Creación de huella digital de documento

La huella digital de documentos es una característica de Microsoft Purview que toma un formato estándar que se proporciona y crea un tipo de información confidencial (SIT) basado en ese formulario. La huella digital de documentos facilita la protección de la información confidencial mediante la identificación de formularios estándar que se usan en toda la organización. En este artículo se describen los conceptos subyacentes a la huella digital de documentos y cómo crear una huella digital de documento mediante la interfaz de usuario o mediante PowerShell.

La huella digital de documentos incluye las siguientes ventajas:

• Los SIT creados a partir de la huella digital de documentos se pueden usar como método de detección en las directivas DLP con ámbito de Exchange, SharePoint, OneDrive, Teams y Dispositivos.
• El etiquetado automático de MIP puede usar la huella digital de documentos como método de detección en Exchange, SharePoint y OneDrive.
• Las características de huella digital del documento se pueden administrar a través de la interfaz de usuario de Microsoft Purview.
• Se admite la coincidencia parcial .
• Se admite la coincidencia exacta .
• Precisión de detección mejorada
• Compatibilidad con la detección en varios idiomas, incluidos los idiomas de doble byte, como chino, japonés y coreano.

Importante

Si es cliente de E5, se recomienda actualizar las huellas digitales existentes para aprovechar el conjunto de características de huella digital completa del documento. Si es cliente de E3, se recomienda actualizar a una licencia E5. Si decide no hacerlo, no podrá modificar las huellas digitales existentes ni crear otras nuevas después de abril de 2023.

Escenario básico para la huella digital de documentos

Como se mencionó, la característica de huella digital del documento convierte una forma estándar de información en un tipo de información confidencial (SIT), que puede usar en las reglas de las directivas DLP. Por ejemplo, puede crear una huella digital de documento con base en una plantilla de patente en blanco y después crear una directiva DLP que detecte y bloquee todas las plantillas de patente salientes que incluyan contenido confidencial. Opcionalmente, puede configurar sugerencias de directiva para notificar a los remitentes que podrían enviar información confidencial y que el remitente debe comprobar que los destinatarios están calificados para recibir las patentes. Este proceso funciona con cualquier formulario basado en texto que se use en la organización. Otros ejemplos de formularios que puede cargar incluyen:

• Formularios de gobierno
• Formularios de cumplimiento de Health Insurance Portability and Accountability Act (HIPAA)
• Formularios de información sobre empleados para los departamentos de recursos humanos
• Formularios personalizados creados específicamente para la organización

Idealmente, la organización ya tiene una práctica de negocios establecida sobre el uso de determinados formularios para transmitir información confidencial. Para habilitar la detección, cargue un formulario vacío para convertirlo en una huella digital del documento. A continuación, configure una directiva correspondiente. Una vez completados estos pasos, DLP detecta cualquier documento en el correo saliente que coincida con esa huella digital.

Para obtener más información sobre el diseño de una directiva DLP, vea Diseñar una directiva de prevención de pérdida de datos.

Para obtener más información sobre cómo crear e implementar una directiva DLP, consulte Creación e implementación de directivas de prevención de pérdida de datos.

Funcionamiento de la huella digital de documentos

Sabe que los documentos no tienen huellas digitales reales, pero el nombre ayuda a explicar la característica. De la misma manera que las huellas digitales de una persona tienen patrones únicos, los formularios usados con frecuencia (plantillas) pueden tener patrones de palabras que son únicos para ellos. Puede usar sit basado en este patrón para detectar archivos creados con la misma plantilla. Por este motivo, la carga de un formulario o plantilla crea el tipo más eficaz de huella digital del documento. Todos los usuarios que rellenan un formulario usan el mismo conjunto original de palabras y, a continuación, agregan sus propias palabras al documento. Los documentos que se van a examinar no se pueden proteger con contraseña y deben contener todo el texto del formulario original.

La plantilla de patente contiene los campos en blanco Título de patente, Inventores y Descripción, junto con descripciones para cada uno de esos campos, que es el patrón de palabra. Al cargar la plantilla de patente original, se encuentra en uno de los tipos de archivo admitidos y en texto sin formato. MIcrosoft Purview convierte este patrón de palabra en una huella digital del documento, que es un pequeño archivo XML Unicode que contiene un valor hash único que representa el texto original. Como medida de seguridad, el propio documento original no se almacena; solo se almacena el valor hash. El documento original no se puede reconstruir a partir del valor hash. La huella digital de patente se representa en una SIT que puede usar como condición en una directiva DLP.

Por ejemplo, si configura una directiva DLP que impide que los empleados regulares envíen mensajes salientes que contengan patentes, DLP usa la huella digital de patente SIT para detectar patentes y bloquear esos correos electrónicos. Como alternativa, es posible que quiera permitir que su departamento legal pueda enviar patentes a otras organizaciones porque tiene una necesidad empresarial para hacerlo. Para permitir que determinados departamentos envíen información confidencial, cree excepciones para esos departamentos en la directiva DLP. Como alternativa, puede permitirles invalidar una sugerencia de directiva con una justificación empresarial.

Importante

El texto de los documentos incrustados no se considera para la creación de huellas digitales. Debe proporcionar archivos de plantilla de ejemplo que no contengan documentos incrustados.

Limitaciones de la creación de huella digital de documento

La huella digital del documento no detecta información confidencial en los casos siguientes:

• Archivos protegidos por contraseña
• Archivos que solo contienen imágenes
• Documentos que no contienen todo el texto del formulario original utilizado para crear la huella digital de documento
• Archivos de más de 4 MB

Nota:

Para usar la huella digital de documentos con dispositivos, se debe activar el examen de clasificación avanzada y la protección .

Las huellas digitales se almacenan en un paquete de reglas independiente. Este paquete de reglas tiene un límite de tamaño máximo de 150 KB. Dado este límite, puede crear aproximadamente 50 huellas digitales por inquilino.

Nota:

La plantilla usada para crear una huella digital debe tener al menos 4096 caracteres. La longitud de texto extraída admitida para la plantilla de huella digital debe tener entre 4.096 y 204.800 caracteres.

En los ejemplos siguientes se muestra lo que sucede si crea una huella digital de documento basada en una plantilla de patente. Sin embargo, puede usar cualquier formulario como base para crear una huella digital del documento.

Ejemplo: Creación de un documento de patente que coincida con la huella digital del documento de una plantilla de patente

Seleccione la pestaña adecuada para el portal que está usando. En función de su plan de Microsoft 365, el portal de cumplimiento Microsoft Purview se retirará o se retirará pronto.

Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. En el portal de Microsoft Purview, vaya a Prevención de pérdida de datos o Information Protection> Tipos deinformación confidencialdeClassifiers>.
2. En la página Tipos de información confidencial , elija + Crear sit basado en huellas digitales.
3. Escriba un nombre y una descripción para el nuevo SIT.
4. Cargue el archivo que desea usar como plantilla de huella digital.
5. OPCIONAL: ajuste los requisitos para cada nivel de confianza. (Para obtener más información, vea Coincidencia parcial y Coincidencia exacta).
6. Elija Siguiente.
7. Revise la configuración y, a continuación, elija Crear.
8. Cuando se muestre la página de confirmación, elija Listo.

Portal de cumplimiento

1. En el portal de cumplimiento, seleccione Clasificación de datos y, a continuación, elija Clasificadores.
2. En la página Clasificadores, elija Tipos de información> confidencialCrear sit basado en huellas digitales.
3. Escriba un nombre y una descripción para el nuevo SIT.
4. Cargue el archivo que desea usar como plantilla de huella digital.
5. OPCIONAL: ajuste los requisitos para cada nivel de confianza. (Para obtener más información, vea Coincidencia parcial y Coincidencia exacta).
6. Elija Siguiente.
7. Revise la configuración >Crear.
8. Cuando se muestre la página de confirmación, elija Listo.

Ejemplo de PowerShell de un documento de patente que coincide con una huella digital de documento de una plantilla de patente

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Coincidencia parcial

Para configurar la coincidencia parcial de una huella digital del documento, al establecer las opciones de configuración durante la carga de la plantilla, establezca el nivel de confianza, elija Bajo, Medio o Alto y designe cuánto texto del archivo debe coincidir con la huella digital en términos de un porcentaje entre el 30 % y el 90 %.

Un nivel de confianza alto devuelve el menor número de falsos positivos, pero podría dar lugar a más falsos negativos. Los niveles de confianza bajo o medio devuelven más falsos positivos, pero pocos a cero falsos negativos.

• baja confianza: los elementos coincidentes contienen el menor número de falsos negativos, pero los más falsos positivos. La confianza baja devuelve todas las coincidencias de confianza baja, media y alta.
• confianza media: los elementos coincidentes contienen un número promedio de falsos positivos y falsos negativos. La confianza media devuelve todas las coincidencias de confianza media y alta.
• alta confianza: los elementos coincidentes contienen el menor número de falsos positivos, pero los más falsos negativos.

Coincidencia exacta

Para configurar la coincidencia exacta de una huella digital del documento, seleccione Exacto como valor para el nivel de confianza alto. Al establecer el nivel de confianza alto en Exacto, solo se detectan los archivos que tienen exactamente el mismo texto que la huella digital. Si el archivo tiene incluso una pequeña desviación de la huella digital, no se detectará.

¿Ya usa los SIT de huellas digitales?

Las huellas digitales y las directivas o reglas existentes para esas huellas digitales deben seguir funcionando. Si no desea usar las características de huellas digitales más recientes, no tiene que hacer nada.

Si tiene una licencia E5 y desea usar las características de huella digital más recientes, tiene dos opciones:

• Cree una nueva huella digital.
• migrar una directiva a la versión más reciente.

Nota:

No se admite la creación de nuevas huellas digitales mediante las plantillas en las que ya existe una huella digital.

Creación de un tipo de información confidencial personalizado basado en la huella digital de documentos mediante PowerShell

Actualmente, solo puede crear una huella digital del documento en PowerShell de cumplimiento de seguridad &.

Para crear una SIT personalizada basada en una huella digital del documento, use el cmdlet New-DlpSensitiveInformationType . En el ejemplo siguiente se crea una nueva huella digital de documento denominada "Contoso Customer Confidential" basada en el archivo C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Por último, agregue el tipo de información confidencial "Contoso Customer Confidential" a una directiva DLP en el portal de cumplimiento Microsoft Purview. En este ejemplo se agrega una regla a una directiva DLP existente, denominada "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

También puede usar sit de huella digital en las reglas de flujo de correo en Exchange, como se muestra en el ejemplo siguiente. Para ejecutar este comando, primero debe conectarse a Exchange PowerShell. Además, tenga en cuenta que los SIT tardan tiempo en sincronizarse con el Centro de administración de Exchange.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP ahora puede detectar documentos que coincidan con la huella digital del documento Form.docx cliente de Contoso.

Para obtener información sobre la sintaxis y los parámetros, consulte:

• New-DlpFingerprint
• New-DlpSensitiveInformationType
• Remove-DlpSensitiveInformationType
• Set-DlpSensitiveInformationType
• Get-DlpSensitiveInformationType

Edición, prueba o eliminación de una huella digital de documento

Para ello en el portal de Microsoft Purview, abra la huella digital SIT que desea editar, probar o eliminar y elija el icono adecuado.

Para ello a través de PowerShell, ejecute los siguientes comandos:

Edición de una huella digital del documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Prueba de una huella digital del documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Eliminación de una huella digital del documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migración de una huella digital sit existente a un a través del portal de Microsoft Purview

1. Abra el portal > de Microsoft Purview Information Protection> Tipos deinformación confidencialdeClassifiers>.
2. Abra el SIT que contiene la huella digital que desea migrar.
3. Elija Editar.
4. Vuelva a cargar el mismo archivo de huella digital.
5. Revise la configuración de > huellas digitales Finalizada.

Migración de una huella digital mediante PowerShell

Escriba el siguiente comando:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"