建立自訂中繼資料標籤偵測工具

本文說明如何設定 Sensitive Data Protection,偵測內容中的特定中繼資料標籤。

本文中的「中繼資料標籤」是指內嵌在支援檔案中的檔案標籤,或是用戶端應用程式在檢查要求中提供的中繼資料。如果 Sensitive Data Protection 找到符合中繼資料條件的內容,就會產生發現項目。

如要掃描中繼資料標籤,請建立自訂中繼資料標籤 infoType。然後,設定檢查或探索掃描作業,搜尋該 infoType。

優點及用途

這項功能可讓您使用現有的內容分類分類法,檢查內容並執行政策。如果您使用自訂或第三方分類系統,為文件套用中繼資料標籤,可以設定 Sensitive Data Protection,在檢查或探索作業期間偵測這些中繼資料標籤。

應用實例包括:

  • 掃描檔案中是否含有特定中繼資料的 Google 雲端硬碟標籤Microsoft 敏感度標籤
  • 結合中繼資料標籤偵測與標準 infoType 偵測,採取多層式做法。
  • 掃描用戶端應用程式連同內容傳遞的中繼資料,即使中繼資料未嵌入檔案中也一樣。本文將這類中繼資料稱為「用戶端提供的中繼資料」
  • 根據特定中繼資料標籤,使用 Model Armor 清理文件。如要搭配使用這項功能和 Model Armor,或是使用 Model Armor 的服務 (例如 Gemini Enterprise),您必須在 Model Armor 中建立進階的 Sensitive Data Protection 設定,並參照這個自訂中繼資料標籤偵測器。

支援的中繼資料格式

這項功能可偵測下列類型的中繼資料:

  • Google 雲端硬碟標籤
  • 下列檔案類型上的 Microsoft 敏感度標籤:

    • DOCX
    • PDF
    • PPTX
    • XLSX
  • 客戶提供的中繼資料

不支援的設定

下列項目不支援自訂中繼資料標籤偵測器:

建立中繼資料標籤偵測器

如要建立中繼資料標籤偵測器,請在 InspectConfig 物件中定義 CustomInfoType。根據要掃描的中繼資料類型,定義下列其中一項:

建立中繼資料標籤偵測器,掃描檔案標籤

如要掃描 Google 雲端硬碟標籤或 Microsoft 敏感度標籤,請定義具有 FileLabelInfoTypeCustomInfoType

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_METADATA_LABEL_NAME"
        },
        "likelihood": "LIKELIHOOD",
        "sensitivityScore": {
          "score": "SENSITIVITY_SCORE"
        },
        "fileLabelInfoType": {
          "googleDriveLabel": {
            "labelId": "LABEL_ID",
            "labelFieldsToMatch": [
              {
                "id": "FIELD_ID",
                "value": "FIELD_VALUE"
              }
            ]
          },
          "sensitivityLabel": {
            "guid": "GUID"
          }
        }
      }
    ]
  }
}

更改下列內容:

  • CUSTOM_METADATA_LABEL_NAME:要指派給自訂 infoType 偵測工具的名稱。
  • LIKELIHOOD:選用。要指派給所有符合這個自訂 infoType 的發現項目的 Likelihood 值。如果省略這個欄位,預設可能性層級為 VERY_LIKELY
  • SENSITIVITY_SCORE:選用。SensitivityScore,將這個自訂 infoType 指派給所有相符的發現項目。如果省略這個欄位,預設的敏感度分數為 HIGH

    敏感度分數會用於資料剖析。在分析資料時,Sensitive Data Protection 會使用 infoType 的機密程度分數計算機密程度

  • LABEL_ID:選用。要比對的 Google 雲端硬碟標籤 ID。如果只指定 LABEL_ID,偵測器會比對套用該 Google 雲端硬碟標籤的任何檔案,不論其欄位值為何。如要比對標籤內的特定欄位值,請加入 labelFieldsToMatch 物件。

  • FIELD_ID:如果您指定 labelFieldsToMatch 物件,則為必要欄位。要比對的 Google 雲端硬碟標籤欄位 ID。

  • FIELD_VALUE:如果您指定 labelFieldsToMatch 物件,則為必要欄位。要比對的 Google 雲端硬碟標籤欄位值。

  • GUID:選用。要比對的 Microsoft 機密程度標籤 GUID。

Google 雲端硬碟標籤的偵測器範例

這個 inspectConfig 範例會定義名為 CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL 的自訂 infoType。這項自訂 infoType 會偵測具有下列特徵的 Google 雲端硬碟標籤:

  • 標籤 ID mydrive-label-id
  • 該標籤內有一個 ID 為 sensitivity-field-id 的欄位,值為 confidential

如果您未在 labelFieldsToMatch 中指定欄位 ID 和值,這個自訂 infoType 會偵測具有 mydrive-label-id 標籤的檔案,無論是否有任何標籤欄位。

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL"
        },
        "likelihood": "VERY_LIKELY",
        "fileLabelInfoType": {
          "googleDriveLabel": {
            "labelId": "mydrive-label-id",
            "labelFieldsToMatch": [
              {
                "id": "sensitivity-field-id",
                "value": "confidential"
              }
            ]
          }
        }
      }
    ],
    "minLikelihood": "POSSIBLE"
  }
}

在檢查工作中,如果使用這項設定,Sensitive Data Protection 發現相符項目時,就會產生 CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL 發現項目。

Microsoft 敏感度標籤的偵測器範例

這個 inspectConfig 範例會定義名為 CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL 的自訂 infoType。這個自訂 infoType 會偵測包含 GUID 12345678-9012-3456-7890-123456789012 的 Microsoft 機密程度標籤:

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL"
        },
        "likelihood": "VERY_LIKELY",
        "fileLabelInfoType": {
          "sensitivityLabel": {
            "guid": "12345678-9012-3456-7890-123456789012"
          }
        }
      }
    ],
    "minLikelihood": "POSSIBLE"
  }
}

在檢查工作中,如果使用這項設定,Sensitive Data Protection 發現相符項目時,就會產生CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL發現項目。

建立中繼資料標籤偵測工具,掃描自訂鍵值組合

如要使用規則運算式掃描用戶提供的中繼資料,找出自訂鍵值組合,請按照下列步驟操作:

  1. 定義具有 MetadataKeyValueExpressionCustomInfoType

    {
      "inspectConfig": {
        "customInfoTypes": [
          {
            "infoType": {
              "name": "CUSTOM_METADATA_LABEL_NAME"
            },
            "likelihood": "LIKELIHOOD",
            "sensitivityScore": {
              "score": "SENSITIVITY_SCORE"
            },
            "metadataKeyValueExpression": {
              "keyRegex": "KEY_REGULAR_EXPRESSION",
              "valueRegex": "VALUE_REGULAR_EXPRESSION"
            }
          }
        ]
      }
    }
    

    更改下列內容:

    • CUSTOM_METADATA_LABEL_NAME:要指派給自訂 infoType 偵測工具的名稱。
    • LIKELIHOOD:選用。要指派給所有符合這個自訂 infoType 的發現項目的 Likelihood 值。如果省略這個欄位,預設可能性層級為 VERY_LIKELY
    • SENSITIVITY_SCORE:選用。SensitivityScore,將這個自訂 infoType 指派給所有相符的發現項目。如果省略這個欄位,預設的敏感度分數為 HIGH

      敏感度分數會用於資料剖析。在分析資料時,Sensitive Data Protection 會使用 infoType 的機密程度分數計算機密程度

    • KEY_REGULAR_EXPRESSION:用於搜尋中繼資料標籤鍵的規則運算式。

    • VALUE_REGULAR_EXPRESSION:要在中繼資料標籤值中搜尋的規則運算式。

  2. content.inspect 要求中,於 ContentItemContentMetadata 欄位中指定用戶端提供的中繼資料。

掃描用戶端提供中繼資料的要求範例

以下範例顯示 content.inspect 要求,其中包含 PDF 檔案和用戶端提供的中繼資料。這項要求會使用名為 CUSTOM_METADATA_CLASSIFICATION 的自訂 infoType,掃描標示為「機密」或「內部使用」的檔案。

{
  "inspectConfig": {
    "customInfoTypes": [
      {
        "infoType": {
          "name": "CUSTOM_METADATA_CLASSIFICATION"
        },
        "likelihood": "VERY_LIKELY",
        "metadataKeyValueExpression": {
          "keyRegex": "classification",
          "valueRegex": "Confidential|Internal Use"
        }
      }
    ]
  },
  "item": {
    "byteItem": {
      "type": "PDF",
      "data": "BASE64_ENCODED_PDF"
    },
    "contentMetadata": {
      "properties": [
        {
          "key": "classification",
          "value": "Confidential"
        }
      ]
    }
  }
}

BASE64_ENCODED_PDF 替換為要掃描的 Base64 編碼檔案。

如果 Sensitive Data Protection 在內容中找到相符項目,就會產生發現結果。系統會根據比對項目是內嵌在檔案中 (CONTENT_METADATA) 還是由用戶端提供 (CLIENT_PROVIDED_METADATA),填入發現項目的MetadataTypeMetadataLocation

後續步驟

  • Model Armor 中建立進階的 Sensitive Data Protection 設定。