自訂內建機密資訊類型

  • 發行項

在內容中尋找敏感性資訊時,您必須以所謂的規則來描述該資訊。 Microsoft Purview 資料外洩防護 (DLP) 包含最常見敏感性資訊類型的規則。 您可以立即使用這些規則。 若要使用它們,您必須將它們包含在原則中。 您可以調整這些內建規則,以符合貴組織的特定需求。 您可以建立自定義敏感性資訊類型來執行此動作。 本主題說明如何自定義包含現有規則集合的 XML 檔案,以便偵測更廣泛的潛在信用卡資訊。

您可以採用此範例,並將其套用至其他內建的敏感性信息類型。 如需默認敏感性資訊類型和 XML 定義的清單,請參閱 敏感性資訊類型實體定義

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

匯出目前規則的 XML 檔案

若要匯出 XML,您必須連線到安全性與合規性 PowerShell

  1. 在 PowerShell 中輸入下列命令,以在螢幕上顯示組織的規則。 如果您尚未建立自己的規則,則只會看到標示為「Microsoft 規則套件」的預設內建規則。

    Get-DlpSensitiveInformationTypeRulePackage

  2. 輸入下列項目以在變數中儲存貴組織的規則。 在變數中儲存事項可輕鬆讓該項目稍後以適用遠端 PowerShell 命令的格式提供。

    $ruleCollections = Get-DlpSensitiveInformationTypeRulePackage

  3. 輸入下列命令,製作具備所有資料的格式化 XML 檔案。

    [System.IO.File]::WriteAllBytes('C:\custompath\exportedRules.xml', $ruleCollections.SerializedClassificationRuleCollection)

    重要事項

    請務必確認您使用的檔案位置是規則套件儲存的實際位置。 C:\custompath\ 是預留位置。

尋找您要在 XML 中修改的規則

上述 Cmdlet 匯出整個 規則集合,其中包含 Microsoft 提供的默認規則。 接下來,您必須特別尋找想要修改的信用卡號碼規則。

  1. 使用文字編輯器開啟您在上一節中匯出的 XML 檔案。

  2. 向下捲動至 <Rules> 卷標,這是包含 DLP 規則的區段開頭。 因為這個 XML 檔案包含整個規則集合的資訊,所以它包含頂端需要捲動過去才能到達規則的其他資訊。

  3. 尋找 Func_credit_card 來尋找信用卡號碼規則定義。 在 XML 中,規則名稱不能包含空格,因此空格通常會取代為底線,而規則名稱有時會縮寫。 其中一個範例是美國社會安全號碼規則,其縮寫為 SSN。 信用卡號碼規則的 XML 看起來應該如下列程式代碼範例所示:

    <Entity id="50842eb7-edc8-4019-85dd-5a5c1f2bb085"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
       <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>

現在您已在 XML 中找到信用卡號碼規則定義,您可以自訂規則的 XML 以符合您的需求。 如需 XML 定義的重新整理程式,請參閱本主題結尾的 詞彙詞彙

修改 XML 及建立新的機密資訊類型

首先,您必須建立新的敏感性資訊類型,因為您無法直接修改預設規則。 您可以使用自訂敏感性資訊類型執行多種不同的動作,此在安全性與合規性 PowerShell 中建立自訂敏感性資訊類型中有加以概述。 在此範例中,我們會保持簡單並且只移除確證的證據,以及將關鍵字新增至信用卡號碼規則中。

所有 XML 規則定義都是以下列一般範本為基礎。 您必須複製信用卡號碼定義 XML 並貼到樣本中,修改一些值 (注意“. 。下列範例中的佔位元會) ,然後將修改過的 XML 上傳為可在原則中使用的新規則。

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id=". . .">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id=". . ." />
    <Details defaultLangCode=". . .">
      <LocalizedDetails langcode=" . . . ">
         <PublisherName>. . .</PublisherName>
         <Name>. . .</Name>
         <Description>. . .</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
   <!-- Paste the Credit Card Number rule definition here.-->
      <LocalizedStrings>
         <Resource idRef=". . .">
           <Name default="true" langcode=" . . . ">. . .</Name>
           <Description default="true" langcode=". . ."> . . .</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

現在,您有類似下列 XML 的內容。 因為規則套件和規則是由其唯一 GUID 所識別,所以您需要產生兩個 GUID:一個用於規則套件,另一個用來取代信用卡號碼規則的 GUID。 下列程式代碼範例中實體識別碼的 GUID 是我們內建規則定義的 GUID,您需要將它取代為新的規則定義。 產生 GUID 的方式有數種,但您可以透過在 PowerShell 中輸入 [guid]::NewGuid()便可輕鬆完成。

<?xml version="1.0" encoding="utf-16"?>
<RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce">
  <RulePack id="8aac8390-e99f-4487-8d16-7f0cdee8defc">
    <Version major="1" minor="0" build="0" revision="0" />
    <Publisher id="8d34806e-cd65-4178-ba0e-5d7d712e5b66" />
    <Details defaultLangCode="en">
      <LocalizedDetails langcode="en">
        <PublisherName>Contoso Ltd.</PublisherName>
        <Name>Financial Information</Name>
        <Description>Modified versions of the Microsoft rule package</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

 <Rules>
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f"
       patternsProximity="300" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
      <LocalizedStrings>
         <Resource idRef="db80b3da-0056-436e-b0ca-1f4cf7080d1f">
<!-- This is the GUID for the preceding Credit Card Number entity because the following text is for that Entity. -->
           <Name default="true" langcode="en-us">Modified Credit Card Number</Name>
           <Description default="true" langcode="en-us">Credit Card Number that looks for additional keywords, and another version of Credit Card Number that doesn't require keywords (but has a lower confidence level)</Description>
         </Resource>
      </LocalizedStrings>
   </Rules>
</RulePackage>

從機密資訊類型移除確切辨識項需求

現在您有新的敏感性資訊類型,可以上傳至 Microsoft Purview 合規性入口網站。 下一個步驟是讓規則更具體。 修改規則,使其只尋找通過總和檢查碼的 16 位數數位,但不需要額外的 () 辨識項,例如關鍵詞。 若要這麼做,您需要移除會尋找確切辨識項的 XML 部分。 確切辨識項在減少誤判方面很有幫助。 在此情況下,信用卡號碼附近通常會有特定的關鍵詞或到期日。 如果您移除該辨識項,也應該藉由降低 confidenceLevel (在此範例中是 85) 來調整對於找到信用卡號碼的信心。

<Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="300"
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
      </Pattern>
    </Entity>

尋找貴組織的特定關鍵字

您可能想要要求確認辨識項,但想要不同或額外的關鍵詞,而且您可能想要變更尋找該辨識項的位置。 您可以調整 patternsProximity 以展開或縮小視窗,以取得16位數數位的左右辨識項。 若要新增您自己的關鍵詞,您必須定義關鍵詞清單,並在規則中加以參考。 下列 XML 會新增關鍵詞 「company card」 和 「Contoso card」,以便將任何包含信用卡號碼 150 個字元內之詞組的訊息識別為信用卡號碼。

<Rules>
<! -- Modify the patternsProximity to be "150" rather than "300." -->
    <Entity id="db80b3da-0056-436e-b0ca-1f4cf7080d1f" patternsProximity="150" recommendedConfidence="85">
      <Pattern confidenceLevel="85">
        <IdMatch idRef="Func_credit_card" />
        <Any minMatches="1">
          <Match idRef="Keyword_cc_verification" />
          <Match idRef="Keyword_cc_name" />
<!-- Add the following XML, which references the keywords at the end of the XML sample. -->
          <Match idRef="My_Additional_Keywords" />
          <Match idRef="Func_expiration_date" />
        </Any>
      </Pattern>
    </Entity>
<!-- Add the following XML, and update the information inside the <Term> tags with the keywords that you want to detect. -->
    <Keyword id="My_Additional_Keywords">
      <Group matchStyle="word">
        <Term caseSensitive="false">company card</Term>
        <Term caseSensitive="false">Contoso card</Term>
      </Group>
    </Keyword>

上傳您的規則

若要上傳您的規則,您必須執行下列動作。

  1. 使用 Unicode 編碼方式將它儲存為 .xml 檔。 這很重要,因為如果檔案是以不同的編碼方式儲存,規則將無法運作。

  2. 連線至安全性與合規性 PowerShell

  3. 在 PowerShell 中,輸入下列命令。

    New-DlpSensitiveInformationTypeRulePackage -FileData ([System.IO.File]::ReadAllBytes('C:\custompath\MyNewRulePack.xml'))

    重要事項

    請務必確認您使用的檔案位置是規則套件儲存的實際位置。 C:\custompath\ 是預留位置。

  4. 若要確認,輸入 Y,並按下 ENTER 鍵。

  5. 輸入下列命令,確認新規則的顯示名稱,並確認其已上傳:

    Get-DlpSensitiveInformationType

若要開始使用新規則來偵測敏感性資訊,您需要將規則新增至 DLP 原則。 若要瞭解如何將規則新增至原則,請參閱 建立和部署數據外洩防護原則

術語詞彙

以下是您在此程序期間遇到之術語的定義。


術語 定義
實體 實體 是我們所謂的敏感性資訊類型,例如信用卡號碼。 每個實體都有唯一的 GUID 作為其標識碼。 如果您複製 GUID 並在 XML 中搜尋它,您會發現 XML 規則定義和該 XML 規則的所有當地語系化轉譯。 您也可以找到此定義,方法是找出翻譯的 GUID,然後搜尋該 GUID。
函式 XML 檔案會 Func_credit_card參考 ,這是編譯程式代碼中的函式。 函式可用來執行複雜的 regexes,並確認總和檢查碼符合我們的內建規則。 因為這會在程式代碼中發生,所以有些變數不會出現在 XML 檔案中。
IdMatch 這是模式要嘗試符合的識別碼,例如信用卡號。
關鍵字清單 XML 檔案也會參考 keyword_cc_verificationkeyword_cc_name,這是我們想要在 實體內 patternsProximity 比對的關鍵詞清單。 這些目前不會顯示在 XML 中。
模式 模式包含敏感性類型所要尋找的清單。 這包括關鍵字、Regex 及內部函數 (會執行驗證總和檢查碼之類的工作)。 敏感性資訊類型可以有多個具有唯一信賴等級的模式。 建立會在找到確切辨識項時傳回高信賴度、找到一些確切辨識項或完全找不到時傳回較低信賴度的敏感性資訊類型時,這很有幫助。
模式 confidenceLevel 這是 DLP 引擎找到相符專案的信賴等級。 如果符合模式的需求,則此信賴等級會與模式的相符項目相關聯。 這是使用 Exchange 郵件流程規則時應考慮的信賴度量 (也稱為傳輸規則) 。
patternsProximity 當我們發現看起來像信用卡號碼模式時, patternsProximity 是該數位的距離,我們將在其中尋找可確認的辨識項。
recommendedConfidence 這是我們針對此規則建議的信賴等級。 建議的信賴等級適用於實體和親和性。 對於實體,此數字永遠不會針對模式的 confidenceLevel 進行評估。 如果您想要套用信賴等級,這隻是協助您選擇信賴等級的建議。 針對相似性, confidenceLevel 模式的 必須高於 recommendedConfidence 要叫用郵件流程規則動作的數位。 recommendedConfidence是用於叫用動作之郵件流程規則中的預設信賴等級。 如有需要,您可以改為根據模式的信賴等級,手動變更要叫用的郵件流程規則。

相關資訊