Anpassen eines benutzerdefinierten vertraulichen Informationstyps

  • Artikel

Bei der Suche nach vertraulichen Informationen in Inhalt müssen Sie die in einer so genannten Regel enthaltenen Informationen beschreiben. Microsoft Purview Data Loss Prevention (DLP) enthält Regeln für die gängigsten Vertraulichen Informationstypen. Sie können diese Regeln sofort verwenden. Um sie verwenden zu können, müssen Sie sie in eine Richtlinie einschließen. Sie können diese integrierten Regeln an die spezifischen Anforderungen Ihrer organization anpassen. Dazu können Sie einen benutzerdefinierten vertraulichen Informationstyp erstellen. In diesem Thema erfahren Sie, wie Sie die XML-Datei anpassen, die die vorhandene Regelsammlung enthält, damit Sie eine größere Bandbreite potenzieller Guthaben Karte Informationen erkennen können.

Dieses Beispiel können Sie auf weitere integrierte vertrauliche Informationstypen anwenden. Eine Liste der Standardmäßigen Typen vertraulicher Informationen und XML-Definitionen finden Sie unter Entitätsdefinitionen für vertrauliche Informationen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Exportieren der XML-Datei der aktuellen Regeln

Zum Exportieren der XML-Datei müssen Sie eine Verbindung zur Security & Compliance PowerShell herstellen.

  1. Geben Sie in PowerShell Folgendes ein, um die Regeln Ihrer organization auf dem Bildschirm anzuzeigen. Falls Sie keine eigenen Regeln erstellt haben, werden nur die integrierten Standardregeln mit der Bezeichnung "Microsoft-Regelpaket" angezeigt.

    Get-DlpSensitiveInformationTypeRulePackage

  2. Speichern Sie die Regeln Ihrer Organisation in einer Variablen, indem Sie Folgendes eingeben. Durch das Speichern in einer Variablen kann später problemlos auf die Daten in einem Format zugegriffen werden, das sich für PowerShell-Befehle eignet.

    $ruleCollections = Get-DlpSensitiveInformationTypeRulePackage

  3. Erstellen Sie eine formatierte XML-Datei mit all diesen Daten, indem Sie Folgendes eingeben.

    [System.IO.File]::WriteAllBytes('C:\custompath\exportedRules.xml', $ruleCollections.SerializedClassificationRuleCollection)

    Wichtig

    Stellen Sie sicher, dass der Dateispeicherort verwendet wird, in dem das Regelpaket tatsächlich gespeichert ist. C:\custompath\ ist ein Platzhalter.

Suchen der Regel, die in der XML-Datei geändert werden soll

Die obigen Cmdlets exportierten die gesamte Regelsammlung, die die von Microsoft bereitgestellten Standardregeln enthält. Als Nächstes müssen Sie speziell nach der Kreditkartennummer-Regel suchen, die Sie ändern möchten.

  1. Verwenden Sie einen Texteditor, um die im vorherigen Abschnitt exportierte XML-Datei zu öffnen.

  2. Scrollen Sie nach unten zum <Rules> Tag, das den Anfang des Abschnitts darstellt, der die DLP-Regeln enthält. Da diese XML-Datei die Informationen für die gesamte Regelsammlung enthält, enthält sie oben andere Informationen, an denen Sie vorbei scrollen müssen, um zu den Regeln zu gelangen.

  3. Suchen Sie nach Func_credit_card, um die Regeldefinition für die Kreditkartennummer zu suchen. Im XML dürfen Regelnamen keine Leerzeichen enthalten. Daher werden die Leerzeichen in der Regel durch Unterstriche ersetzt, und Regelnamen werden manchmal abgekürzt. Ein Beispiel hierfür ist die US-Sozialversicherungsnummerregel, die abgekürzt SSN ist. Der XML-Code für die Kreditkartennummer-Regel sollte wie im folgenden Codebeispiel aussehen:

    <Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
       <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>

Nachdem Sie die Regeldefinition für die Kreditkartennummer in der XML-Datei ermittelt haben, können Sie die XML-Datei der Regel an Ihre Anforderungen anpassen. Eine Aktualisierung der XML-Definitionen finden Sie im Begriffsglossar am Ende dieses Themas.

Ändern der XML-Datei und Erstellen eines neuen vertraulichen Informationstyps

Zuerst müssen Sie einen neuen Typ vertraulicher Informationen erstellen, da Sie die Standardregeln nicht direkt ändern können. Sie können eine Vielzahl von Aktionen mit benutzerdefinierten Typen vertraulicher Informationen ausführen, die unter Erstellen eines benutzerdefinierten Typs vertraulicher Informationen in Security & Compliance PowerShell beschrieben sind. In diesem Beispiel halten wir es einfach. Wir entfernen nur bestätigende Beweise und fügen der Kreditkartennummernregel Schlüsselwörter hinzu.

Alle XML-Regeldefinitionen werden anhand der folgenden allgemeinen Vorlage erstellt. Sie müssen die Xml-Datei zur Definition der Kreditkartennummer kopieren und in die Vorlage einfügen und einige Werte ändern (beachten Sie das ". . ." Platzhalter im folgenden Beispiel), und laden Sie dann die geänderte XML-Datei als neue Regel hoch, die in Richtlinien verwendet werden kann.

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id=". . .">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id=". . ." />
    <Details defaultLangCode=". . .">
      <LocalizedDetails langcode=" . . . ">
         <PublisherName>. . .</PublisherName>
         <Name>. . .</Name>
         <Description>. . .</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
   <!-- Paste the Credit Card Number rule definition here.-->
      <LocalizedStrings>
         <Resource idRef=". . .">
           <Name default="true" langcode=" . . . ">. . .</Name>
           <Description default="true" langcode=". . ."> . . .</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

Nun haben Sie etwas, das dem folgenden XML-Code ähnelt. Da Regelpakete und Regeln durch ihre eindeutigen GUIDs identifiziert werden, müssen Sie zwei GUIDs generieren: eine für das Regelpaket und eine, um die GUID für die Kreditkartennummer-Regel zu ersetzen. Die GUID für die Entitäts-ID im folgenden Codebeispiel ist die GUID für unsere integrierte Regeldefinition, die Sie durch eine neue ersetzen müssen. GUIDs können auf verschiedene Arten generiert werden, besonders einfach ist es aber in PowerShell. Dort müssen Sie nur [guid]::NewGuid() eingeben.

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id="8aac8390-e99f-4487-8d16-7f0cdee8defc">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id="8d34806e-cd65-4178-ba0e-5d7d712e5b66" />
    <Details defaultLangCode="en">
      <LocalizedDetails langcode="en">
        <PublisherName>Contoso Ltd.</PublisherName>
        <Name>Financial Information</Name>
        <Description>Modified versions of the Microsoft rule package</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
      <LocalizedStrings>
         <Resource idRef="db80b3da-0056-436e-b0ca-1f4cf7080d1f">
<!-- This is the GUID for the preceding Credit Card Number entity because the following text is for that Entity. -->
           <Name default="true" langcode="en-us">Modified Credit Card Number</Name>
           <Description default="true" langcode="en-us">Credit Card Number that looks for additional keywords, and another version of Credit Card Number that doesn't require keywords (but has a lower confidence level)</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

Entfernen der Anforderung für einen bestätigenden Nachweis von einem vertraulichen Informationstyp

Jetzt verfügen Sie über einen neuen vertraulichen Informationstyp, den Sie in den Microsoft Purview-Complianceportal hochladen können. Der nächste Schritt besteht darin, die Regel genauer zu gestalten. Ändern Sie die Regel so, dass nur nach einer 16-stelligen Zahl gesucht wird, die die Prüfsumme übergibt, aber keine zusätzlichen (bestätigenden) Beweise wie Schlüsselwörter erfordert. Hierfür müssen Sie den Teil der XML-Datei entfernen, der nach dem bestätigenden Nachweis sucht. Der bestätigende Nachweis ist sehr hilfreich bei der Verringerung falsch positiver Ergebnisse. In diesem Fall gibt es in der Regel bestimmte Schlüsselwörter oder ein Ablaufdatum in der Nähe des Guthabens Karte Nummer. Wenn Sie den Nachweis entfernen, sollten Sie auch anpassen, wie sicher Sie sind, dass Sie eine Kreditkartennummer gefunden haben, indem Sie den confidenceLevel-Wert senken (in dem Beispiel ist dies 85).

<Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="300"
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
      </Pattern>
    </Entity>

Suchen nach Schlüsselwörtern speziell für Ihre Organisation

Möglicherweise möchten Sie bestätigende Beweise benötigen, aber andere oder zusätzliche Schlüsselwörter benötigen, und vielleicht möchten Sie ändern, wo nach diesen Beweisen gesucht werden soll. Sie können anpassen patternsProximity , um das Fenster für bestätigende Beweise um die 16-stellige Zahl zu erweitern oder zu verkleinern. Um Ihre eigenen Schlüsselwörter hinzuzufügen, müssen Sie eine Schlüsselwort (keyword) Liste definieren und in Ihrer Regel darauf verweisen. Der folgende XML-Code fügt die Schlüsselwörter "company Karte" und "Contoso Karte" hinzu, sodass jede Nachricht, die diese Ausdrücke innerhalb von 150 Zeichen einer Gutschrift Karte Zahl enthält, als Gutschrift Karte Nummer identifiziert wird.

<Rules>
<! -- Modify the patternsProximity to be "150" rather than "300." -->
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="150" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
<!-- Add the following XML, which references the keywords at the end of the XML sample. -->
          <Match idRef="My_Additional_Keywords" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
<!-- Add the following XML, and update the information inside the <Term> tags with the keywords that you want to detect. -->
    <Keyword id="My_Additional_Keywords">
      <Group matchStyle="word">
        <Term caseSensitive="false">company card</Term>
        <Term caseSensitive="false">Contoso card</Term>
      </Group>
    </Keyword>

Hochladen der Regel

Zum Hochladen der Regel müssen Sie wie folgt vorgehen.

  1. Speichern Sie sie als XML-Datei mit Unicode-Codierung. Dies ist wichtig, da die Regel nicht funktioniert, wenn die Datei mit einer anderen Codierung gespeichert wird.

  2. Herstellen einer Verbindung zur Security & Compliance Center-PowerShell.

  3. Geben Sie PowerShell Folgendes ein.

    New-DlpSensitiveInformationTypeRulePackage -FileData ([System.IO.File]::ReadAllBytes('C:\custompath\MyNewRulePack.xml'))

    Wichtig

    Stellen Sie sicher, dass der Dateispeicherort verwendet wird, in dem das Regelpaket tatsächlich gespeichert ist. C:\custompath\ ist ein Platzhalter.

  4. Geben Sie zur Bestätigung Y ein, und drücken Sie die EINGABETASTE.

  5. Überprüfen Sie den Anzeigenamen Ihrer neuen Regel und ob sie hochgeladen wurde, indem Sie Folgendes eingeben:

    Get-DlpSensitiveInformationType

Sie müssen die Regel einer DLP-Richtlinie hinzufügen, um damit zu beginnen, die Regel zum Erkennen vertraulicher Informationen zu verwenden. Informationen zum Hinzufügen der Regel zu einer Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

Glossar

Nachfolgend finden Sie Definitionen der Begriffe, die in diesem Verfahren vorkommen.


Begriff Definition
Entität Entitäten sind typen von vertraulichen Informationen, z. B. Guthaben Karte Nummern. Jede Entität verfügt über eine eindeutige GUID als ID. Wenn Sie eine GUID kopieren und in der XML-Datei danach suchen, finden Sie die XML-Regeldefinition und alle lokalisierten Übersetzungen dieser XML-Regel. Diese Definition können Sie auch finden, indem Sie die GUID für die Übersetzung ermitteln und dann nach dieser GUID suchen.
Funktionen Die XML-Datei verweist auf Func_credit_card, eine Funktion in kompiliertem Code. Funktionen werden verwendet, um komplexe Regexes auszuführen und zu überprüfen, ob Prüfsummen mit unseren integrierten Regeln übereinstimmen. Da dies im Code geschieht, werden einige der Variablen nicht in der XML-Datei angezeigt.
IdMatch Dies ist die Kennung, die das Muster abgleichen möchte – beispielsweise eine Kreditkartennummer.
Schlüsselwortliste Die XML-Datei verweist auch auf keyword_cc_verification und keyword_cc_name, bei denen es sich um Listen mit Schlüsselwörtern handelt, die wir in der patternsProximity für die Entität abgleichen möchten. Diese werden derzeit nicht im XML-Code angezeigt.
Muster Das Muster enthält die Liste, wonach der vertrauliche Typ sucht. Hierzu zählen Schlüsselwörter, reguläre Ausdrücke und interne Funktionen, die Aufgaben ausführen, wie beispielsweise die Überprüfung von Prüfsummen. Typen vertraulicher Informationen können mehrere Muster mit eindeutigen Konfidenzstufen aufweisen. Dies ist nützlich, wenn ein vertraulicher Informationstyp erstellt wird, der eine hohe Vertrauenswürdigkeit zurückgibt, falls ein bestätigender Nachweis gefunden wurde, und der eine niedrige Vertrauenswürdigkeit zurückgibt, wenn nur ein geringer oder gar kein bestätigender Nachweis gefunden wurde.
Pattern confidenceLevel Dies ist die Vertrauensstufe, für die das DLP-Modul eine Übereinstimmung gefunden hat. Diese Vertrauensstufe wird einer Übereinstimmung für das Muster zugeordnet, wenn die Anforderungen des Musters erfüllt sind. Dies ist das Konfidenzmaß, das Sie bei der Verwendung von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) berücksichtigen sollten.
patternsProximity Wenn wir finden, was wie ein Guthaben Karte Zahlenmuster aussieht, patternsProximity ist die Entfernung um diese Zahl, in der wir nach bestätigenden Beweisen suchen.
recommendedConfidence Dies ist die Vertrauensstufe, die für diese Regel empfohlen wird. Das empfohlene Konfidenzniveau gilt für Entitäten und Affinitäten. Bei Entitäten wird diese Zahl nie anhand des confidenceLevel für das Muster ausgewertet. Es ist lediglich eine Empfehlung, die Ihnen bei der Auswahl einer Vertrauensstufe helfen soll, falls Sie eine solche zuweisen möchten. Bei Affinitäten muss die confidenceLevel des Musters höher sein als die recommendedConfidence Anzahl, damit eine Aktion für eine Nachrichtenflussregel aufgerufen wird. ist recommendedConfidence die Standard-Konfidenzstufe, die in Nachrichtenflussregeln verwendet wird, die eine Aktion aufrufen. Wenn Sie möchten, können Sie stattdessen die E-Mail-Flussregel manuell ändern, die basierend auf dem Konfidenzniveau des Musters aufgerufen wird.

Weitere Informationen