Personalizar um tipo de informação confidencial interno

Ao procurar informações confidenciais no conteúdo, você precisa descrever estas informações no que é chamado de regra. Prevenção Contra Perda de Dados do Microsoft Purview (DLP) inclui regras para os tipos de informações confidenciais mais comuns. Você pode usar essas regras imediatamente. Para usá-las, você deve incluí-las em uma política. Você pode ajustar essas regras internas para atender às necessidades específicas da sua organização. Você pode fazer isso criando um tipo de informação confidencial personalizado. Este tópico mostra como personalizar o arquivo XML que contém a coleção de regras existente para que você possa detectar uma gama mais ampla de informações de cartão de crédito em potencial.

Você pode pegar este exemplo e aplicá-lo a outros tipos de informações confidenciais internos. Para obter uma lista de tipos de informações confidenciais padrão e definições XML, consulte Definições de entidade de tipo de informação confidencial.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Exportar o arquivo XML das regras atuais

Para exportar o XML, você precisa conectar-se a Segurança e Conformidade do PowerShell.

1. No PowerShell, digite o seguinte para exibir as regras da sua organização na tela. Se você ainda não criou o seu próprio, verá apenas as regras padrão, internas, rotuladas como "Pacote de Regras da Microsoft".

   Get-DlpSensitiveInformationTypeRulePackage
   

2. Armazene as regras da sua organização em uma variável digitando o seguinte. Armazenar algo em uma variável a torna facilmente disponível mais tarde em um formato que funciona para comandos do PowerShell.

   $ruleCollections = Get-DlpSensitiveInformationTypeRulePackage
   

3. Crie um arquivo XML formatado com todos esses dados digitando o seguinte.

   [System.IO.File]::WriteAllBytes('C:\custompath\exportedRules.xml', $ruleCollections.SerializedClassificationRuleCollection)
   

   Importante

   Certifique-se de usar a localização de arquivo na qual o pacote de regras está realmente armazenado. C:\custompath\ é um espaço reservado.

Localizar a regra que você deseja modificar no XML

Os cmdlets acima exportaram toda a coleção de regras, que inclui as regras padrão fornecidas pela Microsoft. Em seguida, você precisará procurar especificamente a regra Número do Cartão de Crédito que deseja modificar.

1. Use um editor de texto para abrir o arquivo XML exportado na seção anterior.

2. Role para baixo até a <Rules> marca, que é o início da seção que contém as regras DLP. Como esse arquivo XML contém as informações de toda a coleção de regras, ele contém outras informações na parte superior que você precisa percorrer para chegar às regras.

3. Procure Func_credit_card para encontrar a definição da regra Número do Cartão de Crédito. No XML, os nomes de regra não podem conter espaços, portanto, os espaços geralmente são substituídos por sublinhados, e os nomes de regra às vezes são abreviados. Um exemplo disso é a regra de número da Previdência Social dos EUA, que é abreviada SSN. O XML para a regra Número do Cartão de Crédito deve se parecer com o seguinte exemplo de código:

   <Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085"
          patternsProximity="300" recommendedConfidence="85">
         <Pattern confidenceLevel="85">
          <IdMatch idRef="Func_credit_card" />
           <Any minMatches="1">
             <Match idRef="Keyword_cc_verification" />
             <Match idRef="Keyword_cc_name" />
             <Match idRef="Func_expiration_date" />
           </Any>
         </Pattern>
       </Entity>
   

Agora que você localizou a definição da regra Número do Cartão de Crédito no XML, você pode personalizar o XML da regra para atender às suas necessidades. Para obter uma atualização sobre as definições XML, consulte o glossário termo no final deste tópico.

Modificar o XML e criar um novo tipo de informação confidencial

Primeiro, você precisa criar um tipo de informação confidencial porque não é possível modificar diretamente as regras padrão. Você pode fazer uma grande variedade de coisas com os tipos de informações confidenciais personalizadas, que são descritos em Criar um tipo de informação confidencial personalizada na Segurança e Conformidade do PowerShell. Para este exemplo, vamos mantê-lo simples e apenas remover evidências corroborativas e adicionar palavras-chave à regra de Número de Cartão de Crédito.

Todas as definições de regra XML são criadas no modelo geral a seguir. Você precisa copiar e colar a definição de número de cartão de crédito XML no modelo, modificar alguns valores (observe o ". . ." espaços reservados no exemplo a seguir) e, em seguida, carregue o XML modificado como uma nova regra que pode ser usada em políticas.

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id=". . .">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id=". . ." />
    <Details defaultLangCode=". . .">
      <LocalizedDetails langcode=" . . . ">
         <PublisherName>. . .</PublisherName>
         <Name>. . .</Name>
         <Description>. . .</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
   <!-- Paste the Credit Card Number rule definition here.-->
      <LocalizedStrings>
         <Resource idRef=". . .">
           <Name default="true" langcode=" . . . ">. . .</Name>
           <Description default="true" langcode=". . ."> . . .</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

Agora, você tem algo semelhante ao XML a seguir. Como pacotes de regras e regras são identificados por seus GUIDs exclusivos, você precisa gerar dois GUIDs: um para o pacote de regras e outro para substituir o GUID pela regra Número do Cartão de Crédito. O GUID para a ID da entidade no exemplo de código a seguir é o único para nossa definição de regra interna, que você precisa substituir por uma nova. Há várias maneiras de gerar GUIDs, mas você pode fazer isso facilmente no Windows PowerShell digitando [guid]::NewGuid().

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id="8aac8390-e99f-4487-8d16-7f0cdee8defc">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id="8d34806e-cd65-4178-ba0e-5d7d712e5b66" />
    <Details defaultLangCode="en">
      <LocalizedDetails langcode="en">
        <PublisherName>Contoso Ltd.</PublisherName>
        <Name>Financial Information</Name>
        <Description>Modified versions of the Microsoft rule package</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
      <LocalizedStrings>
         <Resource idRef="db80b3da-0056-436e-b0ca-1f4cf7080d1f">
<!-- This is the GUID for the preceding Credit Card Number entity because the following text is for that Entity. -->
           <Name default="true" langcode="en-us">Modified Credit Card Number</Name>
           <Description default="true" langcode="en-us">Credit Card Number that looks for additional keywords, and another version of Credit Card Number that doesn't require keywords (but has a lower confidence level)</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

Remover o requisito de evidências comprobatórias de um tipo de informação confidencial

Agora você tem um novo tipo de informação confidencial que pode carregar no portal de conformidade do Microsoft Purview. A próxima etapa é tornar a regra mais específica. Modifique a regra para que ela procure apenas um número de 16 dígitos que passe a soma de verificação, mas que não exija evidências adicionais (corroborativas), como palavras-chave. Para fazer isso, é necessário remover a parte do XML que procura por evidências comprobatórias. Evidência comprobatória é muito útil na redução de falsos positivos. Nesse caso, geralmente há determinadas palavras-chave ou uma data de validade próxima ao número de cartão de crédito. Se você remover esta evidência, também deverá ajustar o quão confiante você está de que encontrou um número de cartão de crédito diminuindo o confidenceLevel, que é 85 no exemplo.

<Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="300"
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
      </Pattern>
    </Entity>

Procurar palavras-chave específicas da sua organização

Você pode querer exigir evidências corroborativas, mas quer palavras-chave diferentes ou adicionais, e talvez queira mudar onde procurar essa evidência. Você pode ajustar o patternsProximity para expandir ou reduzir a janela para obter evidências corroborativas em torno do número de 16 dígitos. Para adicionar suas próprias palavras-chave, você deve definir uma lista de palavra-chave e referenciá-la dentro de sua regra. O XML a seguir adiciona as palavras-chave "cartão da empresa" e "Contoso cartão", para que qualquer mensagem que contenha essas frases dentro de 150 caracteres de um número de cartão de crédito seja identificada como um número de cartão de crédito.

<Rules>
<! -- Modify the patternsProximity to be "150" rather than "300." -->
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="150" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
<!-- Add the following XML, which references the keywords at the end of the XML sample. -->
          <Match idRef="My_Additional_Keywords" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
<!-- Add the following XML, and update the information inside the <Term> tags with the keywords that you want to detect. -->
    <Keyword id="My_Additional_Keywords">
      <Group matchStyle="word">
        <Term caseSensitive="false">company card</Term>
        <Term caseSensitive="false">Contoso card</Term>
      </Group>
    </Keyword>

Carregar a regra

Para carregar a regra, é necessário fazer o seguinte.

1. Salve-o como um arquivo .xml com codificação Unicode. Isso é importante porque a regra não funcionará se o arquivo for salvo com uma codificação diferente.

2. Conectar-se a Segurança e Conformidade do PowerShell.

3. No PowerShell, digite o seguinte.

   New-DlpSensitiveInformationTypeRulePackage -FileData ([System.IO.File]::ReadAllBytes('C:\custompath\MyNewRulePack.xml'))
   

   Importante

   Certifique-se de usar a localização de arquivo na qual o pacote de regras está realmente armazenado. C:\custompath\ é um espaço reservado.

4. Para confirmar, digite S e pressione Enter.

5. Verifique o nome de exibição da nova regra e se ela foi carregada, inserindo:

   Get-DlpSensitiveInformationType
   

Para começar a usar a nova regra para detectar informações confidenciais, você precisa adicionar a regra a uma política DLP. Para saber como adicionar a regra a uma política, consulte Criar e Implantar políticas de prevenção contra perda de dados.

Glossário de termos

Estas são as definições dos termos encontrados durante este procedimento.

---

Termo	Definição
Entidade	Entidades são o que chamamos de tipos de informações confidenciais, como números de cartão de crédito. Cada entidade tem um GUID exclusivo como sua ID. Se você copiar um GUID e pesquisá-lo no XML, encontrará a definição de regra XML e todas as traduções localizadas dessa regra XML. Você também pode encontrar essa definição localizando o GUID para a tradução e procurando por esse GUID.
Funções	O arquivo XML faz referência , Func_credit_cardque é uma função no código compilado. As funções são usadas para executar regexes complexos e verificar se as somas de verificação correspondem às nossas regras internas. Como isso acontece no código, algumas das variáveis não aparecem no arquivo XML.
IdMatch	Esse é o identificador que padrão deverá corresponder — por exemplo, um número de cartão de crédito.
Lista de palavras-chave	O arquivo XML também faz referência e keyword_cc_verificationkeyword_cc_name, que são listas de palavras-chave que estamos procurando corresponder dentro da patternsProximity entidade. No momento, eles não são exibidos no XML.
Padrão	O padrão contém a lista do que o tipo sensível está procurando. Isso inclui palavras-chave, regexes e funções internas, que executam tarefas como verificar somas de verificação. Tipos de informações confidenciais podem ter vários padrões com níveis de confiança exclusivos. Isso é útil quando você cria um tipo de informações confidenciais que retorna uma alta confiança se a evidência comprobatórias for encontrada e uma menor confiança se pouca ou nenhuma evidência comprobatórias for encontrada.
confidenceLevel padrão	Esse é o nível de confiança que o mecanismo DLP encontrou uma correspondência. Esse nível de confiança está associado a uma correspondência para o padrão se os requisitos do padrão forem atendidos. Essa é a medida de confiança que você deve considerar ao usar regras de fluxo de email do Exchange (também conhecidas como regras de transporte).
patternsProximity	Quando encontramos o que parece um padrão de número de cartão de crédito, patternsProximity é a distância em torno desse número em que procuraremos evidências corroborativas.
recommendedConfidence	Esse é o nível de confiança que recomendamos para essa regra. O nível de confiança recomendado se aplica a entidades e afinidades. Para entidades, esse número nunca é avaliado em relação ao confidenceLevel padrão. É apenas uma sugestão para ajudá-lo a escolher um nível de confiança se quiser aplicar um. Para afinidades, o confidenceLevel padrão deve ser maior do que o recommendedConfidence número de uma ação de regra de fluxo de email a ser invocada. O recommendedConfidence é o nível de confiança padrão usado nas regras de fluxo de email que invoca uma ação. Se desejar, você pode alterar manualmente a regra de fluxo de email a ser invocada com base no nível de confiança do padrão.

Para obter mais informações

• Definições da entidade do tipo de informações confidenciais
• Criar um tipo de informação confidencial personalizado
• Saiba mais sobre prevenção contra perda de dados