Benutzerdefinierten Detektor für Metadatenlabels erstellen

Sie können den Schutz sensibler Daten so konfigurieren, dass bestimmte Metadatenlabels in Ihren Inhalten erkannt werden. Die Metadaten können automatisch aus unterstützten Dateitypen extrahiert oder von Ihrer Anwendung in der Prüfanfrage bereitgestellt werden. Wenn der Schutz sensibler Daten Inhalte findet, die Ihren Metadatenkriterien entsprechen, wird ein Ergebnis generiert.

Wenn Sie nach Metadatenlabels suchen möchten, erstellen Sie einen benutzerdefinierten infoType für Metadatenlabels. Konfigurieren Sie dann Ihre Prüf- oder Ermittlungsprüfung so, dass nach diesem infoType gesucht wird.

Vorteile und Anwendungsfälle

Mit dieser Funktion können Sie Ihre vorhandenen Klassifizierungstaxonomien für die Prüfung und die Erzwingung von Richtlinien verwenden. Wenn Sie ein benutzerdefiniertes oder Drittanbieter-Klassifizierungssystem verwenden, das Metadatenlabels auf Ihre Dokumente anwendet, können Sie den Schutz sensibler Daten so konfigurieren, dass diese Metadatenlabels bei Ihren Prüf- oder Ermittlungsvorgängen erkannt werden.

Beispiele für Anwendungsfälle:

• Dateien nach Microsoft-Vertraulichkeits labels durchsuchen, die bestimmte Schlüssel/Wert-Paare enthalten.
• Die Erkennung von Metadatenlabels mit der Standarderkennung von infoTypes für einen mehrschichtigen Ansatz kombinieren.
• Metadaten scannen, die von Ihrer Anwendung zusammen mit den Inhalten übergeben werden, auch wenn die Metadaten nicht in die Datei eingebettet sind.
• Dokumente mit Model Armor basierend auf bestimmten Metadatenlabels bereinigen. Wenn Sie diese Funktion mit Model Armor oder Diensten verwenden möchten, die Model Armor verwenden, z. B. Gemini Enterprise, müssen Sie in Model Armor eine erweiterte Konfiguration für den Schutz sensibler Daten erstellen, die auf diesen benutzerdefinierten Detektor für Metadatenlabels verweist.

Unterstützte Dateitypen

• DOCX
• PDF
• PPTX
• XLSX

Unterstützte Metadatenformate

Mit dieser Funktion können Microsoft Purview Information Protection-Metadaten und vom Client bereitgestellte Metadaten erkannt werden.

Microsoft Purview Information Protection-Metadaten

Mit dieser Funktion können Microsoft Purview Information Protection-Metadaten mit dem folgenden Namensformat erkannt werden:

MSIP_Label_GUID_ATTRIBUTE

Ersetzen Sie Folgendes:

• GUID: Die global eindeutige ID der Metadaten.

• ATTRIBUTE: Das Microsoft Information Protection-Attribut der Metadaten. Akzeptierte Werte:

  • ActionId
  • ContentBits
  • Enabled
  • Method
  • Name
  • SetDate
  • SiteId

Vom Client bereitgestellte Metadaten

Sie können benutzerdefinierte Metadaten direkt in einer InspectContent Anfrage angeben. Vom Client bereitgestellte Metadaten sind eine Liste von Schlüssel/Wert-Paaren, die im ContentMetadata Feld des ContentItem übergeben werden.

Beschränkungen

Benutzerdefinierte infoTypes vom Typ MetadataKeyValueExpression werden in den folgenden Fällen nicht unterstützt:

• Prüfregelsätze
• De-Identifizierungstransformationen

Benutzerdefinierten infoType-Detektor für Metadatenlabels erstellen

Wenn Sie einen benutzerdefinierten infoType-Detektor für Metadatenlabels erstellen möchten, definieren Sie ein CustomInfoType vom Typ MetadataKeyValueExpression in einem InspectConfig-Objekt. Das CustomInfoType-Objekt hat die folgenden Attribute:

{
  "inspect_config": {
    "custom_info_types": [
      {
        "info_type": {
          "name": "CUSTOM_METADATA_LABEL_NAME"
        },
        "likelihood": "LIKELIHOOD",
        "sensitivityScore":{
          "score": "SENSITIVITY_SCORE"
        },
        "metadata_key_value_expression": {
          "key_regex": "KEY_REGULAR_EXPRESSION",
          "value_regex": "VALUE_REGULAR_EXPRESSION"
        }
      }
    ]
  }
}

Ersetzen Sie Folgendes:

• CUSTOM_METADATA_LABEL_NAME: Der Name, der dem benutzerdefinierten infoType-Detektor zugewiesen werden soll.
• LIKELIHOOD: (Optional) Der Likelihood-Wert, der allen Ergebnissen zugewiesen werden soll, die mit diesem benutzerdefinierten infoType übereinstimmen. Wenn Sie dieses Feld weglassen, ist der Standardwert für die Wahrscheinlichkeit VERY_LIKELY.

• SENSITIVITY_SCORE: (Optional) The SensitivityScore, der allen Ergebnissen zugewiesen werden soll, die mit diesem benutzerdefinierten infoType übereinstimmen. Wenn Sie dieses Feld weglassen, ist der Standardwert für den Vertraulichkeitsscore HIGH.

  Vertraulichkeitsscores werden in Datenprofilen verwendet. Bei der Profilerstellung für Ihre Daten verwendet der Schutz sensibler Daten die Vertraulichkeitsscores der infoTypes, um den Vertraulichkeitsgrad zu berechnen.

• KEY_REGULAR_EXPRESSION: Ein regulärer Ausdruck, nach dem in den Schlüsseln von Metadatenlabels gesucht werden soll.

• VALUE_REGULAR_EXPRESSION: Ein regulärer Ausdruck, nach dem in den Werten von Metadatenlabels gesucht werden soll.

Beispiel für einen Detektor für ein Microsoft-Vertraulichkeitslabel

In diesem inspect_config-Beispiel wird ein benutzerdefinierter infoType namens CUSTOM_MIP_HIGHLY_CONFIDENTIAL definiert. Dieser benutzerdefinierte infoType erkennt ein Microsoft Purview Information Protection-Label, das die GUID 12345678-9012-3456-7890-123456789012 enthält und aktiviert ist:

{
  "inspect_config": {
    "custom_info_types": [
      {
        "info_type": {
          "name": "CUSTOM_MIP_HIGHLY_CONFIDENTIAL"
        },
        "likelihood": "VERY_LIKELY",
        "metadata_key_value_expression": {
          "key_regex": "MSIP_Label_12345678-9012-3456-7890-123456789012_Enabled",
          "value_regex": "true"
        }
      }
    ],
    "min_likelihood": "POSSIBLE"
  }
}

Wenn Sie diese Konfiguration in einem Prüfjob verwenden, generiert der Schutz sensibler Daten ein CUSTOM_MIP_HIGHLY_CONFIDENTIAL-Ergebnis, wenn Inhalte gefunden werden, bei denen der Metadatenschlüssel MSIP_Label_12345678-9012-3456-7890-123456789012_Enabled den Wert true hat.

Nach vom Client bereitgestellten Metadaten suchen

So suchen Sie nach vom Client bereitgestellten Metadatenlabels:

1. Erstellen Sie einen benutzerdefinierten infoType-Detektor für Metadatenlabels.
2. Fügen Sie die Metadaten, die Sie prüfen möchten, in das Feld ContentMetadata Ihres ContentItem ein.

Beispielanfrage zum Scannen von vom Client bereitgestellten Metadaten

Das folgende Beispiel zeigt eine InspectContent-Anfrage, die sowohl eine PDF-Datei als auch vom Client bereitgestellte Metadaten enthält. Die Anfrage verwendet einen benutzerdefinierten infoType namens CUSTOM_MIP_CONFIDENTIAL_INTERNAL_USE, um sowohl die Datei als auch die bereitgestellten Metadaten nach Dateien zu durchsuchen, die als „Vertraulich“ oder „Nur für den internen Gebrauch“ gekennzeichnet sind.

{
  "inspect_config": {
    "custom_info_types": [
      {
        "info_type": {
          "name": "CUSTOM_MIP_CONFIDENTIAL_INTERNAL_USE"
        },
        "likelihood": "VERY_LIKELY",
        "metadata_key_value_expression": {
          "key_regex": "MSIP_Label_.*_Name",
          "value_regex": "Confidential|Internal Use"
        }
      }
    ]
  },
  "item": {
    "byte_item": {
      "type": "PDF",
      "data": "BASE64_ENCODED_PDF"
    },
    "content_metadata": {
      "properties": [
        {
          "key": "MSIP_Label_174b6716-c2ea-4041-b631-5633733fbe46_Name",
          "value": "Confidential"
        }
      ]
    }
  }
}

Ersetzen Sie BASE64_ENCODED_PDF durch eine base64-codierte Datei, die gescannt werden soll.

Wenn der Schutz sensibler Daten eine Übereinstimmung in den vom Client bereitgestellten Metadaten findet, ist der MetadataType des Ergebnisses für MetadataLocation CLIENT_PROVIDED_METADATA. Wenn die Übereinstimmung in den aus der Datei extrahierten Metadaten liegt, z. B. einem MSIP-Label, ist der Wert CONTENT_METADATA.

Der MetadataType für MetadataLocation wird basierend darauf ausgefüllt, ob die Übereinstimmung in den aus der Datei extrahierten oder vom Client bereitgestellten Metadaten liegt.

Nächste Schritte

• Erstellen Sie in Model Armor eine erweiterte Konfiguration für den Schutz sensibler Daten.