivo edm.xml, para esse exemplo, é PatientRecords

Importante

  1. Se estiver a utilizar o Windows Server 2016 ou earler, também tem de instalar o Visual C++ antes de instalar o Agente de Carregamento do EDM.
  2. Ao carregar um ficheiro de item confidencial no formato .csv, certifique-se de que a codificação UTF-8 é utilizada no ficheiro .csv

Configuração do grupo de segurança e conta de usuário

  1. Como administrador global, aceda ao centro de administração com a ligação adequada para a sua subscrição e crie um grupo de segurança chamado EDM_DataUploaders.

  2. Adicione um ou mais utilizadores ao grupo de segurança EDM_DataUploaders . (Estes utilizadores gerem a base de dados de informações confidenciais.)

Hash e carregamento de um computador

Esse computador deve ter acesso direto ao seu locatário do Microsoft 365.

Observação

Antes de iniciar este procedimento, certifique-se de que é membro do grupo de segurança EDM_DataUploaders .

Dica

Opcionalmente, pode executar uma validação no ficheiro da tabela de origem de informações confidenciais para verificar se existem erros antes de carregar ao executar:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Para obter mais informações sobre todos os parâmetros suportados pelo EdmUploadAgent.exe, execute

EdmUploadAgent.exe /?

  • Agente de Carregamento do EDM
  • Comercial + GCC - A maioria dos clientes comerciais deve utilizar esta opção.
  • GCC-High – esta opção destina-se especificamente a subscritores de cloud governamental de alta segurança.
  • DoD – esta opção destina-se especificamente aos clientes da cloud do Departamento de Defesa dos Estados Unidos.

Observação

O Agente de Carregamento EDM nas ligações acima foi atualizado para adicionar automaticamente um valor de sal aos dados com hash. Como alternativa, você pode fornecer seu próprio valor salt. Depois de utilizar esta versão, não poderá utilizar a versão anterior do Agente de Carregamento do EDM.

Pode carregar dados com o Agente de Carregamento EDM para qualquer arquivo de dados até cinco vezes por dia.

  1. Autorize o Agente de Carregamento do EDM, abra a janela da Linha de Comandos como administrador, mude para o diretório C:\EDM\Data e, em seguida, execute o seguinte comando:

    EDM Upload Agent.exe /Authorize

    Importante

    Tem de executar a aplicação EDM Upload Agent a partir da pasta onde está instalada e indicar o caminho completo para os seus ficheiros de dados.

  2. Inicie sessão com a sua conta escolar ou profissional do Microsoft 365 que foi adicionada ao grupo de segurança EDM_DataUploaders . As informações do locatário são extraídas da conta do usuário para fazer a conexão.

    IMPORTANTE: se utilizou a ferramenta tipo de informação sensível e esquema Correspondência de Dados Exata para criar o esquema, tem de transferi-lo para utilização neste procedimento, se ainda não o tiver feito. Execute este comando numa janela da Linha de Comandos:

    EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  3. Para criar o hash e carregar os dados confidenciais, execute o seguinte comando no prompt de comando:

    EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Observação

    O formato predefinido do ficheiro de dados confidenciais é valores separados por vírgulas. Pode especificar um ficheiro separado por tabulações ao indicar a opção "{Tab}" com o parâmetro /ColumnSeparator ou pode especificar um ficheiro separado por pipes ao indicar a opção "|".

    Exemplo: EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

Idiomas do conjunto de carateres EDM e byte duplo

A correspondência de dados exata suporta carateres de bytes duplos, como os utilizados em chinês, japonês e coreano. No entanto, não suporta correspondências de cadeias para provas corroborativas codificadas como carateres de byte duplo. Também não corresponde ao texto CJK de vários tokens detetado no conteúdo classificado, a menos que a globalização do EDM tenha sido ativada conforme descrito abaixo. Em todos os casos, um SIT tem de ser mapeado para qualquer texto com vários tokens, tanto para o campo primário como para campos de provas corroborativas.

Importante

Para invocar a correspondência exata de dados para carateres de byte duplo, tem de seguir os seguintes passos:

  1. Crie um Tipo de Informação Sensível (SIT) EDM que se destina a corresponder no idioma do conjunto de carateres de byte duplo, como o kanji japonês.

  2. Confirme que transferiu e instalou a versão 17.01.0495.0 (ou posterior) do Agente de Carregamento do EDM

  3. Atualize o parâmetro de globalização do ficheiro EdmUploadAgent.exe.config para verdadeiro: <add key=" IsGlobalizationEnabled" value="true">

  4. Hash e carregue uma tabela de origem com os dados a serem correspondidos.

Separar hash e upload

Execute o hash em um computador em um ambiente seguro. Tem de ter a mesma versão do EDM Upload Agent instalada em ambos os computadores.

OPCIONAL: se tiver criado o ficheiro de esquema com o esquema Correspondência de Dados Exata e a ferramenta SIT, execute o seguinte comando numa janela da Linha de Comandos para transferir o ficheiro no formato XML:

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  1. No computador no ambiente seguro, execute o seguinte comando numa janela da Linha de Comandos:

    EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]

    Por exemplo:

    EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5

    Observação

    O formato predefinido do ficheiro de dados confidenciais é valores separados por vírgulas. Pode especificar um ficheiro separado por tabulações ao indicar a opção "{Tab}" com o parâmetro /ColumnSeparator ou pode especificar um ficheiro separado por pipes ao indicar a opção "|".

    Esta ação produz um ficheiro hash e um ficheiro salt com estas extensões se não tiver especificado a opção /Salt <saltvalue> :

    • .EdmHash
    • .EdmSalt

  2. Copie estes ficheiros de forma segura para o computador que utiliza para carregar o ficheiro de tabela de origem de informações confidenciais (PatientRecords) para o seu inquilino.

  3. Autorize o Agente de Carregamento do EDM, abra a janela da Linha de Comandos como administrador, mude para o diretório C:\EDM\Data e, em seguida, execute o seguinte comando:

    EdmUploadAgent.exe /Authorize

    Importante

    Tem de executar a aplicação EDM Upload Agent a partir da pasta onde está instalada e indicar o caminho completo para os seus ficheiros de dados.

  4. Inicie sessão com a sua conta escolar ou profissional do Microsoft 365 que foi adicionada ao grupo de segurança EDM_DataUploaders . As informações do locatário são extraídas da conta do usuário para fazer a conexão.

  5. Para carregar os dados com hash, execute o seguinte comando no prompt de comando do Windows:

    EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\ /ColumnSeparator ["{Tab}"|"|"]

    Por exemplo:

    EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\\Edm\\Hash\\**PatientRecords.EdmHash**

  6. Para verificar se o carregamento dos dados confidenciais foi efetuado com êxito, execute o seguinte comando numa janela da Linha de Comandos:

    EdmUploadAgent.exe /GetDataStore

    É apresentada uma lista de arquivos de dados e quando foram atualizados pela última vez.

  7. Para apresentar todos os carregamentos de dados para um arquivo específico e quando foram atualizados, execute o seguinte comando numa janela da Linha de Comandos:

    EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

Observação

Para automatizar o hash e carregar o processo depois de o ter criado pela primeira vez, consulte Atualizar o ficheiro de tabela da origem de informações confidenciais atualizar os dados exatos.

Próximas etapas

ou