Creación de huella digital de documento

Artículo
02/14/2024

Los trabajadores de la información en su organización tratan con diversos tipos de información confidencial durante un día normal. En el portal de cumplimiento Microsoft Purview, la huella digital de documentos facilita la protección de esta información mediante la identificación de formularios estándar que se usan en toda la organización. En este artículo se describen los conceptos subyacentes a la huella digital de documentos y cómo crear una huella digital de documento mediante el portal de cumplimiento o mediante PowerShell.

La huella digital de documentos incluye las siguientes características:

DLP puede usar la huella digital de documentos como método de detección en Exchange, SharePoint, OneDrive, Teams y Dispositivos.
Las características de huella digital del documento se pueden administrar a través de la portal de cumplimiento Microsoft Purview.
Se admite la coincidencia parcial .
Se admite la coincidencia exacta .
Precisión de detección mejorada
Compatibilidad con la detección en varios idiomas, incluidos los idiomas de doble byte, como chino, japonés y coreano.

Importante

Si es cliente de E5, se recomienda actualizar las huellas digitales existentes para aprovechar el conjunto de características de huella digital completa del documento. Si es cliente de E3, se recomienda actualizar a una licencia E5. Si decide no hacerlo, no podrá modificar las huellas digitales existentes ni crear otras nuevas después de abril de 2023.

Escenario básico para la huella digital de documentos

La huella digital de documentos es una característica de Prevención de pérdida de datos de Microsoft Purview (DLP) que convierte un formulario estándar en un tipo de información confidencial (SIT), que puede usar en las reglas de las directivas DLP. Por ejemplo, puede crear una huella digital de documento con base en una plantilla de patente en blanco y después crear una directiva DLP que detecte y bloquee todas las plantillas de patente salientes que incluyan contenido confidencial. Opcionalmente, puede configurar sugerencias de directiva para notificar a los remitentes que podrían enviar información confidencial y que el remitente debe comprobar que los destinatarios están calificados para recibir las patentes. Este proceso funciona con cualquier formulario basado en texto que se use en la organización. Otros ejemplos de formularios que puede cargar incluyen:

Formularios de gobierno
Formularios de cumplimiento de Health Insurance Portability and Accountability Act (HIPAA)
Formularios de información sobre empleados para los departamentos de recursos humanos
Formularios personalizados creados específicamente para la organización

Idealmente, la organización ya tiene una práctica de negocios establecida sobre el uso de determinados formularios para transmitir información confidencial. Para habilitar la detección, cargue un formulario vacío para convertirlo en una huella digital del documento. A continuación, configure una directiva correspondiente. Una vez completados estos pasos, DLP detecta cualquier documento en el correo saliente que coincida con esa huella digital.

Funcionamiento de la huella digital de documentos

Probablemente ya ha adivinado que los documentos no tienen huellas digitales reales, pero el nombre ayuda a explicar la característica. Del mismo modo que las huellas digitales de una persona tienen patrones únicos, los documentos tienen patrones de palabras únicos. Al cargar un archivo, DLP identifica el patrón de palabra único en el documento, crea una huella digital del documento basada en ese patrón y usa esa huella digital del documento para detectar documentos salientes que contienen el mismo patrón. Por ello, la carga de un formulario o plantilla crea el tipo más efectivo de huella digital de documento. Todos los usuarios que rellenan un formulario usan el mismo conjunto original de palabras y, a continuación, agregan sus propias palabras al documento. Si el documento saliente no está protegido con contraseña y contiene todo el texto del formulario original, DLP puede determinar si el documento coincide con la huella digital del documento.

Diagrama de huellas digitales de documentos.

La plantilla de patente contiene los campos en blanco "Título de patente", "Inventores" y "Descripción", junto con descripciones para cada uno de esos campos, que es la palabra patrón. Al cargar la plantilla de patente original, se encuentra en uno de los tipos de archivo admitidos y en texto sin formato. DLP convierte este patrón de palabra en una huella digital del documento, que es un pequeño archivo XML Unicode que contiene un valor hash único que representa el texto original. La huella digital se guarda como una clasificación de datos en Active Directory. (Como medida de seguridad, el propio documento original no se almacena en el servicio; solo se almacena el valor hash. El documento original no se puede reconstruir a partir del valor hash). A continuación, la huella digital de la patente se convierte en una SIT que puede asociar a una directiva DLP. Después de asociar la huella digital a una directiva DLP, DLP detecta los correos electrónicos salientes que contienen contenido que coincida con la huella digital de la patente y se ocupa de ella según la directiva de su organización.

Por ejemplo, si configura una directiva DLP que impide que los empleados normales envíen mensajes salientes que contengan patentes, DLP usa la huella digital de patente para detectar patentes y bloquear esos correos electrónicos. Como alternativa, es posible que quiera permitir que su departamento legal pueda enviar patentes a otras organizaciones porque tiene una necesidad empresarial para hacerlo. Para permitir que determinados departamentos envíen información confidencial, cree excepciones para esos departamentos en la directiva DLP. Como alternativa, puede permitirles invalidar una sugerencia de directiva con una justificación empresarial.

Importante

El texto de los documentos incrustados no se considera para la creación de huellas digitales. Debe proporcionar archivos de plantilla de ejemplo que no contengan documentos incrustados.

Tipos de archivo compatibles

La huella digital de documentos admite los mismos tipos de archivo que se admiten en las reglas de flujo de correo (también conocidas como reglas de transporte). Para obtener una lista de los tipos de archivo admitidos, consulte Tipos de archivo admitidos para la inspección del contenido de la regla de flujo de correo. Una nota rápida sobre los tipos de archivo: ni las reglas de flujo de correo ni la huella digital de documentos admiten el tipo de archivo .dotx, que es un archivo de plantilla en Microsoft Word. Cuando ve la palabra "plantilla" en este y otros artículos de huellas digitales de documentos, hace referencia a un documento que ha establecido como un formulario estándar, no al tipo de archivo de plantilla.

Limitaciones de la creación de huella digital de documento

La huella digital del documento no detecta información confidencial en los casos siguientes:

Archivos protegidos por contraseña
Archivos que solo contienen imágenes
Documentos que no contienen todo el texto del formulario original utilizado para crear la huella digital de documento
Archivos de más de 4 MB

Nota:

Para usar la huella digital de documentos con dispositivos, se debe activar el examen de clasificación avanzada y la protección .

Las huellas digitales se almacenan en un paquete de reglas independiente. Este paquete de reglas tiene un límite de tamaño máximo de 1of 150 KB. Dado este límite, puede crear aproximadamente 50 huellas digitales por inquilino.

En los ejemplos siguientes se muestra lo que sucede si crea una huella digital de documento basada en una plantilla de patente. Sin embargo, puede usar cualquier formulario como base para crear una huella digital del documento.

Ejemplo del portal de cumplimiento de un documento de patente que coincide con una huella digital de documento de una plantilla de patente

En el portal de cumplimiento Microsoft Purview, seleccione Clasificación de datos y, a continuación, elija Clasificadores.
En la página Clasificadores, elija Tipos de información> confidencialCrear sit basado en huellas digitales.
Escriba un nombre y una descripción para el nuevo SIT.
Cargue el archivo que desea usar como plantilla de huella digital.
OPCIONAL: ajuste los requisitos para cada nivel de confianza y, a continuación, elija Siguiente. Para obtener más información, vea Coincidencia parcial y Coincidencia exacta.
Revise la configuración >Crear.
Cuando se muestre la página de confirmación, elija Listo.

Ejemplo de PowerShell de un documento de patente que coincide con una huella digital de documento de una plantilla de patente

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Coincidencia parcial

Para configurar la coincidencia parcial de una huella digital del documento, al configurar el nivel de confianza, elija Bajo, Medio o Alto y designe la cantidad de texto del archivo que debe coincidir con la huella digital en términos de un porcentaje entre el 30 % y el 90 %.

Un nivel de confianza alto devuelve el menor número de falsos positivos, pero podría dar lugar a más falsos negativos. Los niveles de confianza bajo o medio devuelven más falsos positivos, pero pocos a cero falsos negativos.

baja confianza: los elementos coincidentes contendrán el menor número de falsos negativos, pero los más falsos positivos. La confianza baja devuelve todas las coincidencias de confianza baja, media y alta.
confianza media: los elementos coincidentes contendrán un número medio de falsos positivos y falsos negativos. La confianza media devuelve todas las coincidencias de confianza media y alta.
alta confianza: los elementos coincidentes contendrán el menor número de falsos positivos, pero los más falsos negativos.

Coincidencia exacta

Para configurar la coincidencia exacta de una huella digital del documento, seleccione Exacto como valor para el nivel de confianza alto. Al establecer el nivel de confianza alto en Exacto, solo se detectarán los archivos que tengan exactamente el mismo texto que la huella digital. Si el archivo tiene incluso una pequeña desviación de la huella digital, no se detectará.

¿Ya usa los SIT de huellas digitales?

Las huellas digitales y las directivas o reglas existentes para esas huellas digitales deben seguir funcionando. Si no desea usar las características de huellas digitales más recientes, no tiene que hacer nada.

Si tiene una licencia E5 y desea usar las características de huella digital más recientes, puede crear una nueva huella digital o migrar una directiva a la versión más reciente.

Nota:

No se admite la creación de nuevas huellas digitales mediante las plantillas en las que ya existe una huella digital.

Creación de una nueva directiva mediante la huella digital SIT mediante el portal de cumplimiento

En el portal de cumplimiento Microsoft Purview, seleccioneDirectivas> de prevención> de pérdida de datos Tipos > deinformación confidencial+ Crear directiva>personalizada para crear una nueva directiva.
Seleccione su región o país >Siguiente.
Asigne un nombre a la directiva y proporcione una descripción >Siguiente.
En la página Asignar unidades de administrador , elija entre estas dos opciones:
- Aplique la directiva a todos los usuarios y grupos >Siguiente.
  O
- Agregue usuarios y grupos específicos que quiera que estén sujetos a la directiva >Siguiente.
Seleccione las ubicaciones donde desea que se aplique > la directiva Siguiente.
En la página Definir configuración de directiva, elija Crear personalizar reglas> DLPavanzadas Siguiente.
En la página Personalizar reglas DLP avanzadas , elija Crear regla.
Escriba un nombre y una descripción para la regla.
En Condiciones , elija Agregar condición>que contiene el contenido.
Asigne al nuevo conjunto de reglas DLP un nombre> de grupoAgregar>tipos de información confidencial.
Busque y seleccione el nombre de la huella digital SIT >Add.
Seleccione el nivel > de confianza Agregar una acción.
Seleccione la acción que se va a realizar cuando se desencadene la regla y, a continuación, especifique los detalles > de la acción Guardar>siguiente.
Elija entre estas dos opciones:
- Pruebe la directiva >Siguiente.
  O
- activar la directiva inmediatamente >Siguiente.
Revise la configuración >Enviar>listo.

Creación de un tipo de información confidencial personalizado basado en la huella digital de documentos mediante PowerShell

Actualmente, solo puede crear una huella digital del documento en PowerShell de cumplimiento de seguridad &.

DLP usa tipos de información confidencial (SIT) para detectar contenido confidencial. Para crear una SIT personalizada basada en una huella digital del documento, use el cmdlet New-DlpSensitiveInformationType . En el ejemplo siguiente se crea una nueva huella digital de documento denominada "Contoso Customer Confidential" basada en el archivo C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Por último, agregue el tipo de información confidencial "Contoso Customer Confidential" a una directiva DLP en el portal de cumplimiento Microsoft Purview. En este ejemplo se agrega una regla a una directiva DLP existente, denominada "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

También puede usar sit de huella digital en las reglas de flujo de correo en Exchange, como se muestra en el ejemplo siguiente. Para ejecutar este comando, primero debe conectarse a Exchange PowerShell. Tenga en cuenta también que los SIT tardan tiempo en sincronizarse desde el portal de cumplimiento Microsoft Purview al Centro de administración de Exchange.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP ahora detecta documentos que coinciden con la huella digital del documento Form.docx cliente de Contoso.

Para obtener información sobre la sintaxis y los parámetros, consulte:

Edición, prueba o eliminación de una huella digital de documento

Para ello a través de la interfaz de usuario, abra la huella digital SIT que desea editar, probar o eliminar y elija el icono adecuado.

Para ello a través de PowerShell, ejecute los siguientes comandos.

Edición de una huella digital del documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Prueba de una huella digital del documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Eliminación de una huella digital del documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migración de una nueva directiva mediante la huella digital SIT mediante el portal de cumplimiento

En el portal de cumplimiento Microsoft Purview, seleccioneDirectivas> de prevención> de pérdida de datosTipos de información confidencial.
Abra el SIT que contiene la huella digital que desea migrar.
Elija Editar.
Vuelva a cargar el mismo archivo de huella digital.
Revise la configuración de > huellas digitales Finalizada.

Migración de una huella digital mediante PowerShell

Escriba el siguiente comando:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"