Detecte documentos com informações confidenciais usando a Impressão Digital de Documento

  • 5 minutos

Os operadores de informações em uma organização lidam com vários tipos de informações confidenciais em um dia comum. No portal de conformidade do Microsoft Purview, a Impressão Digital de Documento facilita a proteção dessas informações por uma organização. Ela faz isso identificando formulários padrão usados por uma organização.

Esta unidade examina os conceitos por trás da Impressão Digital de Documento. Também analisa como criar uma impressão digital de documento usando o Windows PowerShell.

Cenário básico da Impressão Digital de Documento

A Impressão Digital de Documento é um recurso de DLP (Prevenção Contra Perda de Dados do Microsoft Purview). Ela converte um formulário padrão em um tipo de informação confidencial. Em seguida, uma organização pode usar esse tipo de informação em suas políticas DLP. Por exemplo, uma organização pode concluir as seguintes etapas:

  1. Crie uma impressão digital de documento com base em um modelo de patente em branco.
  2. Crie uma política DLP que detecta e bloqueia todos os modelos de patente de saída com conteúdo confidencial preenchido.
  3. Opcionalmente, configure dicas de política para notificar os remetentes de que eles podem estar enviando informações confidenciais. Qualquer remetente que receba a dica de política deve verificar se os destinatários têm permissão para receber as patentes.

Esse processo funciona com qualquer formulário baseado em texto usado em uma organização. Outros exemplos de formulários que uma organização pode carregar incluem:

  • Formulários governamentais
  • Formulários compatíveis com a Lei americana HIPAA (Health Insurance Portability Accountability Act, Lei de responsabilidade sobre portabilidade de seguro saúde)
  • Formulários de informação sobre funcionários para departamentos de Recursos Humanos
  • Formulários personalizados criados especificamente para uma organização

Vamos considerar o exemplo a seguir. A Contoso já tem uma prática comercial estabelecida sobre o uso de determinados formulários para transmitir informações confidenciais. A Contoso começa carregando um formulário vazio que posteriormente é convertido em uma impressão digital de documento. Depois de criar a impressão digital de documento, a Contoso cria uma nova regra de classificação de dados. Essa regra usa a impressão digital de documento criada anteriormente. Em seguida, a Contoso configura uma política DLP correspondente e adiciona a regra à política. Com a impressão digital de documento agora atribuída a uma política DLP, o serviço DLP detecta todos os documentos em emails de saída que correspondam a essa impressão digital.

Funcionamento da Impressão Digital de Documento

Todos sabemos que os documentos não têm impressões digitais reais. Contudo, o nome da "impressão digital de documento" ajuda a explicar o recurso. Da mesma maneira que as impressões digitais de uma pessoa têm padrões exclusivos, os documentos têm padrões de palavra exclusivos. Quando uma organização carrega um arquivo, a DLP do Microsoft Purview:

  1. Identifica o padrão de palavras exclusivo no documento.
  2. Cria uma impressão digital de documento com base nesse padrão.
  3. Usa essa impressão digital de documento para detectar documentos de saída que contenham o mesmo padrão.

Esse processo mostra por que o carregamento de um formulário ou de um modelo cria o tipo mais eficaz de impressão digital de documento. Todas as pessoas que preenchem um formulário usam o mesmo conjunto original de palavras. Em seguida, adicionam suas próprias palavras ao documento. Se o documento de saída contiver todo o texto do formulário original e não estiver protegido por senha, a DLP poderá determinar se ele corresponde à impressão digital de documento.

Importante

Por enquanto, a DLP só pode usar a Impressão Digital de Documento como um método de detecção no Exchange Online.

As organizações podem usar qualquer formulário como base para criar uma impressão digital de documento. O exemplo a seguir mostra o que acontece se você criar uma impressão digital de documento com base em um modelo de patente.

Diagrama mostrando um documento de patente comparado à impressão digital de documento de um modelo de patente.

O modelo de patente contém os campos em branco "Título da patente", "Inventores" e "Descrição" e descrições de cada um desses campos; esse é o padrão de palavras. Quando você carrega o modelo de patente original, ele deve estar em um dos tipos de arquivo com suporte e com texto sem formatação. Quando a organização carrega o modelo de patente:

  1. A DLP converte esse padrão de palavras em uma impressão digital de documento. A impressão digital é um pequeno arquivo XML Unicode que contém um valor de hash exclusivo que representa o texto original.

  2. A organização salva a impressão digital da patente como uma classificação de dados no Active Directory.

    Observação

    Como medida de segurança, o sistema não armazena o documento original em si no serviço; armazena apenas o valor de hash. O sistema não pode reconstruir o documento original a partir do valor de hash.

  3. A impressão digital da patente se torna um tipo de informação confidencial que pode ser associado a uma política DLP.

  4. Depois que a organização associa a impressão digital a uma política DLP, a DLP detecta todos os emails de saída que contêm documentos que correspondem à impressão digital da patente. Em seguida, ela lida com eles de acordo com a política da organização.

Por exemplo, talvez você queira configurar uma política DLP que impeça funcionários comuns de enviar mensagens de saída com patentes. A DLP usa a impressão digital de patente para detectar patentes e bloquear esses emails. Como alternativa, talvez você queira permitir que seu departamento jurídico possa enviar patentes para outras organizações devido a uma necessidade comercial. Você pode permitir que departamentos específicos enviem informações confidenciais criando exceções para esses departamentos em sua política DLP. Ou você pode permitir que eles substituam uma dica de política com uma justificativa comercial.

Tipos de arquivo compatíveis

A Impressão Digital de Documento dá suporte aos mesmos tipos de arquivo que as regras de fluxo de emails (também conhecidas como regras de transporte). Para obter uma lista de tipos de arquivo com suporte, consulte Tipos de arquivo com suporte para inspeção de conteúdo de regra de fluxo de email.

Observação

As regras de fluxo de email e a Impressão Digital de Documento não dão suporte ao tipo de arquivo .dotx. Essa situação pode ser confusa porque .dotx é um arquivo de modelo no Word. Quando você vê a palavra "modelo" nessa unidade, ela se refere a um documento que uma organização estabeleceu como um formulário padrão, e não ao tipo de arquivo de modelo.

A Impressão Digital de Documento não detecta informações confidenciais nos seguintes casos:

  • Arquivos protegidos por senha.
  • Arquivos que contém somente imagens.
  • Documentos que não contém todo o texto do formulário original usado para criar a impressão digital de documento.
  • Arquivos maiores que 10 MB.

Usar o PowerShell para criar um pacote de regras de classificação com base na Impressão Digital de Documento

Atualmente, você só pode criar uma impressão digital de documento usando o módulo de Segurança e Conformidade do PowerShell.

A DLP usa pacotes de regras de classificação para detectar conteúdo confidencial. Para criar um pacote de regras de classificação com base em uma impressão digital de documento, use os cmdlets New-DlpFingerprint e New-DlpSensitiveInformationType.

Observação

Como o sistema não armazena os resultados de New-DlpFingerprint fora da regra de classificação de dados, você sempre deve executar New-DlpFingerprint e New-DlpSensitiveInformationType ou Set-DlpSensitiveInformationType na mesma sessão do PowerShell.

Vamos examinar um exemplo que mostra como criar um pacote de regras de classificação com base na Impressão Digital de Documento.

  1. Neste exemplo, você cria uma nova impressão digital de documento baseada no arquivo C:\My Documents\Contoso Employee Template.docx. Armazene a nova impressão digital como uma variável para poder usá-la com o cmdlet New-DlpSensitiveInformationType na mesma sessão do PowerShell.

    $Employee_Template = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx'))

$Employee_Fingerprint = New-DlpFingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

  2. Depois de criar a impressão digital de documento, você deve criar uma nova regra de classificação de dados. Para este exemplo, vamos nomeá-la como Contoso Customer Confidential. Esta regra usa a impressão digital de documento do arquivo C:\My Documents\Contoso Customer Information Form.docx.

    $Customer_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx'))

$Customer_Fingerprint = New-DlpFingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."

  3. Agora você pode usar o cmdlet Get-DlpSensitiveInformationType para localizar todos os pacotes de regras de classificação de dados de DLP. Neste exemplo, Contoso Customer Confidential faz parte da lista de pacotes de regras de classificação de dados. Em seguida, adicione o pacote de regras de classificação de dados Contoso Customer Confidential a uma política DLP. Embora você possa concluir esta etapa no portal de conformidade do Microsoft Purview, esse exemplo adiciona uma regra a uma política DLP existente chamada ConfidentialPolicy.

    New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

  4. Você também pode usar o pacote de regras de classificação de dados em regras de fluxo de emails no Exchange Online. Para executar esse comando, primeiro você deve se conectar ao PowerShell do Exchange Online. Tenha em mente que leva tempo para que o pacote de regras seja sincronizado do portal de conformidade do Microsoft Purview para o Centro de administração do Exchange.

    New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

A Prevenção Contra Perda de Dados do Microsoft Purview agora detecta documentos que correspondem à impressão digital de documento Contoso Customer Form.docx.