Condividi tramite

Creazione impronta digitale documenti

  • Articolo

L'impronta digitale dei documenti è una funzionalità di Microsoft Purview che assume un formato standard fornito e crea un tipo di informazioni riservate (SIT) basato su tale modulo. L'impronta digitale dei documenti semplifica la protezione delle informazioni sensibili identificando i moduli standard usati in tutta l'organizzazione. Questo articolo descrive i concetti alla base dell'impronta digitale dei documenti e come creare un'impronta digitale del documento usando l'interfaccia utente o PowerShell.

L'impronta digitale dei documenti include i vantaggi seguenti:

  • I SIT creati dall'impronta digitale dei documenti possono essere usati come metodo di rilevamento nei criteri DLP con ambito Exchange, SharePoint, OneDrive, Teams e Dispositivi.
  • L'etichettatura automatica MIP può usare l'impronta digitale dei documenti come metodo di rilevamento in Exchange, SharePoint e OneDrive.
  • Le funzionalità delle impronte digitali dei documenti possono essere gestite tramite l'interfaccia utente di Microsoft Purview.
  • La corrispondenza parziale è supportata.
  • È supportata la corrispondenza esatta .
  • Accuratezza del rilevamento migliorata
  • Supporto per il rilevamento in più lingue, incluse le lingue a doppio byte, ad esempio cinese, giapponese e coreano.

Importante

Se si è un cliente E5, è consigliabile aggiornare le impronte digitali esistenti per sfruttare il set completo di funzionalità di impronta digitale del documento. Se si è un cliente E3, è consigliabile eseguire l'aggiornamento a una licenza E5. Se si sceglie di non modificarle, non sarà possibile modificare le impronte digitali esistenti o crearne di nuove dopo aprile 2023.

Scenario di base per l'impronta digitale dei documenti

Come accennato, la funzionalità di impronta digitale dei documenti converte una forma standard di informazioni in un tipo di informazioni sensibili (SIT), che è possibile usare nelle regole dei criteri DLP. Ad esempio, è possibile creare l'impronta digitale di un documento basata su un modello di brevetto vuoto e creare quindi un criterio DLP che rileva e blocca tutti i modelli di brevetto in uscita contenenti dati sensibili. Facoltativamente, è possibile configurare suggerimenti per i criteri per notificare ai mittenti che potrebbero inviare informazioni riservate e che il mittente deve verificare che i destinatari siano qualificati per ricevere i brevetti. Questo processo funziona con tutti i moduli basati su testo utilizzati nell'organizzazione. Altri esempi di moduli che è possibile caricare includono:

  • Moduli governativi
  • Moduli di conformità Health Insurance Portability and Accountability Act (HIPAA)
  • Moduli di informazioni dei dipendenti per i reparti delle risorse umane
  • Moduli personalizzati creati specificamente per l'organizzazione

In teoria, l'organizzazione possiede già una pratica aziendale stabilita relativa all'utilizzo di alcuni moduli per la trasmissione di dati sensibili. Per abilitare il rilevamento, caricare un modulo vuoto da convertire in un'impronta digitale del documento. Configurare quindi un criterio corrispondente. Dopo aver completato questi passaggi, DLP rileva tutti i documenti nella posta in uscita che corrispondono a tale impronta digitale.

Per altre informazioni sulla progettazione di criteri DLP, vedere Progettare criteri di prevenzione della perdita dei dati.

Per altre informazioni sulla creazione e la distribuzione di criteri DLP, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.

Funzionamento dell'impronta digitale dei documenti

Si sa che i documenti non hanno impronte digitali effettive, ma il nome aiuta a spiegare la funzionalità. Allo stesso modo in cui le impronte digitali di una persona hanno modelli univoci, i moduli usati di frequente (modelli) possono avere modelli di parole univoci per loro. È possibile usare sit basato su questo modello per rilevare i file creati usando lo stesso modello. Questo è il motivo per cui il caricamento di un modulo o di un modello crea il tipo più efficace di impronta digitale del documento. Tutti gli utenti che compilano un modulo usano lo stesso set di parole originale e quindi aggiungono le proprie parole al documento. I documenti da analizzare non possono essere protetti da password e devono contenere tutto il testo del modulo originale.

Diagramma dell'impronta digitale dei documenti.

Il modello di brevetto contiene i campi vuoti Titolo del brevetto, Inventori e Descrizione, insieme alle descrizioni per ognuno di questi campi, ovvero il modello di parola. Quando si carica il modello di brevetto originale, è in uno dei tipi di file supportati e in testo normale. MIcrosoft Purview converte questo modello di parola in un'impronta digitale del documento, ovvero un piccolo file XML Unicode contenente un valore hash univoco che rappresenta il testo originale. Come misura di sicurezza, il documento originale non viene archiviato; viene archiviato solo il valore hash. Il documento originale non può essere ricostruito dal valore hash. L'impronta digitale del brevetto è rappresentata in un sit che è possibile usare come condizione in un criterio DLP.

Ad esempio, se si configura un criterio DLP che impedisce ai dipendenti normali di inviare messaggi in uscita contenenti brevetti, DLP usa l'impronta digitale del brevetto SIT per rilevare i brevetti e bloccare tali messaggi di posta elettronica. In alternativa, si potrebbe voler consentire al proprio reparto legale di inviare brevetti ad altre organizzazioni perché ha una necessità aziendale per farlo. Per consentire a reparti specifici di inviare informazioni riservate, creare eccezioni per tali reparti nei criteri DLP. In alternativa, è possibile consentire loro di sostituire un suggerimento per i criteri con una giustificazione aziendale.

Importante

Il testo nei documenti incorporati non viene considerato per la creazione di impronte digitali. È necessario fornire file modello di esempio che non contengono documenti incorporati.

Limitazioni della creazione dell'impronta digitale del documento

L'impronta digitale dei documenti non rileva informazioni sensibili nei casi seguenti:

  • File protetti da password
  • File che contengono solo immagini
  • Documenti che non contengono tutto il testo del modulo originale usato per la creazione dell'impronta digitale del documento
  • File di dimensioni superiori a 4 MB

Nota

Per usare l'impronta digitale dei documenti con i dispositivi, è necessario attivare l'analisi e la protezione avanzata della classificazione .

Le impronte digitali vengono archiviate in un pacchetto di regole separato. Questo pacchetto di regole ha un limite massimo di 150 KB. Dato questo limite, è possibile creare circa 50 impronte digitali per tenant.

Nota

Il modello usato per creare un'impronta digitale deve avere almeno 4.096 caratteri. La lunghezza del testo estratto supportata per il modello di impronta digitale deve essere compresa tra 4.096 e 204.800 caratteri.

Gli esempi seguenti illustrano cosa accade se si crea un'impronta digitale del documento basata su un modello di brevetto. Tuttavia, è possibile usare qualsiasi modulo come base per la creazione di un'impronta digitale del documento.

Esempio: Creare un documento di brevetto corrispondente all'impronta digitale di un modello di brevetto

Selezionare la scheda appropriata per il portale in uso. A seconda del piano di Microsoft 365, il Portale di conformità di Microsoft Purview viene ritirato o verrà ritirato a breve.

Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Nel portale di Microsoft Purview passare a Prevenzione della perdita dei dati o Information Protection>Classifiers>Tipi di informazioni sensibili.
  2. Nella pagina Tipi di informazioni sensibili scegliere + Crea sit basato su impronta digitale.
  3. Immettere un nome e una descrizione per il nuovo SIT.
  4. Caricare il file da usare come modello di impronta digitale.
  5. FACOLTATIVO: modificare i requisiti per ogni livello di attendibilità. Per altre informazioni, vedere Corrispondenza parziale e Corrispondenza esatta.
  6. Scegliere Avanti.
  7. Esaminare le impostazioni e quindi scegliere Crea.
  8. Quando viene visualizzata la pagina di conferma, scegliere Fine.

Esempio di PowerShell di un documento di brevetto corrispondente a un'impronta digitale di un documento di un modello di brevetto

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Corrispondenza parziale

Per configurare la corrispondenza parziale di un'impronta digitale del documento, quando si impostano le opzioni di configurazione durante il caricamento del modello, impostare il livello di attendibilità, scegliere Basso, Medio o Alto e indicare la quantità di testo nel file che deve corrispondere all'impronta digitale in termini di percentuale compresa tra il 30% e il 90%.

Un livello di confidenza elevato restituisce il minor numero di falsi positivi, ma potrebbe causare più falsi negativi. I livelli di attendibilità bassa o media restituiscono più falsi positivi, ma da pochi a zero falsi negativi.

  • bassa attendibilità: gli elementi corrispondenti contengono il minor numero di falsi negativi, ma il maggior numero di falsi positivi. La bassa confidenza restituisce tutte le corrispondenze di attendibilità bassa, media e alta.
  • attendibilità media: gli elementi corrispondenti contengono un numero medio di falsi positivi e falsi negativi. La confidenza media restituisce tutte le corrispondenze di attendibilità medie e elevate.
  • confidenza elevata: gli elementi corrispondenti contengono il minor numero di falsi positivi, ma il maggior numero di falsi negativi.

Corrispondenza esatta

Per configurare la corrispondenza esatta di un'impronta digitale del documento, selezionare Esatto come valore per il livello di attendibilità elevato. Quando si imposta il livello di attendibilità elevato su Exact, vengono rilevati solo i file che hanno esattamente lo stesso testo dell'impronta digitale. Se il file ha anche una piccola deviazione dall'impronta digitale, non verrà rilevato.

Si usano già i SIT per le impronte digitali?

Le impronte digitali esistenti e i criteri/le regole per tali impronte digitali dovrebbero continuare a funzionare. Se non si vogliono usare le funzionalità di impronta digitale più recenti, non è necessario eseguire alcuna operazione.

Se si dispone di una licenza E5 e si vogliono usare le funzionalità di impronta digitale più recenti, sono disponibili 2 opzioni:

Nota

La creazione di nuove impronte digitali usando i modelli in cui esiste già un'impronta digitale non è supportata.

Creare un tipo di informazioni sensibili personalizzato basato sull'impronta digitale dei documenti tramite PowerShell

Attualmente, è possibile creare un'impronta digitale del documento solo in PowerShell sicurezza & conformità.

Per creare un sit personalizzato basato su un'impronta digitale del documento, usare il cmdlet New-DlpSensitiveInformationType . Nell'esempio seguente viene creata una nuova impronta digitale del documento denominata "Contoso Customer Confidential" in base al file C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Aggiungere infine il tipo di informazioni riservate "Contoso Customer Confidential" a un criterio DLP nel Portale di conformità di Microsoft Purview. In questo esempio viene aggiunta una regola a un criterio DLP esistente denominato "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

È anche possibile usare l'impronta digitale SIT nelle regole del flusso di posta in Exchange, come illustrato nell'esempio seguente. Per eseguire questo comando, è prima necessario connettersi a Exchange PowerShell. Si noti inoltre che la sincronizzazione dei SIT con l'interfaccia di amministrazione di Exchange richiede tempo.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

La prevenzione della perdita dei dati può ora rilevare i documenti che corrispondono all'impronta digitale del documento Contoso Customer Form.docx.

Per informazioni sulla sintassi e sui parametri, vedere:

Modificare, testare o eliminare un'impronta digitale di un documento

Per eseguire questa operazione nel portale di Microsoft Purview, aprire l'impronta digitale SIT che si vuole modificare, testare o eliminare e scegliere l'icona appropriata.

A tale scopo tramite PowerShell, eseguire i comandi seguenti:

Modificare un'impronta digitale di un documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testare un'impronta digitale di un documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Eliminare un'impronta digitale di un documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Eseguire la migrazione di un'impronta digitale esistente sit a un tramite il portale di Microsoft Purview

  1. Aprire il portale > di Microsoft Purview Information Protection>Classifiers>Tipi di informazioni sensibili.
  2. Aprire il sit contenente l'impronta digitale di cui si vuole eseguire la migrazione.
  3. Scegliere Modifica.
  4. Caricare di nuovo lo stesso file di impronta digitale.
  5. Esaminare le impostazioni > dell'impronta digitale Completata.

Eseguire la migrazione di un'impronta digitale con PowerShell

Immettere il comando seguente:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"