Impressão digital de documento
A impressão digital do documento é uma funcionalidade de Prevenção de Perda de Dados (DLP) do Microsoft Purview que converte um formulário padrão num tipo de informação confidencial (SIT), que pode utilizar nas regras das suas políticas DLP.
A identificação de impressões digitais de documentos facilita a proteção de informações confidenciais através da identificação de formulários padrão que são utilizados em toda a sua organização. Este artigo descreve os conceitos subjacentes à impressão digital de documentos e como criar uma impressão digital do documento com a interface de utilizador ou com o PowerShell.
A impressão digital do documento inclui as seguintes vantagens:
- O DLP pode utilizar a impressão digital de documentos como método de deteção no Exchange, SharePoint, OneDrive, Teams e Dispositivos.
- As funcionalidades de impressão digital do documento podem ser geridas através da interface de utilizador do Microsoft Purview.
- A correspondência parcial é suportada.
- A correspondência exata é suportada.
- Precisão de deteção melhorada
- Suporte para deteção em vários idiomas, incluindo idiomas de byte duplo, como chinês, japonês e coreano.
Importante
Se for um cliente E5, recomendamos que atualize as suas impressões digitais existentes para tirar partido do conjunto completo de funcionalidades de impressão digital do documento. Se for um cliente E3, recomendamos que atualize para uma licença E5. Se optar por não o fazer, não poderá modificar as impressões digitais existentes ou criar novas depois de abril de 2023.
Cenário básico para a impressão digital de documentos
Conforme mencionado, a funcionalidade de impressão digital do documento converte uma forma padrão de informações num tipo de informação confidencial (SIT), que pode utilizar nas regras das suas políticas DLP. Por exemplo, você pode criar uma impressão digital de documento com base em um modelo de patente em branco e, então, criar uma política DLP que detecta e bloqueia todos os modelos de patente de saída com conteúdo confidencial. Opcionalmente, pode configurar sugestões de política para notificar os remetentes de que podem estar a enviar informações confidenciais e que o remetente deve verificar se os destinatários estão qualificados para receber as patentes. Esse processo funciona com qualquer formulário baseado em texto usado em sua organização. Outros exemplos de formulários que pode carregar incluem:
- Formulários governamentais
- Formulários compatíveis com a Lei americana HIPAA (Health Insurance Portability Accountability Act, Lei de responsabilidade sobre portabilidade de seguro saúde)
- Formulários de informação sobre funcionários para departamentos de Recursos Humanos
- Formulários personalizados criados especificamente para sua organização
Idealmente, sua organização já tem uma prática comercial estabelecida sobre o uso de determinados formulários para transmitir informações confidenciais. Para ativar a deteção, carregue um formulário vazio para ser convertido numa impressão digital do documento. Em seguida, configure uma política correspondente. Depois de concluir estes passos, o DLP deteta quaisquer documentos no correio de saída que correspondam a essa impressão digital.
Como funciona a impressão digital de documentos
Provavelmente já adivinhou que os documentos não têm impressões digitais reais, mas o nome ajuda a explicar a funcionalidade. Da mesma maneira que as impressões digitais de uma pessoa têm padrões exclusivos, os documentos têm padrões de palavra exclusivos. Quando carrega um ficheiro, o DLP identifica o padrão de palavra exclusivo no documento, cria uma impressão digital do documento com base nesse padrão e utiliza essa impressão digital do documento para detetar documentos de saída que contenham o mesmo padrão. É por isso que o carregamento de um formulário ou de um modelo cria o tipo mais eficaz de impressão digital de documento. Todas as pessoas que preenchem um formulário utilizam o mesmo conjunto original de palavras e, em seguida, adicionam as suas próprias palavras ao documento. Se o documento de saída não estiver protegido por palavra-passe e contiver todo o texto do formulário original, o DLP pode determinar se o documento corresponde à impressão digital do documento.
O modelo de patente contém os campos em branco "Título da patente", "Inventores" e "Descrição", juntamente com descrições para cada um desses campos— esse é o padrão da palavra. Quando carrega o modelo de patente original, este encontra-se num dos tipos de ficheiro suportados e em texto simples. O DLP converte este padrão de palavra numa impressão digital de documento, que é um pequeno ficheiro XML Unicode que contém um valor hash exclusivo que representa o texto original. A impressão digital é guardada como uma classificação de dados no Active Directory. (Como medida de segurança, o próprio documento original não é armazenado no serviço; apenas o valor hash é armazenado. O documento original não pode ser reconstruído a partir do valor hash.) Em seguida, a impressão digital da patente torna-se um SIT que pode associar a uma política DLP. Depois de associar a impressão digital a uma política DLP, o DLP deteta quaisquer e-mails de saída que contenham conteúdo que corresponda à impressão digital da patente e lida com a mesma de acordo com a política da sua organização.
Por exemplo, se configurar uma política DLP que impeça os funcionários regulares de enviar mensagens que contenham patentes, a DLP utiliza a impressão digital da patente para detetar patentes e bloquear esses e-mails. Em alternativa, pode querer permitir que o seu departamento jurídico possa enviar patentes a outras organizações porque tem uma necessidade de negócio para o fazer. Para permitir que departamentos específicos enviem informações confidenciais, crie exceções para esses departamentos na sua política DLP. Em alternativa, pode permitir que substituam uma sugestão de política com uma justificação comercial.
Importante
O texto em documentos incorporados não é considerado para criação de impressões digitais. Tem de fornecer ficheiros de modelo de exemplo que não contenham documentos incorporados.
Tipos de arquivo compatíveis
A impressão digital de documentos suporta os mesmos tipos de ficheiro suportados nas regras de fluxo de correio (também conhecidas como regras de transporte). Para obter uma lista de tipos de arquivo com suporte, consulte Tipos de arquivo com suporte para inspeção de conteúdo de regra de fluxo de email. Uma nota rápida sobre tipos de ficheiros: nem as regras de fluxo de correio nem as impressões digitais de documentos suportam o tipo de ficheiro .dotx , que é um ficheiro de modelo no Microsoft Word. Quando vir a palavra "modelo" neste e noutros artigos de impressão digital do documento, refere-se a um documento que estabeleceu como um formulário padrão e não ao tipo de ficheiro de modelo.
Limitações da impressão digital de documento
A impressão digital do documento não deteta informações confidenciais nos seguintes casos:
- Arquivos protegidos por senha
- Ficheiros que contêm apenas imagens
- Documentos que não contenham todo o texto do formulário original usado para criar a impressão digital de documento
- Ficheiros com mais de 4 MB
Observação
Para utilizar a identificação digital de documentos com dispositivos, a Análise e proteção de classificação avançadas têm de estar ativadas.
As impressões digitais são armazenadas num pacote de regras separado. Este pacote de regras tem um limite de tamanho máximo de 1 de 150 KB. Tendo em conta este limite, pode criar aproximadamente 50 impressões digitais por inquilino.
Os exemplos seguintes mostram o que acontece se criar uma impressão digital do documento com base num modelo de patente. No entanto, pode utilizar qualquer formulário como base para criar uma impressão digital do documento.
Exemplo: Criar um documento de patente que corresponda à impressão digital do documento de um modelo de patente
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- No portal do Microsoft Purview, navegue paraTipos de informações confidenciais deClassificadores> de Prevenção> de Perda de Dados.
- Na página Tipos de informações confidenciais , selecione + Criar SIT baseado em Impressões Digitais.
- Introduza um nome e uma descrição para o seu novo SIT.
- Carregue o ficheiro que pretende utilizar como modelo de impressão digital.
- OPCIONAL: ajuste os requisitos para cada nível de confiança. (Para obter mais informações, veja Correspondência parcial e Correspondência exata.)
- Escolha Avançar.
- Reveja as suas definições e, em seguida, selecione Criar.
- Quando a página de confirmação for apresentada, selecione Concluído.
Exemplo do PowerShell de um documento de patente que corresponde a uma impressão digital de um documento de um modelo de patente
>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))
>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"
Correspondência parcial
Para configurar a correspondência parcial de uma impressão digital do documento, ao configurar o nível de confiança, selecione Baixo, Médio ou Alto e designe a quantidade de texto no ficheiro que tem de corresponder à impressão digital em termos de uma percentagem entre 30% e 90%.
Um nível de confiança elevado devolve o menor número de falsos positivos, mas pode resultar em mais falsos negativos. Os níveis de confiança baixos ou médios devolvem mais falsos positivos, mas poucos a zero falsos negativos.
- baixa confiança: os itens correspondentes conterão o menor número de falsos negativos, mas os mais falsos positivos. A confiança baixa devolve todas as correspondências de confiança baixa, média e alta.
- confiança média: os itens correspondentes irão conter um número médio de falsos positivos e falsos negativos. A confiança média devolve todas as correspondências médias e de confiança elevada.
- confiança elevada: os itens correspondentes conterão o menor número de falsos positivos, mas os mais falsos negativos.
Correspondência exata
Para configurar a correspondência exata de uma impressão digital do documento, selecione Exato como o valor para o nível de confiança elevado. Quando define o nível de confiança elevado para Exato, apenas serão detetados ficheiros que tenham exatamente o mesmo texto que a impressão digital. Se o ficheiro tiver um pequeno desvio da impressão digital, não será detetado.
Já está a utilizar SITs de impressão digital?
As suas impressões digitais e políticas/regras existentes para essas impressões digitais devem continuar a funcionar. Se não quiser utilizar as funcionalidades de impressões digitais mais recentes, não tem de fazer nada.
Se tiver uma licença E5 e quiser utilizar as funcionalidades de impressão digital mais recentes, pode criar uma nova impressão digital ou migrar uma política para a versão mais recente.
Observação
A criação de novas impressões digitais com os modelos nos quais já existe uma impressão digital não é suportada.
Criar uma nova política com a sua impressão digital SIT com o Microsoft Purview
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- No portal de conformidade do Microsoft Purview, navegue paraPolíticas de prevenção> de perda de dados e escolha + Criar política.
- Para a Categoria, selecione Personalizado e, para Regulamentos , selecione Política personalizada.
- Escolha Avançar.
- Atribua um nome à sua política e forneça uma descrição >Seguinte.
- Na página Atribuir unidades de administração , selecione Seguinte.
- Selecione as localizações onde pretende aplicar a política e, em seguida, selecione Seguinte.
- Na página Definir definições de política , selecione Criar ou personalizar regras DLP avançadas e selecione Seguinte.
- Selecione + Criar regra.
- Atribua um nome e uma descrição à sua regra.
- Em Condições , selecione Adicionar condição>Conteúdo contém.
- Dê ao seu novo conjunto de regras DLP um Nome> de grupoAdicionar>tipos de informações confidenciais.
- Procure e selecione o nome da sua impressão digital SIT >Add.
- Trabalhe no resto da ferramenta de criação de regras para configurar a regra.
- Escolha Salvar.
- Escolha Avançar.
- Selecione Executar a política no modo de simulação e, em seguida, selecione Seguinte.
- Selecione Submeter e, em seguida, selecione Concluído.
Criar um tipo de informações confidenciais personalizado com base na impressão digital de documentos com o PowerShell
Atualmente, só pode criar uma impressão digital do documento no PowerShell de Conformidade do & de Segurança.
O DLP utiliza tipos de informações confidenciais (SIT) para detetar conteúdo confidencial. Para criar um SIT personalizado com base numa impressão digital do documento, utilize o cmdlet New-DlpSensitiveInformationType . O exemplo seguinte cria uma nova impressão digital do documento com o nome "Contoso Customer Confidential" com base no ficheiro C:\My Documents\Contoso Customer Form.docx.
$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))
New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."
Por fim, adicione o tipo de informações confidenciais "Confidencial do Cliente Da Contoso" a uma política DLP no portal de conformidade do Microsoft Purview. Este exemplo adiciona uma regra a uma política DLP existente, denominada "ConfidentialPolicy".
New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True
Também pode utilizar o SIT de Impressão Digital nas regras de fluxo de correio no Exchange, conforme mostrado no exemplo seguinte. Para executar este comando, primeiro tem de se ligar ao Exchange PowerShell. Além disso, tenha em atenção que os SITs demoram algum tempo a sincronizar com o centro de administração do Exchange.
New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}
O DLP deteta agora documentos que correspondem à impressão digital do documento Form.docx cliente da Contoso.
Para obter informações sobre sintaxe e parâmetros, veja:
- New-DlpFingerprint
- New-DlpSensitiveInformationType
- Remove-DlpSensitiveInformationType
- Set-DlpSensitiveInformationType
- Get-DlpSensitiveInformationType
Editar, testar ou eliminar uma impressão digital do documento
Para o fazer através da interface de utilizador, abra a impressão digital SIT que pretende editar, testar ou eliminar e selecione o ícone adequado.
Para o fazer através do PowerShell, execute os seguintes comandos.
Editar uma impressão digital do documento
>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"
Testar uma impressão digital do documento
>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults
Eliminar uma impressão digital do documento
>> Remove-DlpSensitiveInformationType "Fingerprint SIT"
Migrar uma nova política com a sua impressão digital SIT através da interface de utilizador
- Navegue para Classificação> de dadosTipos> deinformações confidenciais.
- Abra o SIT que contém a impressão digital que pretende migrar.
- Selecione Editar.
- Carregue novamente o mesmo ficheiro de impressão digital.
- Reveja as definições > de impressão digital Concluído.
Migrar uma impressão digital com o PowerShell
Introduza o seguinte comando:
Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"