Benutzerdefinierten Detektor für Metadatenlabels erstellen

In diesem Dokument wird beschrieben, wie Sie Sensitive Data Protection so konfigurieren, dass bestimmte Metadatenlabels in Ihren Inhalten erkannt werden.

In diesem Dokument sind Metadaten-Labels Dateilabels, die in unterstützte Dateien eingebettet sind, oder Metadaten, die von Ihrer Clientanwendung in der Prüfanfrage bereitgestellt werden. Wenn Sensitive Data Protection Inhalte findet, die Ihren Metadatenkriterien entsprechen, wird ein Ergebnis generiert.

Wenn Sie nach Metadatenlabels suchen möchten, erstellen Sie einen benutzerdefinierten InfoType für Metadatenlabels. Konfigurieren Sie dann den Prüf- oder Erkennungs-Scan so, dass nach diesem infoType gesucht wird.

Vorteile und Anwendungsfälle

Mit dieser Funktion können Sie Ihre vorhandenen Klassifizierungstaxonomien für die Inhaltsprüfung und die Durchsetzung von Richtlinien verwenden. Wenn Sie ein benutzerdefiniertes oder Drittanbieter-Klassifizierungssystem verwenden, das Metadatenlabels auf Ihre Dokumente anwendet, können Sie Sensitive Data Protection so konfigurieren, dass diese Metadatenlabels bei Ihren Prüf- oder Ermittlungsvorgängen erkannt werden.

Beispiele für Anwendungsfälle:

  • Dateien nach Google Drive-Labels oder Microsoft-Vertraulichkeitslabels durchsuchen, die bestimmte Metadaten enthalten.
  • Kombinieren Sie die Erkennung von Metadatenlabels mit der Standarderkennung von infoTypes, um einen mehrschichtigen Ansatz zu erhalten.
  • Metadaten scannen, die von Ihrer Clientanwendung zusammen mit den Inhalten übergeben werden, auch wenn die Metadaten nicht in die Datei eingebettet sind. In diesem Dokument wird diese Art von Metadaten als vom Kunden bereitgestellte Metadaten bezeichnet.
  • Dokumente mit Model Armor anhand bestimmter Metadaten-Labels bereinigen. Wenn Sie diese Funktion mit Model Armor oder Diensten, die Model Armor verwenden, wie Gemini Enterprise, nutzen möchten, müssen Sie eine erweiterte Sensitive Data Protection-Konfiguration in Model Armor erstellen, die auf diesen benutzerdefinierten Metadatenlabel-Detektor verweist.

Unterstützte Metadatenformate

Mit dieser Funktion können die folgenden Arten von Metadaten erkannt werden:

  • Google Drive-Labels
  • Microsoft-Vertraulichkeitslabels für die folgenden Dateitypen:

    • DOCX
    • PDF
    • PPTX
    • XLSX
  • Vom Kunden bereitgestellte Metadaten

Nicht unterstützte Konfigurationen

Benutzerdefinierte Label-Erkennung für Metadaten wird in den folgenden Fällen nicht unterstützt:

Metadatenlabel-Detektor erstellen

Wenn Sie einen Metadatenlabel-Detektor erstellen möchten, definieren Sie ein CustomInfoType-Objekt in einem InspectConfig-Objekt. Definieren Sie je nach Art der Metadaten, die Sie scannen möchten, eine der folgenden Optionen:

Metadatenlabel-Erkennung zum Scannen von Dateilabels erstellen

Wenn Sie nach Google Drive-Labels oder Microsoft-Vertraulichkeitslabels suchen möchten, definieren Sie ein CustomInfoType mit einem FileLabelInfoType:

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_METADATA_LABEL_NAME"
        },
        "likelihood": "LIKELIHOOD",
        "sensitivityScore": {
          "score": "SENSITIVITY_SCORE"
        },
        "fileLabelInfoType": {
          "googleDriveLabel": {
            "labelId": "LABEL_ID",
            "labelFieldsToMatch": [
              {
                "id": "FIELD_ID",
                "value": "FIELD_VALUE"
              }
            ]
          },
          "sensitivityLabel": {
            "guid": "GUID"
          }
        }
      }
    ]
  }
}

Ersetzen Sie Folgendes:

  • CUSTOM_METADATA_LABEL_NAME: Der Name, der dem benutzerdefinierten infoType-Detektor zugewiesen werden soll.
  • LIKELIHOOD: Optional. Der Likelihood-Wert, der allen Ergebnissen zugewiesen werden soll, die mit diesem benutzerdefinierten infoType übereinstimmen. Wenn Sie dieses Feld weglassen, ist die Standardwahrscheinlichkeit VERY_LIKELY.
  • SENSITIVITY_SCORE: Optional. Die SensitivityScore, die allen Ergebnissen zugewiesen werden soll, die diesem benutzerdefinierten infoType entsprechen. Wenn Sie dieses Feld weglassen, ist der Standardwert für den Sensibilitätswert HIGH.

    Sensitivitätswerte werden in Datenprofilen verwendet. Beim Erstellen von Profilen für Ihre Daten verwendet Sensitive Data Protection die Vertraulichkeitswerte der infoTypes, um die Vertraulichkeitsstufe zu berechnen.

  • LABEL_ID: Optional. Die ID eines Google Drive-Labels, das übereinstimmen soll. Wenn Sie nur ein LABEL_ID angeben, wird vom Detektor jede Datei abgeglichen, auf die dieses Google Drive-Label angewendet wurde, unabhängig von den Feldwerten. Wenn Sie bestimmte Feldwerte innerhalb eines Labels abgleichen möchten, fügen Sie ein labelFieldsToMatch-Objekt ein.

  • FIELD_ID: Erforderlich, wenn Sie ein labelFieldsToMatch-Objekt angeben. Die ID eines Google Drive-Labelfelds, das übereinstimmen soll.

  • FIELD_VALUE: Erforderlich, wenn Sie ein labelFieldsToMatch-Objekt angeben. Der Wert eines Google Drive-Labelfelds, der übereinstimmen soll.

  • GUID: Optional. Die GUID eines Microsoft-Vertraulichkeitslabels, das abgeglichen werden soll.

Beispieldetektor für ein Google Drive-Label

In diesem inspectConfig-Beispiel wird ein benutzerdefinierter infoType namens CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL definiert. Dieser benutzerdefinierte infoType erkennt ein Google Drive-Label mit folgenden Eigenschaften:

  • Die Label-ID mydrive-label-id
  • Innerhalb dieses Labels ein Feld mit der ID sensitivity-field-id und dem Wert confidential.

Wenn Sie in labelFieldsToMatch keine Feld-ID und keinen Wert angeben, werden mit diesem benutzerdefinierten infoType die Dateien mit dem Label mydrive-label-id erkannt, unabhängig davon, ob Label-Felder vorhanden sind.

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL"
        },
        "likelihood": "VERY_LIKELY",
        "fileLabelInfoType": {
          "googleDriveLabel": {
            "labelId": "mydrive-label-id",
            "labelFieldsToMatch": [
              {
                "id": "sensitivity-field-id",
                "value": "confidential"
              }
            ]
          }
        }
      }
    ],
    "minLikelihood": "POSSIBLE"
  }
}

Wenn Sie diese Konfiguration in einem Inspektionsjob verwenden, generiert Sensitive Data Protection ein CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL-Ergebnis, wenn eine Übereinstimmung gefunden wird.

Beispieldetektor für ein Microsoft-Vertraulichkeitslabel

In diesem inspectConfig-Beispiel wird ein benutzerdefinierter infoType namens CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL definiert. Dieser benutzerdefinierte infoType erkennt ein Microsoft-Vertraulichkeitslabel, das die GUID 12345678-9012-3456-7890-123456789012 enthält:

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL"
        },
        "likelihood": "VERY_LIKELY",
        "fileLabelInfoType": {
          "sensitivityLabel": {
            "guid": "12345678-9012-3456-7890-123456789012"
          }
        }
      }
    ],
    "minLikelihood": "POSSIBLE"
  }
}

Wenn Sie diese Konfiguration in einem Inspektionsjob verwenden, generiert Sensitive Data Protection ein CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL-Ergebnis, wenn eine Übereinstimmung gefunden wird.

Metadatenlabel-Detektor erstellen, um nach benutzerdefinierten Schlüssel/Wert-Paaren zu suchen

So verwenden Sie reguläre Ausdrücke, um clientseitig bereitgestellte Metadaten nach benutzerdefinierten Schlüssel/Wert-Paaren zu durchsuchen:

  1. Definieren Sie eine CustomInfoType mit einem MetadataKeyValueExpression:

    {
      "inspectConfig": {
        "customInfoTypes": [
          {
            "infoType": {
              "name": "CUSTOM_METADATA_LABEL_NAME"
            },
            "likelihood": "LIKELIHOOD",
            "sensitivityScore": {
              "score": "SENSITIVITY_SCORE"
            },
            "metadataKeyValueExpression": {
              "keyRegex": "KEY_REGULAR_EXPRESSION",
              "valueRegex": "VALUE_REGULAR_EXPRESSION"
            }
          }
        ]
      }
    }
    

    Ersetzen Sie Folgendes:

    • CUSTOM_METADATA_LABEL_NAME: Der Name, der dem benutzerdefinierten infoType-Detektor zugewiesen werden soll.
    • LIKELIHOOD: Optional. Der Likelihood-Wert, der allen Ergebnissen zugewiesen werden soll, die mit diesem benutzerdefinierten infoType übereinstimmen. Wenn Sie dieses Feld weglassen, ist die Standardwahrscheinlichkeit VERY_LIKELY.
    • SENSITIVITY_SCORE: Optional. Die SensitivityScore, die allen Ergebnissen zugewiesen werden soll, die diesem benutzerdefinierten infoType entsprechen. Wenn Sie dieses Feld weglassen, ist der Standardwert für den Sensitivitätsindex HIGH.

      Sensitivitätswerte werden in Datenprofilen verwendet. Beim Erstellen von Profilen für Ihre Daten verwendet Sensitive Data Protection die Vertraulichkeitswerte der infoTypes, um die Vertraulichkeitsstufe zu berechnen.

    • KEY_REGULAR_EXPRESSION: Ein regulärer Ausdruck, nach dem in den Schlüsseln von Metadatenlabels gesucht werden soll.

    • VALUE_REGULAR_EXPRESSION: Ein regulärer Ausdruck, nach dem in den Werten von Metadatenlabels gesucht werden soll.

  2. Geben Sie in Ihrer content.inspect-Anfrage die vom Kunden bereitgestellten Metadaten im Feld ContentMetadata der ContentItem an.

Beispielanfrage zum Scannen von vom Kunden bereitgestellten Metadaten

Das folgende Beispiel zeigt eine content.inspect-Anfrage, die sowohl eine PDF-Datei als auch vom Kunden bereitgestellte Metadaten enthält. In der Anfrage wird ein benutzerdefinierter infoType namens CUSTOM_METADATA_CLASSIFICATION verwendet, um nach Dateien zu suchen, die als „Vertraulich“ oder „Interne Verwendung“ gekennzeichnet sind.

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_METADATA_CLASSIFICATION"
        },
        "likelihood": "VERY_LIKELY",
        "metadataKeyValueExpression": {
          "keyRegex": "classification",
          "valueRegex": "Confidential|Internal Use"
        }
      }
    ]
  },
  "item": {
    "byteItem": {
      "type": "PDF",
      "data": "BASE64_ENCODED_PDF"
    },
    "contentMetadata": {
      "properties": [
        {
          "key": "classification",
          "value": "Confidential"
        }
      ]
    }
  }
}

Ersetzen Sie BASE64_ENCODED_PDF durch eine base64-codierte Datei, die gescannt werden soll.

Sensitive Data Protection generiert ein Ergebnis, wenn eine Übereinstimmung im Inhalt gefunden wird. Die MetadataType der Erkenntnis für MetadataLocation wird basierend darauf ausgefüllt, ob die Übereinstimmung in die Datei eingebettet ist (CONTENT_METADATA) oder vom Client bereitgestellt wird (CLIENT_PROVIDED_METADATA).

Nächste Schritte