Erkennen sensibler Informationsdokumente mit Erstellen eines digitalen Dokumentfingerabdrucks

  • 5 Minuten

Informationsarbeiter in einer Organisation verarbeiten an einem typischen Tag viele Arten von sensiblen Informationen. Im Microsoft Purview-Complianceportal erleichtert Erstellen eines digitalen Dokumentfingerabdrucks einem Unternehmen den Schutz dieser Informationen. Dies geschieht durch die Identifizierung von Standardformularen, die eine Organisation verwendet.

In dieser Einheit werden die Konzepte zum Erstellen eines digitalen Dokumentfingerabdrucks untersucht. Außerdem wird erläutert, wie ein Dokument-Fingerabdruck mithilfe von Windows PowerShell erstellt werden kann.

Grundlegendes Szenario für Dokumentfingerabdrücke

Erstellen eines digitalen Dokumentfingerabdrucks ist eine Microsoft Purview Data Loss Prevention-Funktion (DLP). Es wandelt ein Standardformular in eine sensible Informationsart um. Eine Organisation kann diesen Informationstyp dann in ihren DLP-Richtlinien verwenden. Eine Organisation kann zum Beispiel die folgenden Schritte durchführen:

  1. Erstellen Sie einen Dokumenten-Fingerabdruck auf der Grundlage einer leeren Patentvorlage.
  2. Erstellen Sie eine DLP-Richtlinie, die alle ausgehenden Patentvorlagen mit sensiblen Inhalten erkennt und blockiert.
  3. Richten Sie optional Richtlinienhinweise ein, um Absender zu benachrichtigen, dass sie möglicherweise sensible Informationen senden. Jeder Absender, der den Richtlinientipp erhält, sollte sich vergewissern, dass die Empfänger die Erlaubnis haben, die Patente zu empfangen.

Dieser Prozess funktioniert mit allen textbasierten Formularen, die in einer Organisation verwendet werden. Weitere Beispiele für Formulare, die eine Organisation hochladen kann, sind:

  • Regierungsformulare
  • HIPAA (Health Insurance Portability and Accountability Act)-kompatible Formulare
  • Formulare mit Mitarbeiterinformationen für die Personalabteilung
  • Speziell für eine Organisation erstellte Formulare

Betrachten wir das folgende Beispiel. Bei Contoso ist es bereits gängige Geschäftspraxis, bestimmte Formulare zur Übermittlung sensibler Informationen zu verwenden. Contoso beginnt mit dem Hochladen eines leeren Formulars, das später in einen Dokumentenfingerabdruck umgewandelt wird. Nach der Erstellung des Dokument-Fingerabdrucks erstellt Contoso eine neue Datenklassifizierungsregel. Diese Regel verwendet den Fingerabdruck des Dokuments, den sie zuvor erstellt hat. Contoso richtet dann eine entsprechende DLP-Richtlinie ein und fügt die Regel zu dieser Richtlinie hinzu. Da der Dokumenten-Fingerabdruck nun einer DLP-Richtlinie zugewiesen ist, erkennt der DLP-Dienst alle Dokumente in der ausgehenden Post, die diesem Fingerabdruck entsprechen.

Funktionsweise von Dokumentfingerabdrücken

Wir alle wissen, dass es auf Dokumenten keine echten Fingerabdrücke gibt. Der Name "Erstellen eines digitalen Dokumentfingerabdrucks" hilft jedoch, die Funktion zu erklären. Genauso, wie der Fingerabdruck eines Menschen einzigartige Muster hat, haben Dokumente eine einzigartige Wortstruktur. Wenn ein Unternehmen eine Datei hochlädt, wird Microsoft Purview DLP:

  1. Identifiziert das eindeutige Wortmuster im Dokument.
  2. Erstellt einen Dokumentenfingerabdruck auf der Grundlage dieses Musters.
  3. Verwendet diesen Dokumenten-Fingerabdruck, um ausgehende Dokumente zu erkennen, die das gleiche Muster enthalten.

Dieser Prozess zeigt, warum das Hochladen eines Formulars oder einer Vorlage die effektivste Art von Dokumenten-Fingerabdruck erzeugt. Jeder, der ein Formular ausfüllt, verwendet denselben ursprünglichen Satz von Wörtern. Anschließend fügen sie dem Dokument ihre eigenen Worte hinzu. Wenn das ausgehende Dokument den gesamten Text des Originalformulars enthält und nicht kennwortgeschützt ist, kann DLP feststellen, ob es mit dem Fingerabdruck des Dokuments übereinstimmt.

Wichtig

Zurzeit kann DLP nur Erstellen eines digitalen Dokumentfingerabdrucks als Erkennungsmethode in Exchange Online verwenden.

Unternehmen können jedes beliebige Formular als Grundlage für die Erstellung eines Dokumenten-Fingerabdrucks verwenden. Das folgende Beispiel zeigt, was passiert, wenn Sie einen Dokumentenfingerabdruck auf der Grundlage einer Patentvorlage erstellen.

eines Patentdokuments im Vergleich zum Dokumentenfingerabdruck einer Patentvorlage.

Die Patentvorlage enthält die leeren Felder "Patenttitel", "Erfinder" und "Beschreibung" sowie Beschreibungen für jedes dieser Felder -das ist das Wortmuster. Die ursprüngliche Patentvorlage sollte in einem der unterstützten Dateitypen und im Klartext vorliegen. Wenn die Organisation die Patentvorlage hochlädt:

  1. DLP wandelt dieses Wortmuster in einen Dokumenten-Fingerabdruck um. Der Fingerabdruck ist eine kleine Unicode-XML-Datei, die einen eindeutigen Hash-Wert enthält, der den Originaltext darstellt.

  2. Die Organisation speichert den Patent-Fingerabdruck als Datenklassifizierung in Active Directory.

    Hinweis

    Als Sicherheitsmaßnahme speichert das System nicht das Originaldokument selbst auf dem Dienst, sondern nur den Hash-Wert. Das System kann das Originaldokument nicht aus dem Hashwert rekonstruieren.

  3. Der Patent-Fingerabdruck wird dann zu einem sensiblen Informationstyp, den das Unternehmen mit einer DLP-Richtlinie verknüpfen kann.

  4. Nachdem das Unternehmen den Fingerabdruck mit einer DLP-Richtlinie verknüpft hat, erkennt DLP alle ausgehenden E-Mails, die Dokumente enthalten, die dem Patentfingerabdruck entsprechen. Sie behandelt sie dann gemäß den Richtlinien der Organisation.

Angenommen, Sie möchten eine DLP-Richtlinie einrichten, die verhindert, dass reguläre Mitarbeiter ausgehende Nachrichten mit Patenten versenden. DLP verwendet den Patent-Fingerabdruck, um Patente zu erkennen und diese E-Mails zu blockieren. Alternativ können Sie Ihrer Rechtsabteilung gestatten, Patente an andere Organisationen zu senden, weil sie dafür eine geschäftliche Notwendigkeit hat. Sie können bestimmten Abteilungen den Versand sensibler Informationen erlauben, indem Sie in Ihrer DLP-Richtlinie Ausnahmen für diese Abteilungen festlegen. Oder Sie können ihnen erlauben, einen Richtlinienhinweis mit einer geschäftlichen Begründung außer Kraft zu setzen.

Unterstützte Dateitypen

Erstellen eines digitalen Dokumentfingerabdrucks unterstützt dieselben Dateitypen, die auch von den Mailflow-Regeln (auch als Transportregeln bekannt) unterstützt werden. Eine Liste der unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen für die Inhaltsprüfung von Mailflow-Regeln.

Hinweis

Nachrichtenflussregeln und Erstellen eines digitalen Dokumentfingerabdrucks unterstützen den Dateityp .dotx nicht. Diese Situation kann verwirrend sein, da .dotx eine Vorlagendatei in Word ist. Wenn Sie in dieser Einheit das Wort "Vorlage" sehen, bezieht es sich auf ein Dokument, das eine Organisation als Standardformular festgelegt hat, und nicht auf den Dateityp der Vorlage.

In den folgenden Fällen erkennt Erstellen eines digitalen Dokumentfingerabdrucks keine sensiblen Informationen:

  • Kennwortgeschützte Dateien.
  • Dateien, die nur Bilder enthalten.
  • Dokumente, die nicht den gesamten Text des Originalformulars enthalten, das zur Erstellung des Dokumenten-Fingerabdrucks verwendet wurde.
  • Dateien größer als 10 MB.

Verwenden Sie PowerShell, um ein Klassifizierungsregelpaket auf der Grundlage von Erstellen eines digitalen Dokumentfingerabdrucks zu erstellen

Derzeit können Sie einen Dokumentfingerabdruck nur mit dem Security & Compliance PowerShell-Modul erstellen.

DLP verwendet Klassifizierungsregelpakete, um sensible Inhalte zu erkennen. Verwenden Sie die Cmdlets New-DlpFingerprint und New-DlpSensitiveInformationType, um ein Klassifizierungsregelpaket auf der Grundlage eines Dokumentenfingerabdrucks zu erstellen.

Hinweis

Da das System die Ergebnisse von New-DlpFingerprint nicht außerhalb der Datenklassifizierungsregel speichert, müssen Sie New-DlpFingerprint und New-DlpSensitiveInformationType oder Set-DlpSensitiveInformationType immer in der gleichen PowerShell-Sitzung ausführen.

Gehen wir ein Beispiel durch, das zeigt, wie man ein Klassifizierungsregelpaket auf der Grundlage von Erstellen eines digitalen Dokumentfingerabdrucks erstellt.

  1. In diesem Beispiel erstellen Sie einen neuen Dokument-Fingerabdruck auf der Grundlage der Datei C:\Meine Dokumente\Contoso Mitarbeitervorlage.docx. Sie speichern den neuen Fingerabdruck als Variable, damit Sie ihn mit dem Cmdlet New-DlpSensitiveInformationType in derselben PowerShell-Sitzung verwenden können.

    $Employee_Template = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx'))

$Employee_Fingerprint = New-DlpFingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

  2. Nachdem Sie den Dokumenten-Fingerabdruck erstellt haben, sollten Sie eine neue Datenklassifizierungsregel erstellen. Für dieses Beispiel nennen wir es Contoso Mitarbeiter vertraulich. Diese Regel verwendet den Dokumentfingerabdruck der Datei C:\Meine Dokumente\Contoso Kundeninformationsformular.docx.

    $Customer_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx'))

$Customer_Fingerprint = New-DlpFingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."

  3. Sie können nun das Cmdlet Get-DlpSensitiveInformationType verwenden, um alle DLP-Datenklassifizierungsregelpakete zu finden. In diesem Beispiel ist Contoso Customer Confidential Teil der Liste der Datenklassifizierungsregelpakete. Anschließend fügen Sie das Datenklassifizierungsregelpaket Contoso Customer Confidential zu einer DLP-Richtlinie hinzu. Sie können diesen Schritt zwar im Microsoft Purview-Complianceportal durchführen, aber in diesem Beispiel wird eine Regel zu einer bestehenden DLP-Richtlinie mit dem Namen ConfidentialPolicy hinzugefügt.

    New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

  4. Sie können das Datenklassifizierungsregelpaket auch in Mailflow-Regeln in Exchange Online verwenden. Um diesen Befehl auszuführen, müssen Sie zunächst eine Verbindung zu Exchange Online PowerShell herstellen. Denken Sie daran, dass es einige Zeit dauert, bis das Regelpaket vom Microsoft Purview-Complianceportal mit dem Exchange Admin Center synchronisiert ist.

    New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

Microsoft Purview Data Loss Prevention erkennt jetzt Dokumente, die dem Dokumentfingerabdruck Contoso Customer Form.docx entsprechen.