Creazione impronta digitale documenti

L'impronta digitale dei documenti è una funzionalità di Prevenzione della perdita dei dati (DLP) di Microsoft Purview che converte un modulo standard in un tipo di informazioni sensibili (SIT), che è possibile usare nelle regole dei criteri DLP.

L'impronta digitale dei documenti semplifica la protezione delle informazioni sensibili identificando i moduli standard usati in tutta l'organizzazione. Questo articolo descrive i concetti alla base dell'impronta digitale dei documenti e come creare un'impronta digitale del documento usando l'interfaccia utente o PowerShell.

L'impronta digitale dei documenti include i vantaggi seguenti:

  • La prevenzione della perdita dei dati può usare l'impronta digitale dei documenti come metodo di rilevamento in Exchange, SharePoint, OneDrive, Teams e Dispositivi.
  • Le funzionalità delle impronte digitali dei documenti possono essere gestite tramite l'interfaccia utente di Microsoft Purview.
  • La corrispondenza parziale è supportata.
  • È supportata la corrispondenza esatta .
  • Accuratezza del rilevamento migliorata
  • Supporto per il rilevamento in più lingue, incluse le lingue a doppio byte, ad esempio cinese, giapponese e coreano.

Importante

Se si è un cliente E5, è consigliabile aggiornare le impronte digitali esistenti per sfruttare il set completo di funzionalità di impronta digitale del documento. Se si è un cliente E3, è consigliabile eseguire l'aggiornamento a una licenza E5. Se si sceglie di non modificarle, non sarà possibile modificare le impronte digitali esistenti o crearne di nuove dopo aprile 2023.

Scenario di base per l'impronta digitale dei documenti

Come accennato, la funzionalità di impronta digitale dei documenti converte una forma standard di informazioni in un tipo di informazioni sensibili (SIT), che è possibile usare nelle regole dei criteri DLP. Ad esempio, è possibile creare l'impronta digitale di un documento basata su un modello di brevetto vuoto e creare quindi un criterio DLP che rileva e blocca tutti i modelli di brevetto in uscita contenenti dati sensibili. Facoltativamente, è possibile configurare suggerimenti per i criteri per notificare ai mittenti che potrebbero inviare informazioni riservate e che il mittente deve verificare che i destinatari siano qualificati per ricevere i brevetti. Questo processo funziona con tutti i moduli basati su testo utilizzati nell'organizzazione. Altri esempi di moduli che è possibile caricare includono:

  • Moduli governativi
  • Moduli di conformità Health Insurance Portability and Accountability Act (HIPAA)
  • Moduli di informazioni dei dipendenti per i reparti delle risorse umane
  • Moduli personalizzati creati specificamente per l'organizzazione

In teoria, l'organizzazione possiede già una pratica aziendale stabilita relativa all'utilizzo di alcuni moduli per la trasmissione di dati sensibili. Per abilitare il rilevamento, caricare un modulo vuoto da convertire in un'impronta digitale del documento. Configurare quindi un criterio corrispondente. Dopo aver completato questi passaggi, DLP rileva tutti i documenti nella posta in uscita che corrispondono a tale impronta digitale.

Funzionamento dell'impronta digitale dei documenti

Probabilmente hai già indovinato che i documenti non hanno impronte digitali effettive, ma il nome aiuta a spiegare la funzionalità. Come le impronti digitali di una persona presentano criteri univoci, così i documenti presentano modelli di parole univoci. Quando si carica un file, DLP identifica il modello di parola univoco nel documento, crea un'impronta digitale del documento in base a tale modello e usa tale impronta digitale del documento per rilevare i documenti in uscita contenenti lo stesso modello. Ecco perché il caricamento di un modulo o modello crea il tipo più efficace di impronta digitale del documento. Tutti gli utenti che compilano un modulo usano lo stesso set di parole originale e quindi aggiungono le proprie parole al documento. Se il documento in uscita non è protetto da password e contiene tutto il testo del modulo originale, la prevenzione della perdita dei dati può determinare se il documento corrisponde all'impronta digitale del documento.

Diagramma dell'impronta digitale dei documenti.

Il modello di brevetto contiene i campi vuoti "Titolo brevetto", "Inventori" e "Descrizione", insieme alle descrizioni per ognuno di questi campi, ovvero il modello di parola. Quando si carica il modello di brevetto originale, è in uno dei tipi di file supportati e in testo normale. DLP converte questo modello di parola in un'impronta digitale del documento, ovvero un piccolo file XML Unicode contenente un valore hash univoco che rappresenta il testo originale. L'impronta digitale viene salvata come classificazione dei dati in Active Directory. Come misura di sicurezza, il documento originale non viene archiviato nel servizio, ma viene archiviato solo il valore hash. Il documento originale non può essere ricostruito dal valore hash. L'impronta digitale del brevetto diventa quindi un SIT che è possibile associare a un criterio DLP. Dopo aver associato l'impronta digitale a un criterio DLP, DLP rileva tutti i messaggi di posta elettronica in uscita contenenti contenuti che corrispondono all'impronta digitale del brevetto e li gestisce in base ai criteri dell'organizzazione.

Ad esempio, se si configura un criterio DLP che impedisce ai dipendenti regolari di inviare messaggi in uscita contenenti brevetti, la prevenzione della perdita dei dati usa l'impronta digitale del brevetto per rilevare i brevetti e bloccare tali messaggi di posta elettronica. In alternativa, si potrebbe voler consentire al proprio reparto legale di inviare brevetti ad altre organizzazioni perché ha una necessità aziendale per farlo. Per consentire a reparti specifici di inviare informazioni riservate, creare eccezioni per tali reparti nei criteri DLP. In alternativa, è possibile consentire loro di sostituire un suggerimento per i criteri con una giustificazione aziendale.

Importante

Il testo nei documenti incorporati non viene considerato per la creazione di impronte digitali. È necessario fornire file modello di esempio che non contengono documenti incorporati.

Tipi di file supportati

L'impronta digitale dei documenti supporta gli stessi tipi di file supportati nelle regole del flusso di posta (note anche come regole di trasporto). Per un elenco dei tipi di file supportati, vedi Tipi di file supportati per l'ispezione del contenuto delle regole del flusso di posta. Una nota rapida sui tipi di file: né le regole del flusso di posta né l'impronta digitale dei documenti supportano il tipo di file dotx , che è un file modello in Microsoft Word. Quando viene visualizzata la parola "modello" in questo e in altri articoli sull'impronta digitale del documento, si riferisce a un documento che è stato stabilito come modulo standard, non al tipo di file modello.

Limitazioni della creazione dell'impronta digitale del documento

L'impronta digitale dei documenti non rileva informazioni sensibili nei casi seguenti:

  • File protetti da password
  • File che contengono solo immagini
  • Documenti che non contengono tutto il testo del modulo originale usato per la creazione dell'impronta digitale del documento
  • File di dimensioni superiori a 4 MB

Nota

Per usare l'impronta digitale dei documenti con i dispositivi, è necessario attivare l'analisi e la protezione avanzata della classificazione .

Le impronte digitali vengono archiviate in un pacchetto di regole separato. Questo pacchetto di regole ha un limite massimo di dimensioni di 1of 150 KB. Dato questo limite, è possibile creare circa 50 impronte digitali per tenant.

Gli esempi seguenti illustrano cosa accade se si crea un'impronta digitale del documento basata su un modello di brevetto. Tuttavia, è possibile usare qualsiasi modulo come base per la creazione di un'impronta digitale del documento.

Esempio: Creare un documento di brevetto corrispondente all'impronta digitale di un modello di brevetto

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Nel portale di Microsoft Purview passare a Classificatori di prevenzione> della perditadei> dati Tipidi informazioni sensibili.
  2. Nella pagina Tipi di informazioni sensibili scegliere + Crea sit basato su impronta digitale.
  3. Immettere un nome e una descrizione per il nuovo SIT.
  4. Caricare il file da usare come modello di impronta digitale.
  5. FACOLTATIVO: modificare i requisiti per ogni livello di attendibilità. Per altre informazioni, vedere Corrispondenza parziale e Corrispondenza esatta.
  6. Scegliere Avanti.
  7. Esaminare le impostazioni e quindi scegliere Crea.
  8. Quando viene visualizzata la pagina di conferma, scegliere Fine.

Esempio di PowerShell di un documento di brevetto corrispondente a un'impronta digitale di un documento di un modello di brevetto

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Corrispondenza parziale

Per configurare la corrispondenza parziale di un'impronta digitale del documento, quando si configura il livello di attendibilità, scegliere Bassa, Media o Alta e indicare la quantità di testo nel file deve corrispondere all'impronta digitale in termini di percentuale compresa tra il 30% e il 90%.

Un livello di confidenza elevato restituisce il minor numero di falsi positivi, ma potrebbe causare più falsi negativi. I livelli di attendibilità bassa o media restituiscono più falsi positivi, ma da pochi a zero falsi negativi.

  • bassa attendibilità: gli elementi corrispondenti conterrà il minor numero di falsi negativi, ma il maggior numero di falsi positivi. La bassa confidenza restituisce tutte le corrispondenze di attendibilità bassa, media e alta.
  • attendibilità media: gli elementi corrispondenti conterrà un numero medio di falsi positivi e falsi negativi. La confidenza media restituisce tutte le corrispondenze di attendibilità medie e elevate.
  • confidenza elevata: gli elementi corrispondenti contengono il minor numero di falsi positivi, ma il maggior numero di falsi negativi.

Corrispondenza esatta

Per configurare la corrispondenza esatta di un'impronta digitale del documento, selezionare Esatto come valore per il livello di attendibilità elevato. Quando si imposta il livello di attendibilità elevato su Exact, verranno rilevati solo i file che hanno esattamente lo stesso testo dell'impronta digitale. Se il file ha anche una piccola deviazione dall'impronta digitale, non verrà rilevato.

Si usano già i SIT per le impronte digitali?

Le impronte digitali esistenti e i criteri/le regole per tali impronte digitali dovrebbero continuare a funzionare. Se non si vogliono usare le funzionalità di impronta digitale più recenti, non è necessario eseguire alcuna operazione.

Se si dispone di una licenza E5 e si vogliono usare le funzionalità di impronta digitale più recenti, è possibile creare una nuova impronta digitale o eseguire la migrazione di un criterio alla versione più recente.

Nota

La creazione di nuove impronte digitali usando i modelli in cui esiste già un'impronta digitale non è supportata.

Creare un nuovo criterio usando l'impronta digitale SIT usando Microsoft Purview

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Nel portale di conformità di Microsoft Purview passare aCriteri di prevenzione >della perdita dei datie scegliere + Crea criteri.
  2. Per Categoria selezionarePersonalizzato e per Normative selezionare Criteri personalizzati.
  3. Scegliere Avanti.
  4. Assegnare un nome ai criteri e specificare una descrizione >Avanti.
  5. Nella pagina Assegna unità di amministrazione scegliere Avanti.
  6. Selezionare le posizioni in cui si vuole applicare il criterio e quindi scegliere Avanti.
  7. Nella pagina Definisci impostazioni criteri selezionare Crea o personalizza regole DLP avanzate e scegliere Avanti.
  8. Selezionare + Crea regola.
  9. Assegnare alla regola un nome e una descrizione.
  10. In Condizioni scegliere Aggiungi condizione>Contenuto contenuto.
  11. Assegnare al nuovo set di regole DLP un nome> gruppoAggiungere>tipi di informazioni sensibili.
  12. Cercare e selezionare il nome dell'impronta digitale SIT >Add.
  13. Usare il resto dello strumento di creazione delle regole per configurare la regola.
  14. Scegliere Salva.
  15. Scegliere Avanti.
  16. Scegliere Esegui i criteri in modalità di simulazione e quindi scegliere Avanti.
  17. Scegliere Invia e quindi Fare clic su Fine.

Creare un tipo di informazioni sensibili personalizzato basato sull'impronta digitale dei documenti tramite PowerShell

Attualmente, è possibile creare un'impronta digitale del documento solo in PowerShell sicurezza & conformità.

La prevenzione della perdita dei dati usa i tipi di informazioni sensibili (SIT) per rilevare il contenuto sensibile. Per creare un sit personalizzato basato su un'impronta digitale del documento, usare il cmdlet New-DlpSensitiveInformationType . Nell'esempio seguente viene creata una nuova impronta digitale del documento denominata "Contoso Customer Confidential" in base al file C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Aggiungere infine il tipo di informazioni riservate "Contoso Customer Confidential" a un criterio DLP nel portale di conformità di Microsoft Purview. In questo esempio viene aggiunta una regola a un criterio DLP esistente denominato "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

È anche possibile usare l'impronta digitale SIT nelle regole del flusso di posta in Exchange, come illustrato nell'esempio seguente. Per eseguire questo comando, è prima necessario connettersi a Exchange PowerShell. Si noti inoltre che la sincronizzazione dei SIT con l'interfaccia di amministrazione di Exchange richiede tempo.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP ora rileva i documenti che corrispondono all'impronta digitale del documento Contoso Customer Form.docx.

Per informazioni sulla sintassi e sui parametri, vedere:

Modificare, testare o eliminare un'impronta digitale di un documento

Per eseguire questa operazione tramite l'interfaccia utente, aprire l'impronta digitale SIT che si desidera modificare, testare o eliminare e scegliere l'icona appropriata.

A tale scopo tramite PowerShell, eseguire i comandi seguenti.

Modificare un'impronta digitale di un documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testare un'impronta digitale di un documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Eliminare un'impronta digitale di un documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Eseguire la migrazione di un nuovo criterio usando l'impronta digitale SIT tramite l'interfaccia utente

  1. Passare a Classificatori di classificazione>dati>Tipi di informazioni sensibili.
  2. Aprire il sit contenente l'impronta digitale di cui si vuole eseguire la migrazione.
  3. Scegliere Modifica.
  4. Caricare di nuovo lo stesso file di impronta digitale.
  5. Esaminare le impostazioni > dell'impronta digitale Completata.

Eseguire la migrazione di un'impronta digitale con PowerShell

Immettere il comando seguente:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"