Compartir vía


Creación de huella digital de documento

La huella digital de documentos es una característica de Prevención de pérdida de datos de Microsoft Purview (DLP) que convierte un formulario estándar en un tipo de información confidencial (SIT), que puede usar en las reglas de las directivas DLP.

La huella digital de documentos facilita la protección de la información confidencial mediante la identificación de formularios estándar que se usan en toda la organización. En este artículo se describen los conceptos subyacentes a la huella digital de documentos y cómo crear una huella digital de documento mediante la interfaz de usuario o mediante PowerShell.

La huella digital de documentos incluye las siguientes ventajas:

  • DLP puede usar la huella digital de documentos como método de detección en Exchange, SharePoint, OneDrive, Teams y Dispositivos.
  • Las características de huella digital del documento se pueden administrar a través de la interfaz de usuario de Microsoft Purview.
  • Se admite la coincidencia parcial .
  • Se admite la coincidencia exacta .
  • Precisión de detección mejorada
  • Compatibilidad con la detección en varios idiomas, incluidos los idiomas de doble byte, como chino, japonés y coreano.

Importante

Si es cliente de E5, se recomienda actualizar las huellas digitales existentes para aprovechar el conjunto de características de huella digital completa del documento. Si es cliente de E3, se recomienda actualizar a una licencia E5. Si decide no hacerlo, no podrá modificar las huellas digitales existentes ni crear otras nuevas después de abril de 2023.

Escenario básico para la huella digital de documentos

Como se mencionó, la característica de huella digital del documento convierte una forma estándar de información en un tipo de información confidencial (SIT), que puede usar en las reglas de las directivas DLP. Por ejemplo, puede crear una huella digital de documento con base en una plantilla de patente en blanco y después crear una directiva DLP que detecte y bloquee todas las plantillas de patente salientes que incluyan contenido confidencial. Opcionalmente, puede configurar sugerencias de directiva para notificar a los remitentes que podrían enviar información confidencial y que el remitente debe comprobar que los destinatarios están calificados para recibir las patentes. Este proceso funciona con cualquier formulario basado en texto que se use en la organización. Otros ejemplos de formularios que puede cargar incluyen:

  • Formularios de gobierno
  • Formularios de cumplimiento de Health Insurance Portability and Accountability Act (HIPAA)
  • Formularios de información sobre empleados para los departamentos de recursos humanos
  • Formularios personalizados creados específicamente para la organización

Idealmente, la organización ya tiene una práctica de negocios establecida sobre el uso de determinados formularios para transmitir información confidencial. Para habilitar la detección, cargue un formulario vacío para convertirlo en una huella digital del documento. A continuación, configure una directiva correspondiente. Una vez completados estos pasos, DLP detecta cualquier documento en el correo saliente que coincida con esa huella digital.

Funcionamiento de la huella digital de documentos

Probablemente sepa que los documentos no tienen huellas digitales reales, pero el nombre ayuda a explicar la característica. De la misma manera que las huellas digitales de una persona tienen patrones únicos, los documentos tienen patrones de palabras únicos. Al cargar un archivo, DLP identifica el patrón de palabra único en el documento, crea una huella digital del documento basada en ese patrón y usa esa huella digital del documento para detectar documentos salientes que contienen el mismo patrón. Por este motivo, la carga de un formulario o plantilla crea el tipo más eficaz de huella digital del documento. Todos los usuarios que rellenan un formulario usan el mismo conjunto original de palabras y, a continuación, agregan sus propias palabras al documento. Si el documento saliente no está protegido con contraseña y contiene todo el texto del formulario original, DLP puede determinar si el documento coincide con la huella digital del documento.

Diagrama de huellas digitales de documentos.

La plantilla de patente contiene los campos en blanco Título de patente, Inventores y Descripción, junto con descripciones para cada uno de esos campos, que es el patrón de palabra. Al cargar la plantilla de patente original, se encuentra en uno de los tipos de archivo admitidos y en texto sin formato. DLP convierte este patrón de palabra en una huella digital del documento, que es un pequeño archivo XML Unicode que contiene un valor hash único que representa el texto original. La huella digital se guarda como una clasificación de datos en Active Directory. (Como medida de seguridad, el propio documento original no se almacena en el servicio; solo se almacena el valor hash. El documento original no se puede reconstruir a partir del valor hash). A continuación, la huella digital de la patente se convierte en una SIT que puede asociar a una directiva DLP. Después de asociar la huella digital a una directiva DLP, DLP detecta los correos electrónicos salientes que contienen contenido que coincida con la huella digital de la patente y se ocupa de ella según la directiva de su organización.

Por ejemplo, si configura una directiva DLP que impide que los empleados normales envíen mensajes salientes que contengan patentes, DLP usa la huella digital de patente para detectar patentes y bloquear esos correos electrónicos. Como alternativa, es posible que quiera permitir que su departamento legal pueda enviar patentes a otras organizaciones porque tiene una necesidad empresarial para hacerlo. Para permitir que determinados departamentos envíen información confidencial, cree excepciones para esos departamentos en la directiva DLP. Como alternativa, puede permitirles invalidar una sugerencia de directiva con una justificación empresarial.

Importante

El texto de los documentos incrustados no se considera para la creación de huellas digitales. Debe proporcionar archivos de plantilla de ejemplo que no contengan documentos incrustados.

Tipos de archivo compatibles

La huella digital de documentos admite los mismos tipos de archivo que se admiten en las reglas de flujo de correo (también conocidas como reglas de transporte). Para obtener una lista de los tipos de archivo admitidos, consulte Tipos de archivo admitidos para la inspección del contenido de la regla de flujo de correo. Una nota rápida sobre los tipos de archivo: ni las reglas de flujo de correo ni la huella digital de documentos admiten el tipo de archivo .dotx, que es un archivo de plantilla en Microsoft Word. Cuando ve la palabra "plantilla" en este y otros artículos de huella digital de documentos, hace referencia a un documento que estableció como un formulario estándar, no al tipo de archivo de plantilla.

Limitaciones de la creación de huella digital de documento

La huella digital del documento no detecta información confidencial en los casos siguientes:

  • Archivos protegidos por contraseña
  • Archivos que solo contienen imágenes
  • Documentos que no contienen todo el texto del formulario original utilizado para crear la huella digital de documento
  • Archivos de más de 4 MB

Nota:

Para usar la huella digital de documentos con dispositivos, se debe activar el examen de clasificación avanzada y la protección .

Las huellas digitales se almacenan en un paquete de reglas independiente. Este paquete de reglas tiene un límite de tamaño máximo de 1of 150 KB. Dado este límite, puede crear aproximadamente 50 huellas digitales por inquilino.

Nota:

La plantilla usada para crear una huella digital debe tener al menos 4096 caracteres. La longitud de texto extraída admitida para la plantilla de huella digital debe tener entre 4.096 y 204.800 caracteres.

En los ejemplos siguientes se muestra lo que sucede si crea una huella digital de documento basada en una plantilla de patente. Sin embargo, puede usar cualquier formulario como base para crear una huella digital del documento.

Ejemplo: Creación de un documento de patente que coincida con la huella digital del documento de una plantilla de patente

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. En el portal de Microsoft Purview, vaya a Tipos deinformación confidencial declasificadoresde prevención> de pérdida de > datos.
  2. En la página Tipos de información confidencial , elija + Crear sit basado en huellas digitales.
  3. Escriba un nombre y una descripción para el nuevo SIT.
  4. Cargue el archivo que desea usar como plantilla de huella digital.
  5. OPCIONAL: ajuste los requisitos para cada nivel de confianza. (Para obtener más información, vea Coincidencia parcial y Coincidencia exacta).
  6. Elija Siguiente.
  7. Revise la configuración y, a continuación, elija Crear.
  8. Cuando se muestre la página de confirmación, elija Listo.

Ejemplo de PowerShell de un documento de patente que coincide con una huella digital de documento de una plantilla de patente

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Coincidencia parcial

Para configurar la coincidencia parcial de una huella digital del documento, al configurar el nivel de confianza, elija Bajo, Medio o Alto, y designe la cantidad de texto del archivo que debe coincidir con la huella digital en términos de un porcentaje entre el 30 % y el 90 %.

Un nivel de confianza alto devuelve el menor número de falsos positivos, pero podría dar lugar a más falsos negativos. Los niveles de confianza bajo o medio devuelven más falsos positivos, pero pocos a cero falsos negativos.

  • baja confianza: los elementos coincidentes contienen el menor número de falsos negativos, pero los más falsos positivos. La confianza baja devuelve todas las coincidencias de confianza baja, media y alta.
  • confianza media: los elementos coincidentes contienen un número promedio de falsos positivos y falsos negativos. La confianza media devuelve todas las coincidencias de confianza media y alta.
  • alta confianza: los elementos coincidentes contienen el menor número de falsos positivos, pero los más falsos negativos.

Coincidencia exacta

Para configurar la coincidencia exacta de una huella digital del documento, seleccione Exacto como valor para el nivel de confianza alto. Al establecer el nivel de confianza alto en Exacto, solo se detectan los archivos que tienen exactamente el mismo texto que la huella digital. Si el archivo tiene incluso una pequeña desviación de la huella digital, no se detectará.

¿Ya usa los SIT de huellas digitales?

Las huellas digitales y las directivas o reglas existentes para esas huellas digitales deben seguir funcionando. Si no desea usar las características de huellas digitales más recientes, no tiene que hacer nada.

Si tiene una licencia E5 y desea usar las características de huella digital más recientes, tiene dos opciones:

Nota:

No se admite la creación de nuevas huellas digitales mediante las plantillas en las que ya existe una huella digital.

Creación de una nueva directiva con la huella digital SIT mediante Microsoft Purview

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. En el portal de cumplimiento Microsoft Purview, vaya aDirectivas de prevención > de pérdida de datosy elija + Crear directiva.
  2. En Categoría , seleccione Personalizado y, en Reglamentos , seleccione Directiva personalizada.
  3. Elija Siguiente.
  4. Asigne un nombre a la directiva y proporcione una descripción >Siguiente.
  5. En la página Asignar unidades de administrador , elija Siguiente.
  6. Seleccione las ubicaciones donde desea aplicar la directiva y, a continuación, elija Siguiente.
  7. En la página Definir configuración de directiva , seleccione Crear o personalizar reglas DLP avanzadas y elija Siguiente.
  8. Seleccione + Crear regla.
  9. Asigne un nombre y una descripción a la regla.
  10. En Condiciones , elija Agregar condición>que contiene el contenido.
  11. Asigne al nuevo conjunto de reglas DLP un nombre> de grupoAgregar>tipos de información confidencial.
  12. Busque y seleccione el nombre de la huella digital SIT >Add.
  13. Trabaje con el resto de la herramienta de creación de reglas para configurar la regla.
  14. Seleccione Guardar.
  15. Elija Siguiente.
  16. Elija Ejecutar la directiva en modo de simulación y, a continuación, elija Siguiente.
  17. Elija Enviar y, a continuación, elija Listo.

Creación de un tipo de información confidencial personalizado basado en la huella digital de documentos mediante PowerShell

Actualmente, solo puede crear una huella digital del documento en PowerShell de cumplimiento de seguridad &.

DLP usa tipos de información confidencial (SIT) para detectar contenido confidencial. Para crear una SIT personalizada basada en una huella digital del documento, use el cmdlet New-DlpSensitiveInformationType . En el ejemplo siguiente se crea una nueva huella digital de documento denominada "Contoso Customer Confidential" basada en el archivo C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Por último, agregue el tipo de información confidencial "Contoso Customer Confidential" a una directiva DLP en el portal de cumplimiento Microsoft Purview. En este ejemplo se agrega una regla a una directiva DLP existente, denominada "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

También puede usar sit de huella digital en las reglas de flujo de correo en Exchange, como se muestra en el ejemplo siguiente. Para ejecutar este comando, primero debe conectarse a Exchange PowerShell. Además, tenga en cuenta que los SIT tardan tiempo en sincronizarse con el Centro de administración de Exchange.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP ahora detecta documentos que coinciden con la huella digital del documento Form.docx cliente de Contoso.

Para obtener información sobre la sintaxis y los parámetros, consulte:

Edición, prueba o eliminación de una huella digital de documento

Para ello a través de la interfaz de usuario, abra la huella digital SIT que desea editar, probar o eliminar y elija el icono adecuado.

Para ello a través de PowerShell, ejecute los siguientes comandos:

Edición de una huella digital del documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Prueba de una huella digital del documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Eliminación de una huella digital del documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migración de una nueva directiva mediante la huella digital SIT a través de la interfaz de usuario

  1. Vaya aClasificadores> de clasificación> de datos Tiposde información confidencial.
  2. Abra el SIT que contiene la huella digital que desea migrar.
  3. Elija Editar.
  4. Vuelva a cargar el mismo archivo de huella digital.
  5. Revise la configuración de > huellas digitales Finalizada.

Migración de una huella digital mediante PowerShell

Escriba el siguiente comando:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"