Impressão digital de documento

  • Artigo

Os funcionários de TI em sua organização lidam com vários tipos de informações confidenciais em um dia comum. No portal de conformidade do Microsoft Purview, a impressão digital do documento facilita a proteção dessas informações identificando formulários padrão usados em toda a sua organização. Este artigo descreve os conceitos por trás da impressão digital do documento e como criar uma impressão digital do documento usando o portal de conformidade ou usando o PowerShell.

A impressão digital do documento inclui os seguintes recursos:

  • O DLP pode usar a impressão digital do documento como um método de detecção no Exchange, SharePoint, OneDrive, Teams e Dispositivos.
  • Os recursos de impressão digital do documento podem ser gerenciados por meio do portal de conformidade do Microsoft Purview.
  • Há suporte para correspondência parcial.
  • Há suporte para correspondência exata .
  • Precisão de detecção aprimorada
  • Suporte para detecção em vários idiomas, incluindo idiomas de bytes duplos, como chinês, japonês e coreano.

Importante

Se você for um cliente E5, recomendamos atualizar suas impressões digitais existentes para aproveitar o conjunto completo de recursos de impressão digital do documento. Se você for um cliente E3, recomendamos atualizar para uma licença E5. Se você optar por não fazer isso, não poderá modificar as impressões digitais existentes ou criar novas após abril de 2023.

Cenário básico para impressão digital de documento

A impressão digital do documento é um recurso de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) que converte um formulário padrão em um TIPO de informação confidencial (SIT), que você pode usar nas regras de suas políticas DLP. Por exemplo, você pode criar uma impressão digital de documento com base em um modelo de patente em branco e, então, criar uma política DLP que detecta e bloqueia todos os modelos de patente de saída com conteúdo confidencial. Opcionalmente, você pode configurar dicas de política para notificar os remetentes de que eles podem estar enviando informações confidenciais e que o remetente deve verificar se os destinatários estão qualificados para receber as patentes. Esse processo funciona com qualquer formulário baseado em texto usado em sua organização. Outros exemplos de formulários que você pode carregar incluem:

  • Formulários governamentais
  • Formulários compatíveis com a Lei americana HIPAA (Health Insurance Portability Accountability Act, Lei de responsabilidade sobre portabilidade de seguro saúde)
  • Formulários de informação sobre funcionários para departamentos de Recursos Humanos
  • Formulários personalizados criados especificamente para sua organização

Idealmente, sua organização já tem uma prática comercial estabelecida sobre o uso de determinados formulários para transmitir informações confidenciais. Para habilitar a detecção, carregue um formulário vazio para ser convertido em uma impressão digital do documento. Em seguida, configure uma política correspondente. Depois de concluir essas etapas, o DLP detectará todos os documentos no email de saída que correspondam a essa impressão digital.

Como funciona a impressão digital do documento

Você provavelmente já adivinhou que os documentos não têm impressões digitais reais, mas o nome ajuda a explicar o recurso. Da mesma maneira que as impressões digitais de uma pessoa têm padrões exclusivos, os documentos têm padrões de palavra exclusivos. Quando você carrega um arquivo, o DLP identifica o padrão de palavra exclusivo no documento, cria uma impressão digital do documento com base nesse padrão e usa essa impressão digital do documento para detectar documentos de saída que contêm o mesmo padrão. É por isso que o carregamento de um formulário ou de um modelo cria o tipo mais eficaz de impressão digital de documento. Todos que preenchem um formulário usam o mesmo conjunto original de palavras e adicionam suas próprias palavras ao documento. Se o documento de saída não estiver protegido por senha e contiver todo o texto do formulário original, o DLP poderá determinar se o documento corresponde à impressão digital do documento.

Diagrama da impressão digital do documento.

O modelo de patente contém os campos em branco "Título de patente", "Inventores" e "Descrição", juntamente com descrições para cada um desses campos — esse é o padrão de palavra. Quando você carrega o modelo de patente original, ele está em um dos tipos de arquivo com suporte e em texto simples. O DLP converte esse padrão de palavra em uma impressão digital do documento, que é um pequeno arquivo XML unicode que contém um valor de hash exclusivo que representa o texto original. A impressão digital é salva como uma classificação de dados no Active Directory. (Como medida de segurança, o documento original em si não é armazenado no serviço; somente o valor de hash é armazenado. O documento original não pode ser reconstruído a partir do valor de hash.) A impressão digital da patente se torna uma SIT que você pode associar a uma política DLP. Depois de associar a impressão digital a uma política DLP, o DLP detecta quaisquer emails de saída que contenham conteúdo que corresponda à impressão digital da patente e lida com ela de acordo com a política da sua organização.

Por exemplo, se você configurar uma política DLP que impede que funcionários regulares enviem mensagens de saída contendo patentes, o DLP usará a impressão digital da patente para detectar patentes e bloquear esses emails. Como alternativa, você pode querer permitir que seu departamento jurídico seja capaz de enviar patentes para outras organizações porque ele tem uma necessidade de negócios para fazê-lo. Para permitir que departamentos específicos enviem informações confidenciais, crie exceções para esses departamentos em sua política DLP. Como alternativa, você pode permitir que eles substituam uma dica de política com uma justificativa comercial.

Importante

O texto em documentos inseridos não é considerado para criação de impressões digitais. Você precisa fornecer arquivos de modelo de exemplo que não contêm documentos inseridos.

Tipos de arquivo compatíveis

A impressão digital do documento dá suporte aos mesmos tipos de arquivo com suporte nas regras de fluxo de email (também conhecidas como regras de transporte). Para obter uma lista de tipos de arquivo com suporte, consulte Tipos de arquivo com suporte para inspeção de conteúdo de regra de fluxo de email. Uma observação rápida sobre tipos de arquivo: nem regras de fluxo de email nem impressão digital de documento dão suporte ao tipo de arquivo .dotx, que é um arquivo de modelo no Microsoft Word. Quando você vê a palavra "modelo" neste e em outros artigos de impressão digital do documento, ela se refere a um documento que você estabeleceu como um formulário padrão, não ao tipo de arquivo de modelo.

Limitações da impressão digital de documento

A impressão digital do documento não detecta informações confidenciais nos seguintes casos:

  • Arquivos protegidos por senha
  • Arquivos que contêm apenas imagens
  • Documentos que não contenham todo o texto do formulário original usado para criar a impressão digital de documento
  • Arquivos maiores que 4 MB

Observação

Para usar a impressão digital do documento com dispositivos, a verificação e a proteção de classificação avançadas devem ser ativadas.

As impressões digitais são armazenadas em um pacote de regras separado. Esse pacote de regras tem um limite de tamanho máximo de 150 KB. Dado esse limite, você pode criar aproximadamente 50 impressões digitais por locatário.

Os exemplos a seguir mostram o que acontece se você criar uma impressão digital de documento com base em um modelo de patente. No entanto, você pode usar qualquer formulário como base para criar uma impressão digital do documento.

Exemplo de portal de conformidade de um documento de patente que corresponde a uma impressão digital de documento de um modelo de patente

  1. No portal de conformidade do Microsoft Purview, selecione Classificação de dados e escolha Classificadores.
  2. Na página Classificadores, escolha Tipos> de informações confidenciaisCrie SIT baseado em impressão digital.
  3. Insira um nome e uma descrição para seu novo SIT.
  4. Carregue o arquivo que você deseja usar como modelo de impressão digital.
  5. OPCIONAL: ajuste os requisitos para cada nível de confiança e escolha Avançar. Para obter mais informações, consulte Correspondência parcial e correspondência exata.
  6. Examine suas configurações >Criar.
  7. Quando a página de confirmação for exibida, escolha Concluído.

Exemplo do PowerShell de um documento de patente que corresponde a uma impressão digital de documento de um modelo de patente

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Correspondência parcial

Para configurar a correspondência parcial de uma impressão digital do documento, ao configurar o nível de confiança, escolha Baixo, Médio ou Alto e designe quanto do texto no arquivo deve corresponder à impressão digital em termos de um percentual entre 30% e 90%.

Um alto nível de confiança retorna o menor número de falsos positivos, mas pode resultar em mais falsos negativos. Níveis de confiança baixos ou médios retornam mais falsos positivos, mas poucos a zero falsos negativos.

  • baixa confiança: os itens correspondentes conterão o menor número de falsos negativos, mas os mais falsos positivos. A baixa confiança retorna todas as correspondências de baixa, média e alta confiança.
  • confiança média: os itens correspondentes conterão um número médio de falsos positivos e falsos negativos. A confiança média retorna todas as correspondências de média e alta confiança.
  • alta confiança: os itens correspondentes conterão o menor número de falsos positivos, mas os negativos mais falsos.

Correspondência exata

Para configurar a correspondência exata de uma impressão digital do documento, selecione Exato como o valor para o alto nível de confiança. Quando você define o alto nível de confiança como Exato, somente arquivos que têm exatamente o mesmo texto que a impressão digital serão detectados. Se o arquivo tiver mesmo um pequeno desvio da impressão digital, ele não será detectado.

Já está usando SITs de impressão digital?

Suas impressões digitais e políticas/regras existentes para essas impressões digitais devem continuar funcionando. Se você não quiser usar os recursos de impressão digital mais recentes, não precisará fazer nada.

Se você tiver uma licença E5 e quiser usar os recursos de impressão digital mais recentes, poderá criar uma nova impressão digital ou migrar uma política para a versão mais recente.

Observação

Não há suporte para criar novas impressões digitais usando os modelos nos quais uma impressão digital já existe.

Criar uma nova política usando sua impressão digital SIT usando o portal de conformidade

  1. No portal de conformidade do Microsoft Purview, selecionePolíticas> de prevenção> contra perda de dadosTipos> de informações confidenciais+ Criar política>Personalizada para criar uma nova política.
  2. Selecione sua região ou país >Próximo.
  3. Nomeie sua política e forneça uma descrição >Avançar.
  4. Na página Atribuir unidades de administrador , escolha entre essas duas opções:
    • Aplique a política a todos os usuários e grupos >Avançar.
      Ou
    • Adicione usuários e grupos específicos que você deseja estar sujeito à política >Avançar.
  5. Selecione os locais em que você deseja que a política seja aplicada >Em seguida.
  6. Na página Definir configurações de política, escolha Criar personalizar regras> de DLP avançadasEm seguida.
  7. Na página Personalizar regras DLP avançadas , escolha Criar regra.
  8. Insira um nome e uma descrição para sua regra.
  9. Em Condições , escolha Adicionar condição>que o conteúdo contém.
  10. Forneça ao novo conjunto de regras DLP um nome de grupo>Adicionar>tipos de informações confidenciais.
  11. Pesquise e selecione o nome da sua impressão digital SIT >Add.
  12. Selecione seu nível >de confiança Adicionar uma ação.
  13. Selecione a ação a ser executada quando a regra for disparada e especifique os detalhes > da ação Salvar>Próximo.
  14. Escolha entre essas duas opções:
    • Teste sua política >Avançar.
      Ou
    • ative sua política imediatamente >Em seguida.
  15. Examine suas configurações >Enviar>Concluído.

Criar um tipo de informação confidencial personalizado com base na impressão digital do documento usando o PowerShell

Atualmente, você pode criar uma impressão digital de documento somente no PowerShell de Conformidade do & de Segurança.

O DLP usa tipos de informações confidenciais (SIT) para detectar conteúdo confidencial. Para criar um SIT personalizado com base em uma impressão digital do documento, use o cmdlet New-DlpSensitiveInformationType . O exemplo a seguir cria uma nova impressão digital de documento chamada "Contoso Customer Confidential" com base no arquivo C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Por fim, adicione o tipo de informações confidenciais "Contoso Customer Confidential" a uma política DLP no portal de conformidade do Microsoft Purview. Este exemplo adiciona uma regra a uma política DLP existente, chamada "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Você também pode usar o SIT de impressão digital nas regras de fluxo de email no Exchange, conforme mostrado no exemplo a seguir. Para executar esse comando, primeiro você precisa se conectar ao Exchange PowerShell. Observe também que leva tempo para que os SITs sincronizem do portal de conformidade do Microsoft Purview para o centro de administração do Exchange.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

O DLP agora detecta documentos que correspondem à impressão digital do documento contoso Customer Form.docx.

Para obter informações sobre sintaxe e parâmetro, consulte:

Editar, testar ou excluir uma impressão digital do documento

Para fazer isso por meio da interface do usuário, abra a impressão digital SIT que você deseja editar, testar ou excluir e escolha o ícone apropriado.

Para fazer isso por meio do PowerShell, execute os seguintes comandos.

Editar uma impressão digital do documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testar uma impressão digital do documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Excluir uma impressão digital do documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migrar uma nova política usando sua impressão digital SIT usando o portal de conformidade

  1. No portal de conformidade do Microsoft Purview, selecionePolíticas> de prevenção> contra perda dedados Tipos de informações confidenciais.
  2. Abra o SIT que contém a impressão digital que você deseja migrar.
  3. Escolha Editar.
  4. Carregue o mesmo arquivo de impressão digital novamente.
  5. Examine as configurações de impressão digital Concluídas>.

Migrar uma impressão digital usando o PowerShell

Insira o seguinte comando:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"