I rilevatori di infoType integrati di Cloud Data Loss Prevention sono efficaci per trovare tipi di dati sensibili comuni. I rilevatori di infoType personalizzati consentono di personalizzare completamente il rilevatore di dati sensibili. Le regole di ispezione consentono di perfezionare i risultati della scansione restituiti da Cloud DLP, modificando il meccanismo di rilevamento di un determinato rilevatore di infoType.
Se vuoi escludere o includere più valori dai risultati che vengono restituiti da un rilevatore di infoType integrato, puoi creare un nuovo infoType personalizzato da zero e definire tutti i criteri che Cloud DLP dovrebbe cercare. In alternativa, puoi perfezionare i risultati restituiti dai rilevatori integrati o personalizzati di Cloud DLP in base ai criteri da te specificati. Per farlo, puoi aggiungere regole di ispezione che possono contribuire a ridurre il rumore, aumentare la precisione e il richiamo o regolare la probabilità dei risultati della scansione.
In questo argomento si spiega come utilizzare i due tipi di regole di ispezione per escludere determinati risultati o aggiungerne altri, in base a criteri personalizzati specificati da te. In questo argomento sono presenti diversi scenari in cui potresti voler modificare un rilevatore infoType esistente.
I due tipi di regole di ispezione sono:
- Regole di esclusione, che consentono di escludere i risultati falsi o indesiderati.
- Regole per hotword, che consentono di rilevare ulteriori risultati.
Regole di esclusione
Le regole di esclusione sono utili in situazioni come le seguenti:
- Vuoi escludere le corrispondenze di scansione duplicate nei risultati causati dai rilevatori di infoType sovrapposti. Ad esempio, stai cercando indirizzi email e numeri di telefono, ma ricevi due hit per gli indirizzi email che contengono numeri di telefono come "206-555-0764@example.org".
- Stai riscontrando rumori nei risultati della scansione. Ad esempio, stai visualizzando lo stesso indirizzo email fittizio (come example@example.com") o dominio (ad esempio "example.com") ha restituito un numero eccessivo di volte cercando un indirizzo email legittimo.
- Hai un elenco di termini, frasi o combinazioni di caratteri che vuoi escludere dai risultati.
Panoramica dell'API Exclusion rules
Cloud DLP definisce una regola di esclusione nell'oggetto ExclusionRule. All'interno di ExclusionRule, devi specificare uno dei seguenti valori:
- Un oggetto
Dictionaryche indica che la regola di esclusione è una normale regola del dizionario. - Un oggetto
Regex, che indica che la regola di esclusione è una regola di espressione regolare. - Un oggetto
ExcludeInfoTypes, che contiene un array di rilevatori di infoType. Se un risultato corrisponde a uno dei rilevatori infoType elencati qui, il risultato sarà escluso dai risultati di scansione.
Scenari di esempio della regola di esclusione
Ciascuno dei seguenti snippet JSON illustra come configurare Cloud DLP per lo scenario specificato.
Ometti indirizzi email specifici dalla scansione del rilevatore EMAIL_ADDRESS
Il seguente codice e snippet JSON in diverse lingue illustra come
indicare a Cloud DLP con un
InspectConfig
che dovrebbe evitare la corrispondenza su
"example@example.com" in una scansione che utilizza il rilevatore infoType EMAIL_ADDRESS:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"rules":[
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"example@example.com"
]
}
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Ometti indirizzi email che terminano con un dominio specifico dalla ricerca di rilevatori EMAIL_ADDRESS
Il seguente snippet JSON e il codice in diversi linguaggi spiegano come indicare a Cloud DLP con InspectConfig che dovrebbe evitare la corrispondenza con tutti gli indirizzi email che terminano con "@example.com" in una scansione che utilizza il rilevatore infoType EMAIL_ADDRESS:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"rules":[
{
"exclusionRule":{
"regex":{
"pattern":".+@example.com"
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Ometti corrispondenze di scansione che includono la sottostringa "TEST".
Il seguente codice e snippet JSON in diversi linguaggi mostra come indicare a Cloud DLP con InspectConfig che dovrebbe escludere tutti i risultati che includono il token "TEST" dall'elenco di infoType specificato.
Tieni presente che questo corrisponde a "TEST", come token, non a sottostringa, in modo che, anche se qualcosa come "TEST@email.com", corrisponderà e non corrisponderà a "TESTER@email.com". Se vuoi eseguire la corrispondenza in una sottostringa, utilizza un'espressione regolare nella regola di esclusione anziché in un dizionario.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
},
{
"name":"DOMAIN_NAME"
},
{
"name":"PHONE_NUMBER"
},
{
"name":"PERSON_NAME"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
},
{
"name":"DOMAIN_NAME"
},
{
"name":"PHONE_NUMBER"
},
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"TEST"
]
}
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Ometti corrispondenze di scansione che includono la sottostringa "Jimmy" a partire da una scansione personalizzata del rilevatore di infoType
Il seguente codice e snippet JSON in diversi linguaggi mostra come indicare a Cloud DLP con InspectConfig che dovrebbe evitare la corrispondenza con il nome "Jimmy" in una scansione che utilizza il rilevatore regex personalizzato:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"customInfoTypes":[
{
"infoType":{
"name":"CUSTOM_NAME_DETECTOR"
},
"regex":{
"pattern":"[A-Z][a-z]{1,15}, [A-Z][a-z]{1,15}"
}
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"CUSTOM_NAME_DETECTOR"
}
],
"rules":[
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"Jimmy"
]
}
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Ometti le scansioni di una corrispondenza del rilevatore Persona_NAME che si sovrappongono a un rilevatore personalizzato
In questo scenario, l'utente non vuole una corrispondenza da una scansione Cloud DLP
utilizzando il rilevatore integrato PERSON_NAME restituito se la corrispondenza corrisponde anche
in una scansione utilizzando il rilevatore personalizzato regex definito nella prima parte
dello snippet.
Il seguente codice e snippet JSON in diverse lingue specifica sia un rilevatore regex personalizzato sia una regola di esclusione in InspectConfig.
Il rilevatore dell'espressione regolare personalizzato specifica i nomi da escludere dai risultati. La regola di esclusione specifica che, se anche qualsiasi risultato restituito da una scansione di PERSON_NAME corrisponde al rilevatore personalizzato dell'espressione regolare, viene omesso. Tieni presente che VIP_DETECTOR in questo caso è contrassegnato come
EXCLUSION_TYPE_EXCLUDE, quindi non produrrà risultati. Interessa solo i risultati prodotti dal rilevatore PERSON_NAME.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"customInfoTypes":[
{
"infoType":{
"name":"VIP_DETECTOR"
},
"regex":{
"pattern":"Larry Page|Sergey Brin"
},
"exclusionType":"EXCLUSION_TYPE_EXCLUDE"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"exclusionRule":{
"excludeInfoTypes":{
"infoTypes":[
{
"name":"VIP_DETECTOR"
}
]
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Ometti corrispondenze nel rilevatore Persona_NAME se corrispondono anche al rilevatore EMAIL_ADDRESS
Il seguente codice e snippet JSON in diverse lingue indicano come
indicare a Cloud DLP con un
InspectConfig
che dovrebbe restituire solo una corrispondenza nel caso che corrisponda al
rilevatore PERSON_NAME con corrispondenze per il rilevatore EMAIL_ADDRESS.
Ciò consente di evitare la situazione in cui un indirizzo email, come
"giacomo@example.com" corrisponda a entrambi i rilevatori PERSON_NAME e EMAIL_ADDRESS.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
},
{
"name":"EMAIL_ADDRESS"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"exclusionRule":{
"excludeInfoTypes":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
]
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Ometti corrispondenze nei nomi di dominio che fanno parte di indirizzi email in una scansione del rilevatore di Domains_NAME
Il seguente codice e snippet JSON in diversi linguaggi indicano come
indicare a Cloud DLP utilizzando un elemento
InspectConfig
che dovrebbe restituire corrispondenze per una scansione del rilevatore DOMAIN_NAME solo se
la corrispondenza non si sovrappone a una scansione del rilevatore EMAIL_ADDRESS. In questo scenario, la scansione principale è un'analisi del rilevatore DOMAIN_NAME. L'utente non vuole che venga restituita una corrispondenza del nome di dominio se il nome di dominio viene utilizzato in un indirizzo email:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"DOMAIN_NAME"
},
{
"name":"EMAIL_ADDRESS"
}
],
"customInfoTypes":[
{
"infoType":{
"name":"EMAIL_ADDRESS"
},
"exclusionType":"EXCLUSION_TYPE_EXCLUDE"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"DOMAIN_NAME"
}
],
"rules":[
{
"exclusionRule":{
"excludeInfoTypes":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
]
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Regole per hotword
Le regole per le hotword sono utili in situazioni come le seguenti:
- Vuoi modificare i valori di probabilità assegnati alle scansioni delle corrispondenze in base alla vicinanza della corrispondenza a una hotword. Ad esempio, vuoi impostare un valore di probabilità più elevato per le corrispondenze con i nomi dei pazienti, a seconda dei nomi e della vicinanza alla parola "paziente".
- Quando esamini i dati strutturati e tabulari, vuoi modificare i valori di probabilità assegnati per le corrispondenze in base a un nome di intestazione di colonna. Ad esempio, vuoi impostare il valore di probabilità più alto per
US_SOCIAL_SECURITY_NUMBERquando trovato in una colonna con l'intestazioneACCOUNT_ID.
Panoramica dell'API Regole hotword
All'interno dell'oggetto
InspectionRule
di Cloud DLP, specifichi un oggetto
HotwordRule, che regola la probabilità dei risultati
in prossimità di una serie di hotword.
Gli oggetti InspectionRule sono raggruppati come "set di regole" in un oggetto InspectionRuleSet e un elenco di rilevatori di infoType a cui si applica il set di regole. Le regole
all'interno di un insieme di regole vengono applicate nell'ordine specificato.
Scenari di esempio delle regole per le hotword
Il seguente snippet di codice illustra come configurare Cloud DLP per lo scenario specificato.
Aumenta la probabilità di far corrispondere una persona Persona_NAME se nelle vicinanze c'è l'hotword "paziente".
Il seguente codice e snippet JSON in diverse lingue spiegano come utilizzare la proprietà InspectConfig per eseguire la scansione di un database medico alla ricerca di nomi di pazienti. Puoi utilizzare il rilevatore infoType PERSON_NAME integrato di Cloud DLP,
ma questo causerà una corrispondenza tra tutti i nomi delle
persone, non solo i nomi dei pazienti. Per risolvere il problema, puoi includere una regola per le hotword che cerca la parola "paziente" entro un determinato carattere dal primo carattere delle potenziali corrispondenze. Puoi quindi assegnare risultati che corrispondono a questo modello a una probabilità di "molto probabile" perché corrispondono ai tuoi criteri speciali. L'impostazione del
valore minimo
Likelihood
su VERY_LIKELY all'interno di
InspectConfig
assicura che solo le corrispondenze con questa configurazione vengano restituite nei risultati.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"hotwordRule":{
"hotwordRegex":{
"pattern":"patient"
},
"proximity":{
"windowBefore":50
},
"likelihoodAdjustment":{
"fixedLikelihood":"VERY_LIKELY"
}
}
}
]
}
],
"minLikelihood":"VERY_LIKELY"
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Per informazioni più dettagliate sulle hotword, consulta Personalizzare la probabilità di corrispondenza.
Scenario con più regole di ispezione
Il seguente
InspectConfig
snippet e codice JSON in diverse lingue illustra l'applicazione di regole di esclusione
e hotword. Il set di regole di questo snippet include sia le regole hotword sia le regole di esclusione dei dizionari e regex. Nota che le quattro regole sono specificate
in un array all'interno dell'elemento rules.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"hotwordRule":{
"hotwordRegex":{
"pattern":"patient"
},
"proximity":{
"windowBefore":10
},
"likelihoodAdjustment":{
"fixedLikelihood":"VERY_LIKELY"
}
}
},
{
"hotwordRule":{
"hotwordRegex":{
"pattern":"doctor"
},
"proximity":{
"windowBefore":10
},
"likelihoodAdjustment":{
"fixedLikelihood":"UNLIKELY"
}
}
},
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"Quasimodo"
]
}
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
},
{
"exclusionRule":{
"regex":{
"pattern":"REDACTED"
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Java
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
C#
Per informazioni su come installare e utilizzare la libreria client per Cloud DLP, consulta le librerie client di Cloud DLP.
Rilevatori di infoType sovrapposti
È possibile definire un rilevatore di infoType personalizzato con lo stesso nome di un rilevatore infoType integrato. Come mostrato nell'esempio nella sezione "Scenari di esempio di regole per hotword", quando crei un rilevatore di infoType personalizzato con lo stesso nome di un infoType integrato, gli eventuali risultati rilevati dal nuovo rilevatore di infoType vengono aggiunti a quelli rilevati dal rilevatore integrato. Ciò è valido solo finché l'infoType integrato è specificato nell'elenco di infoType nell'oggetto InspectConfig.
Quando crei nuovi rilevatori di infoType personalizzati, verificali attentamente per i contenuti di esempio per assicurarti che funzionino come previsto.