Compartir vía


Crear el esquema para tipos de información confidencial basados en las coincidencias exactas de datos

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Se aplica a

  • Experiencia clásica de creación de tipos de información confidencial (SIT) de coincidencia exacta de datos (EDM).

Uso del esquema de coincidencia de datos exacto y la herramienta de patrón de tipo de información confidencial

Si no está familiarizado con SITS basado en EDM o su implementación, debe familiarizarse con:

Un único esquema EDM se puede usar en varios tipos de información confidencial que usan la misma tabla de datos confidenciales. Puede crear hasta 10 esquemas EDM diferentes en un inquilino de Microsoft 365.

Uso del esquema de coincidencia de datos exactos y la herramienta de tipo de información confidencial

Puede usar esta herramienta para simplificar el proceso de creación de archivos de esquema.

Requisitos previos

Uso del esquema de coincidencia de datos exacto y la herramienta de patrón de tipo de información confidencial

Seleccione la pestaña adecuada para el portal que está usando. En función de su plan de Microsoft 365, el portal de cumplimiento Microsoft Purview se retirará o se retirará pronto.

Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal > de Microsoft PurviewInformation Protection>Classifiers>EDM classifiers EDM schemas> (disponible cuando la nueva experiencia EMD esté activada como Desactivada).

  2. Elija Crear esquema EDM para abrir el control flotante de configuración de la herramienta de esquema.

    Control flotante de configuración del Asistente para la creación de esquemas de EDM.

  3. Rellene con un Nombre y una Descripción apropiados.

  4. Elija Omitir delimitadores y puntuación para todos los campos de esquema si desea aplicar el comportamiento Ignore... para todo el esquema. Para obtener más información sobre cómo configurar EDM para omitir mayúsculas y minúsculas o delimitadores, consulte Uso de los campos caseInsensitive e ignoreDelimiters para obtener más información sobre esta característica.

  5. Rellene los valores deseados para el Campo #1 del esquema y agregue más campos según sea necesario. Cada campo de esquema debe ser idéntico a los encabezados de columna del archivo de origen de información confidencial.

  6. Si lo desea, establezca los valores por campo para lo siguiente:

    • El campo se puede buscar
    • El campo no distingue mayúsculas de minúsculas
    • Elija delimitadores y signos de puntuación para omitir este campo.
    • Escriba delimitadores y signos de puntuación personalizados para este campo.

    Importante

    Al menos uno, pero no más de diez, de los campos de esquema debe designarse como búsqueda.

  7. Seleccione Guardar. El esquema ahora aparece y está disponible para su uso.

    Importante

    Si desea quitar un esquema que ya está asociado a una SIT de EDM, primero debe eliminar el SIT de EDM. Al eliminar un esquema que tiene asociado un almacén de datos, también se elimina el almacén de datos en un plazo de 24 horas.

Exportación del archivo de esquema EDM en formato XML

Si creó el esquema EDM en la herramienta de esquema EDM, debe exportar el archivo de esquema en formato XML. Necesitará el archivo XML para completar el hash y cargar la tabla de origen de información confidencial para obtener datos exactos que coincidan con la fase de tipos de información confidencial .

  1. Conéctese al PowerShell de Seguridad y cumplimiento

  2. Para exportar el archivo de esquema EDM, use esta sintaxis:

    $Schema = Get-DlpEdmSchema -Identity "[your EDM Schema name]"
    Set-Content -Path ".\Schemafile.xml" -Value $Schema.EdmSchemaXML
    
  3. Guarde este archivo para su uso posterior.

Creación y carga manual del archivo de esquema de coincidencia de datos exacto

Al crear el archivo de esquema, los encabezados de columna (campos de datos) deben cumplir los siguientes requisitos de nomenclatura:

  • Debe empezar con una letra y debe constar de al menos tres caracteres alfanuméricos.
  • Solo debe incluir caracteres alfanuméricos.

Use la sintaxis siguiente para cada campo de columna o datos:

<Field name="FieldName" searchable="true/false" caseInsensitive="true/false" ignoredDelimiters="delimiter characters" />

Uso de los campos caseInsensitive e ignoreDelimiters

El ejemplo XML de esquema que sigue usa los caseInsensitive campos y ignoredDelimiters .

Al incluir el caseInsensitive campo establecido en el valor de en la definición de true esquema, EDM no excluirá un elemento en función de las diferencias entre mayúsculas y minúsculas. Por ejemplo, EDM ve los valores FOO-1234 y fOo-1234 como idénticos para el PatientID campo.

Cuando se incluye el ignoredDelimiters campo con caracteres admitidos, EDM omite esos caracteres. Por lo tanto, EDM ve los valores FOO-1234 y FOO#1234 como idénticos para el PatientID campo.

En este ejemplo, donde caseInsensitive se usan y ignoredDelimiters , EDM ve FOO-1234 y fOo#1234 como idénticos y clasifica el elemento como un tipo de información confidencial de registro de pacientes.

Ambos parámetros se usan por campo.

Importante

Si configura espacios para que se ignoren, esto solo será efectivo para las columnas de campo principal y para las que se define un tipo de información confidencial que puede detectar cadenas de varias palabras. De lo contrario, la comparación se realizará con cada palabra individual del contenido que se está analizando.

La ignoredDelimiters marca admite cualquier carácter no alfanumérico; estos son algunos ejemplos:

  • .
  • -
  • /
  • _
  • *
  • ^
  • #
  • !
  • ?
  • [
  • ]
  • {
  • }
  • \
  • ~
  • ;

El indicador ignoredDelimiters no es compatible con:

  • caracteres 0-9
  • A-Z
  • a-z
  • "
  • ,

Importante

Al definir el tipo de información confidencial de EDM, ignoredDelimiters no afectará a cómo el tipo de información confidencial clasificación asociado al elemento principal de un patrón EDM identifica el contenido de un elemento. Por lo tanto, si configura ignoredDelimiters para un campo que permite búsquedas, debe asegurarse de que el tipo de información confidencial que se usa para un elemento principal basado en ese campo seleccionará cadenas con y sin esos caracteres presentes.

El número de columnas de la tabla de origen de información confidencial y el número de campos del esquema deben coincidir, el orden no importa.

Los caracteres que se usan como separadores de tokens se comportan de forma diferente que los demás delimitadores. Estos son algunos ejemplos:

  • \ (espacio)
  • \t
  • ,
  • .
  • ;
  • ?
  • !
  • \r
  • \n

Cuando se incluye un separador de tokens, EDM interrumpe el token donde está el separador. Por ejemplo, EDM ve el valor Middle-Last Name en Middle-Last y Name para el LastName campo. Si se incluye para ignoredDelimiters el LastName campo con el carácter "-", esa acción solo se produce después de que se rompa el valor. Al final, EDM vería los siguientes valores MiddleLast y Name.

Para usar los caracteres siguientes como ignoredDelimiters separadores de tokens y no como separadores de tokens, debe asociarse al campo una SIT que coincida con el formato correspondiente. Por ejemplo, una SIT que detecta una cadena de varias palabras con guiones en ella debe asociarse al LastName campo.

  • .
  • ;
  • !
  • ?
  • \

Es posible asociar SIT con elementos secundarios mediante PowerShell.

  1. Defina el esquema en formato XML (similar al ejemplo siguiente). Asigne a este archivo de esquema un nombreedm.xml y, a continuación, configúrelo de forma que, para cada columna de la tabla de origen de información confidencial, haya una línea que use la sintaxis:

    \<Field name="" searchable=""/\>.

    • Use nombres de columna para los valores Nombre de campo.
    • Use searchable="true" para los campos que desea que se puedan buscar y los campos primarios hasta un máximo de cinco campos. Al menos un campo se debe poder utilizar en búsquedas.

    Por ejemplo, el siguiente archivo XML define el esquema de una base de datos de registros de pacientes, con cinco campos especificados como searchable: PatientID, MRN, SSN, Phoney DOB.

    (Puede copiar, modificar y usar nuestro ejemplo).

    <EdmSchema xmlns="http://schemas.microsoft.com/office/2018/edm">
          <DataStore name="PatientRecords" description="Schema for patient records" version="1">
                <Field name="PatientID" searchable="true" caseInsensitive="true" ignoredDelimiters="-,/,*,#,^" />
                <Field name="MRN" searchable="true" />
                <Field name="FirstName" />
                <Field name="LastName" />
                <Field name="SSN" searchable="true" />
                <Field name="Phone" searchable="true" />
                <Field name="DOB" searchable="true" />
                <Field name="Gender" />
                <Field name="Address" />
          </DataStore>
    </EdmSchema>
    

    Una vez que haya creado el archivo de esquema EDM en formato XML, tendrá que cargarlo en el servicio en la nube.

  2. Conéctese al PowerShell de Seguridad y cumplimiento

  3. Para cargar el esquema de base de datos, ejecute el siguiente comando:

    New-DlpEdmSchema -FileData ([System.IO.File]::ReadAllBytes('.\\edm.xml')) -Confirm:$true
    

    Se le pedirá que confirme lo siguiente:

    Confirmar

    ¿Está seguro de que desea realizar esta acción?

    Se importará el nuevo esquema EDM para el almacén de datos "patientrecords".

    [Y] Sí [A] Sí a Todos [N] No [L] No a Todos [?] Ayuda (el valor predeterminado es "Y"):

    Sugerencia

    Si desea que los cambios se produzcan sin confirmación, no use -Confirm:$true en el paso 3.

Nota:

La actualización de EDMSchema con adiciones puede tardar de 10 a 60 minutos. La actualización debe completarse antes de ejecutar los pasos que usan las adiciones.

Paso siguiente