Creazione impronta digitale documenti

Gli Information Worker dell'organizzazione gestiscono molti tipi di informazioni riservate durante una giornata. Nel Portale di conformità di Microsoft Purview, l'impronta digitale dei documenti semplifica la protezione di queste informazioni identificando i moduli standard usati nell'intera organizzazione. Questo argomento descrive i concetti alla base di Document Fingerprinting e come crearne uno usando PowerShell.

Scenario di base per la creazione impronta digitale documenti

Document Fingerprinting è una funzionalità Prevenzione della perdita dei dati Microsoft Purview (DLP) che converte un modulo standard in un tipo di informazioni riservate, che è possibile usare nelle regole dei criteri DLP. Ad esempio, è possibile creare l'impronta digitale di un documento basata su un modello di brevetto vuoto e creare quindi un criterio DLP che rileva e blocca tutti i modelli di brevetto in uscita contenenti dati sensibili. Facoltativamente, è possibile configurare suggerimenti per i criteri per notificare ai mittenti che potrebbero inviare informazioni riservate e il mittente deve verificare che i destinatari siano qualificati per ricevere i brevetti. Questo processo funziona con tutti i moduli basati su testo utilizzati nell'organizzazione. Ulteriori esempi di moduli che è possibile caricare includono:

• Moduli governativi
• Moduli di conformità Health Insurance Portability and Accountability Act (HIPAA)
• Moduli di informazioni dei dipendenti per i reparti delle risorse umane
• Moduli personalizzati creati specificamente per l'organizzazione

In teoria, l'organizzazione possiede già una pratica aziendale stabilita relativa all'utilizzo di alcuni moduli per la trasmissione di dati sensibili. Dopo aver caricato un modulo vuoto da convertire in un'impronta digitale del documento e aver configurato un criterio corrispondente, la prevenzione della perdita dei dati rileva tutti i documenti nella posta in uscita che corrispondono a tale impronta digitale.

Funzionamento dell'impronta digitale del documento

Sarà già chiaro che i documenti non hanno impronte digitali nel verso senso della parola, ma il nome consente di spiegare la funzionalità. Come le impronti digitali di una persona presentano criteri univoci, così i documenti presentano modelli di parole univoci. Quando si carica un file, DLP identifica il modello di parola univoco nel documento, crea un'impronta digitale del documento in base a tale modello e usa tale impronta digitale del documento per rilevare i documenti in uscita contenenti lo stesso modello. Ecco perché il caricamento di un modulo o modello crea il tipo più efficace di impronta digitale del documento. Chiunque compila un modulo usa lo stesso set originale di parole e poi aggiunge proprie parole al documento. Finché il documento in uscita non è protetto da password e contiene tutto il testo del modulo originale, la prevenzione della perdita dei dati può determinare se il documento corrisponde all'impronta digitale del documento.

Importante

Per il momento, la prevenzione della perdita dei dati può usare l'impronta digitale dei documenti come metodo di rilevamento solo in Exchange Online.

Il seguente esempio mostra cosa accade si crea un'impronta digitale del documento in base al modello di brevetto. È comunque possibile usare qualsiasi modello per la creazione di un'impronta digitale del documento.

Esempio di un documento di brevetto corrispondente a un'impronta digitale del documento di un modello di brevetto

Il modello di brevetto contiene i campi vuoti "Titolo brevetto", "Inventori" e "Descrizione" e le descrizioni per ognuno di questi campi, ovvero il modello di parola. Quando si carica il modello di brevetto originale, è in uno dei tipi di file supportati e in testo normale. DLP converte questo modello di parola in un'impronta digitale del documento, ovvero un piccolo file XML Unicode contenente un valore hash univoco che rappresenta il testo originale e l'impronta digitale viene salvata come classificazione dei dati in Active Directory. Come misura di sicurezza, il documento originale non viene archiviato nel servizio, viene archiviato solo il valore hash e il documento originale non può essere ricostruito dal valore hash. L'impronta digitale del brevetto diventa quindi un tipo di informazioni sensibili che è possibile associare a un criterio DLP. Dopo aver associato l'impronta digitale a un criterio DLP, DLP rileva tutti i messaggi di posta elettronica in uscita contenenti documenti che corrispondono all'impronta digitale del brevetto e li gestisce in base ai criteri dell'organizzazione.

Ad esempio, è possibile configurare un criterio DLP che impedisce ai dipendenti normali di inviare messaggi in uscita contenenti brevetti. DLP userà l'impronta digitale del brevetto per rilevare i brevetti e bloccare tali messaggi di posta elettronica. In alternativa, si potrebbe voler consentire al proprio reparto legale di inviare brevetti ad altre organizzazioni perché ha una necessità aziendale per farlo. È possibile consentire a reparti specifici di inviare informazioni sensibili creando eccezioni per tali reparti nei criteri di prevenzione della perdita dei dati oppure è possibile consentire loro di ignorare un suggerimento per i criteri con una giustificazione aziendale.

Tipi di file supportati

L'impronta digitale dei documenti supporta gli stessi tipi di file supportati nelle regole del flusso di posta (note anche come regole di trasporto). Per un elenco dei tipi di file supportati, vedere Tipi di file supportati per l'ispezione del contenuto delle regole del flusso di posta. Una nota rapida sui tipi di file: né le regole del flusso di posta né l'impronta digitale del documento supportano il tipo di file dotx, il che può creare confusione perché si tratta di un file modello in Word. Quando si vede la parola "modello" in questo e in altri argomenti relativi alla creazione dell'impronta digitale del documento, si fa riferimento a un documento definito dall'utente come modulo standard, non al tipo di file modello.

Limitazioni della creazione dell'impronta digitale del documento

L'impronta digitale dei documenti non rileverà informazioni sensibili nei casi seguenti:

• File protetti da password
• File che contengono solo immagini
• Documenti che non contengono tutto il testo del modulo originale usato per la creazione dell'impronta digitale del documento
• File maggiori di 10 MB

Usare PowerShell per creare un pacchetto di regole di classificazione basato sull'impronta digitale dei documenti

Attualmente, è possibile creare un'impronta digitale del documento solo in PowerShell sicurezza & conformità.

La prevenzione della perdita dei dati usa i pacchetti delle regole di classificazione per rilevare il contenuto sensibile. Per creare un pacchetto di regole di classificazione basato su un'impronta digitale del documento, usare i cmdlet New-DlpFingerprint e New-DlpSensitiveInformationType . Poiché i risultati di New-DlpFingerprint non vengono archiviati all'esterno della regola di classificazione dei dati, è sempre possibile eseguire New-DlpFingerprint e New-DlpSensitiveInformationType o Set-DlpSensitiveInformationType nella stessa sessione di PowerShell. In questo esempio viene creata una nuova impronta digitale di documento in base al file C:\Documenti\Contoso Employee Template.docx. La nuova impronta digitale viene archiviata come variabile e potrà essere quindi utilizzata con il cmdlet New-DlpSensitiveInformationType nella stessa sessione di PowerShell.

$Employee_Template = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx'))
$Employee_Fingerprint = New-DlpFingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

A questo punto, passiamo alla creazione di una nuova regola di classificazione dati denominata "Contoso Employee Confidential" che utilizza l'impronta digitale del documento del file C:\Documenti\Contoso Customer Information Form.docx.

$Customer_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx'))
$Customer_Fingerprint = New-DlpFingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"
New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."

È ora possibile usare il cmdlet Get-DlpSensitiveInformationType per trovare tutti i pacchetti di regole di classificazione dei dati DLP e in questo esempio "Contoso Customer Confidential" fa parte dell'elenco dei pacchetti delle regole di classificazione dei dati.

Aggiungere infine il pacchetto della regola di classificazione dei dati "Contoso Customer Confidential" a un criterio DLP nel Portale di conformità di Microsoft Purview. In questo esempio viene aggiunta una regola a un criterio DLP esistente denominato "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

È anche possibile usare il pacchetto della regola di classificazione dei dati nelle regole del flusso di posta in Exchange Online, come illustrato nell'esempio seguente. Per eseguire questo comando, è prima necessario connettersi a Exchange Online PowerShell. Si noti anche che la sincronizzazione del pacchetto di regole dal Portale di conformità di Microsoft Purview all'interfaccia di amministrazione di Exchange richiede tempo.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP ora rileva i documenti che corrispondono all'impronta digitale del documento Contoso Customer Form.docx.

Per informazioni sulla sintassi e sui parametri, vedere:

• New-DlpFingerprint
• New-DlpSensitiveInformationType
• Remove-DlpSensitiveInformationType
• Set-DlpSensitiveInformationType
• Get-DlpSensitiveInformationType