I rilevatori infoType integrati di Cloud Data Loss Prevention sono efficaci nel trovare tipi comuni di dati sensibili. I rilevatori di infoType personalizzati consentono di personalizzare completamente il tuo rilevatore di dati sensibile. Le regole di ispezione consentono di perfezionare i risultati della scansione restituiti da Cloud DLP modificando il meccanismo di rilevamento di un determinato rilevatore infoType.
Se vuoi escludere o includere più valori dai risultati restituiti da un rilevatore di infoType integrato, puoi creare un nuovo infoType personalizzato da zero e definire tutti i criteri che Cloud DLP dovrebbe cercare. In alternativa, puoi perfezionare i risultati restituiti dai rilevatori integrati o personalizzati di Cloud DLP in base ai criteri che hai specificato. Puoi farlo aggiungendo regole di ispezione che possono contribuire a ridurre il rumore, aumentare la precisione e il richiamo o regolare la probabilità dei risultati della scansione.
Questo argomento illustra come utilizzare i due tipi di regole di ispezione per escludere determinati risultati o aggiungerne altri, in base ai criteri personalizzati da te specificati. Questo argomento presenta vari scenari in cui puoi modificare un rilevatore infoType esistente.
I due tipi di regole di ispezione sono:
- Regole di esclusione, che consentono di escludere risultati falsi o indesiderati.
- Regole hotword, che consentono di rilevare risultati aggiuntivi.
Regole di esclusione
Le regole di esclusione sono utili in situazioni come le seguenti:
- Vuoi escludere le corrispondenze di scansione duplicate nei risultati che sono causati da rilevatori di infoType sovrapposti. Ad esempio, stai esaminando gli indirizzi email e i numeri di telefono, ma ricevi due hit relativi agli indirizzi email che contengono numeri di telefono come "206-555-0764@example.org".
- Stai riscontrando rumori nei risultati della scansione. Ad esempio, potresti vedere lo stesso indirizzo email fittizio (come example@example.com) o lo stesso dominio (come "example.com") che ha restituito un numero eccessivo di volte eseguendo una scansione per rilevare indirizzi email legittimi.
- Hai un elenco di termini, frasi o combinazioni di caratteri che vuoi escludere dai risultati.
- Vuoi escludere un'intera colonna di dati dai risultati.
- Vuoi escludere i risultati che si trovano in prossimità di una stringa che corrisponde a un'espressione regolare.
Panoramica dell'API Exclusion Rules
Cloud DLP definisce una regola di esclusione nell'oggetto ExclusionRule. All'interno di ExclusionRule, specifichi una delle seguenti opzioni:
- Un oggetto
Dictionaryche contiene un elenco di stringhe da escludere dai risultati. - Un oggetto
Regexche definisce un pattern di espressione regolare. Le stringhe che corrispondono al pattern vengono escluse dai risultati. - Un oggetto
ExcludeInfoTypesche contiene un array di rilevatori infoType. Se un risultato corrisponde a uno dei rilevatori infoType elencati qui, il risultato viene escluso dai risultati. Un oggetto
ExcludeByHotword, che contiene quanto segue:- Un'espressione regolare che definisce la hotword.
- Un valore di proximity che definisce la vicinanza dell'hotword al risultato.
Se il risultato si trova all'interno della prossimità impostata, viene escluso dai risultati. Per le tabelle, questo tipo di regola di esclusione consente di escludere un'intera colonna di dati dai risultati.
Scenari di esempio delle regole di esclusione
Ciascuno dei seguenti snippet JSON illustra come configurare Cloud DLP per lo scenario specificato.
Ometti un indirizzo email specifico dalla ricerca del rilevatore EMAIL_ADDRESS
Il seguente snippet di codice JSON e il codice in diverse lingue indicano come indicare a Cloud DLP utilizzando un InspectConfig che dovrebbe evitare la corrispondenza su "example@example.com" in una scansione che utilizza il rilevatore di infoType EMAIL_ADDRESS:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"rules":[
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"example@example.com"
]
}
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Ometti gli indirizzi email che terminano con un dominio specifico dalla ricerca del rilevatore EMAIL_ADDRESS
Lo snippet e il codice JSON che seguono in diversi linguaggi indicano come indicare a Cloud DLP utilizzando un elemento InspectConfig che dovrebbe evitare la corrispondenza con qualsiasi indirizzo email che termina con "@example.com" in una scansione che utilizza il rilevatore infoType EMAIL_ADDRESS:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
],
"rules":[
{
"exclusionRule":{
"regex":{
"pattern":".+@example.com"
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Ometti corrispondenze di scansione che includono la sottostringa "TEST"
Il seguente snippet e il codice JSON in diversi linguaggi indicano come indicare a Cloud DLP utilizzando un InspectConfig che deve escludere tutti i risultati che includono il token "TEST" dall'elenco di infoType specificato.
Tieni presente che questa stringa corrisponde a "TEST" come token, non a una sottostringa, quindi anche se qualcosa come "TEST@email.com" corrisponderà, "TESTER@email.com" non corrisponderà. Se vuoi eseguire la corrispondenza in una sottostringa, utilizza un'espressione regolare nella regola di esclusione anziché in un dizionario.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
},
{
"name":"DOMAIN_NAME"
},
{
"name":"PHONE_NUMBER"
},
{
"name":"PERSON_NAME"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
},
{
"name":"DOMAIN_NAME"
},
{
"name":"PHONE_NUMBER"
},
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"TEST"
]
}
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Ometti le corrispondenze della scansione che includono la sottostringa "Jimmy" da una scansione personalizzata del rilevatore di infoType
Lo snippet e il codice JSON che seguono in diversi linguaggi indicano come indicare a Cloud DLP utilizzando un elemento InspectConfig che dovrebbe evitare la corrispondenza con il nome "Jimmy" in una scansione che utilizza il rilevatore di regex personalizzato specificato:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"customInfoTypes":[
{
"infoType":{
"name":"CUSTOM_NAME_DETECTOR"
},
"regex":{
"pattern":"[A-Z][a-z]{1,15}, [A-Z][a-z]{1,15}"
}
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"CUSTOM_NAME_DETECTOR"
}
],
"rules":[
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"Jimmy"
]
}
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Ometti corrispondenze di scansione da un rilevatore di PERSON_NAME che si sovrappongono a un rilevatore personalizzato
In questo scenario, l'utente non vuole una corrispondenza da una scansione di Cloud DLP
utilizzando il rilevatore integrato PERSON_NAME restituito se la corrispondenza verrebbe anche trovata in una scansione utilizzando il rilevatore di regex personalizzato definito nella prima parte
dello snippet.
Il seguente snippet e codice JSON in diverse lingue specifica sia un rilevatore regex personalizzato sia una regola di esclusione in InspectConfig.
Il rilevatore personalizzato delle espressioni regolari specifica i nomi da escludere dai risultati. La regola di esclusione specifica che se un risultato restituito da un'analisi per PERSON_NAME corrisponde anche al rilevatore personalizzato dell'espressione regolare, viene omesso. Tieni presente che in questo caso VIP_DETECTOR è contrassegnato come
EXCLUSION_TYPE_EXCLUDE, quindi non produce risultati. Interessa solo i risultati prodotti dal rilevatore PERSON_NAME.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"customInfoTypes":[
{
"infoType":{
"name":"VIP_DETECTOR"
},
"regex":{
"pattern":"Dana Williams|Quinn Garcia"
},
"exclusionType":"EXCLUSION_TYPE_EXCLUDE"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"exclusionRule":{
"excludeInfoTypes":{
"infoTypes":[
{
"name":"VIP_DETECTOR"
}
]
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Ometti corrispondenze nel rilevatore PERSON_NAME se anche in base al rilevatore EMAIL_ADDRESS
Il seguente snippet di codice JSON e il codice in diverse lingue indicano come indicare a Cloud DLP utilizzando un elemento InspectConfig che dovrebbe restituire solo una corrispondenza nel caso che corrisponda al rilevatore PERSON_NAME si sovrapponga a corrispondenze per il rilevatore EMAIL_ADDRESS.
In questo modo eviterai che la situazione in cui un indirizzo email, come "giacomo@example.com", venga verificato su entrambi i rilevatori PERSON_NAME e EMAIL_ADDRESS.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
},
{
"name":"EMAIL_ADDRESS"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"exclusionRule":{
"excludeInfoTypes":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
]
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Ometti corrispondenze nei nomi di dominio che fanno parte di indirizzi email in una scansione del rilevatore di DOMAIN_NAME
Il seguente snippet e codice JSON in diverse lingue indicano come indicare a Cloud DLP utilizzando un elemento InspectConfig che dovrebbe restituire corrispondenze per una scansione del rilevatore DOMAIN_NAME solo se la corrispondenza non si sovrappone a una corrispondenza del rilevatore EMAIL_ADDRESS. In questo scenario, la scansione principale è una scansione del rilevatore DOMAIN_NAME. L'utente non vuole che venga restituita una corrispondenza di nome di dominio nei risultati se il nome di dominio viene utilizzato in un indirizzo email:
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"DOMAIN_NAME"
},
{
"name":"EMAIL_ADDRESS"
}
],
"customInfoTypes":[
{
"infoType":{
"name":"EMAIL_ADDRESS"
},
"exclusionType":"EXCLUSION_TYPE_EXCLUDE"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"DOMAIN_NAME"
}
],
"rules":[
{
"exclusionRule":{
"excludeInfoTypes":{
"infoTypes":[
{
"name":"EMAIL_ADDRESS"
}
]
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Ometti corrispondenze se si trovano vicino a una stringa
L'esempio seguente mostra come escludere corrispondenze nel rilevatore dell'infoType US_SOCIAL_SECURITY_NUMBER se la parola "SKU" deve trovarsi entro 10 caratteri prima o 10 caratteri dopo il risultato.
A causa della regola di esclusione, questo esempio non classifica 222-22-2222 come numero di previdenza sociale degli Stati Uniti.
{
"item": {
"value": "The customer sent the product SKU 222-22-2222"
},
"inspectConfig": {
"infoTypes": [
{
"name": "US_SOCIAL_SECURITY_NUMBER"
}
],
"ruleSet": [
{
"infoTypes": [
{
"name": "US_SOCIAL_SECURITY_NUMBER"
}
],
"rules": [
{
"exclusionRule": {
"excludeByHotword": {
"hotwordRegex": {
"pattern": "(SKU)"
},
"proximity": {
"windowBefore": 10,
"windowAfter": 10
}
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
],
"includeQuote": true
}
}
Ometti risultati in un'intera colonna di dati
Nell'esempio seguente viene illustrato come escludere i risultati in un'intera colonna di dati tabulari se il nome di quella colonna corrisponde a un'espressione regolare. Qui, qualsiasi risultato che corrisponde al rilevatore infoType US_SOCIAL_SECURITY_NUMBER è escluso dai risultati se il risultato si trova nella colonna Numero di previdenza sociale falsi.
In questo esempio viene restituito soltanto 222-22-2222, perché 111-11-1111 si trova nella colonna Numero di previdenza sociale falso.
{
"item": {
"table": {
"headers": [
{
"name": "Fake Social Security Number"
},
{
"name": "Real Social Security Number"
}
],
"rows": [
{
"values": [
{
"stringValue": "111-11-1111"
},
{
"stringValue": "222-22-2222"
}
]
}
]
}
},
"inspectConfig": {
"infoTypes": [
{
"name": "US_SOCIAL_SECURITY_NUMBER"
}
],
"includeQuote": true,
"ruleSet": [
{
"infoTypes": [
{
"name": "US_SOCIAL_SECURITY_NUMBER"
}
],
"rules": [
{
"exclusionRule": {
"excludeByHotword": {
"hotwordRegex": {
"pattern": "(Fake Social Security Number)"
},
"proximity": {
"windowBefore": 1
}
},
"matchingType": "MATCHING_TYPE_FULL_MATCH"
}
}
]
}
],
"minLikelihood": "POSSIBLE"
}
}
Regole hotword
Le regole per l'hotword sono utili in situazioni come le seguenti:
- Vuoi modificare i valori di probabilità assegnati alle scansioni della corrispondenza in base alla vicinanza della corrispondenza con una hotword. Ad esempio, vuoi impostare un valore più elevato per le corrispondenze nei nomi dei pazienti, a seconda della vicinanza dei nomi alla parola "paziente".
- Quando esamini i dati strutturati e tabulari, vuoi modificare i valori di probabilità assegnati alle corrispondenze in base a un nome di intestazione di colonna. Ad esempio, vuoi impostare un valore di probabilità più elevato per
US_SOCIAL_SECURITY_NUMBERse trovato in una colonna con intestazioneACCOUNT_ID.
Panoramica dell'API Regole hotword
All'interno dell'oggetto
InspectionRule
di Cloud DLP, specifichi un oggetto
HotwordRule, che regola la probabilità dei risultati all'interno di una determinata prossimità
di hotword.
Gli oggetti InspectionRule sono raggruppati come "set di regole" in un oggetto InspectionRuleSet, insieme a un elenco di rilevatori di infoType a cui si applica il set di regole. Le regole all'interno di un insieme di regole vengono applicate nell'ordine specificato.
Scenari di esempio delle regole hotword
Il seguente snippet di codice illustra come configurare Cloud DLP per lo scenario specificato.
Aumenta la probabilità di ottenere una corrispondenza PERSON_NAME se l'hotword "paziente" è nelle vicinanze
Il seguente snippet e codice JSON in diversi linguaggi illustrano l'utilizzo della proprietà InspectConfig allo scopo di analizzare un database medico per individuare i nomi dei pazienti. Puoi utilizzare il rilevatore di infoType PERSON_NAME integrato di Cloud DLP,
ma questo comporterà la corrispondenza di Cloud DLP per tutti i nomi di persone, non solo per i pazienti. Per risolvere il problema, puoi includere una regola di hotword che cerchi la parola "paziente" all'interno di una determinata distanza di caratteri dal primo carattere delle potenziali corrispondenze. Puoi quindi assegnare risultati che corrispondono a questo modello con una probabilità di "molto probabile", poiché corrispondono ai tuoi criteri speciali. L'impostazione del valore minimo di Likelihood su VERY_LIKELY in InspectConfig garantisce che solo le corrispondenze con questa configurazione vengano restituite nei risultati.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"hotwordRule":{
"hotwordRegex":{
"pattern":"patient"
},
"proximity":{
"windowBefore":50
},
"likelihoodAdjustment":{
"fixedLikelihood":"VERY_LIKELY"
}
}
}
]
}
],
"minLikelihood":"VERY_LIKELY"
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Per informazioni più dettagliate sulle hotword, consulta Personalizzare la probabilità di corrispondenza.
Scenario con più regole di ispezione
I seguenti
InspectConfig
snippet e codice JSON in diverse lingue illustrano l'applicazione di regole di esclusione
e di hotword. La serie di regole di questo snippet include sia regole hotword che regole di esclusione dizionari e regex. Noterai che le quattro regole sono specificate in un array all'interno dell'elemento rules.
Protocollo
Consulta la guida rapida di JSON per ulteriori informazioni sull'utilizzo dell'API DLP con JSON.
...
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"ruleSet":[
{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"rules":[
{
"hotwordRule":{
"hotwordRegex":{
"pattern":"patient"
},
"proximity":{
"windowBefore":10
},
"likelihoodAdjustment":{
"fixedLikelihood":"VERY_LIKELY"
}
}
},
{
"hotwordRule":{
"hotwordRegex":{
"pattern":"doctor"
},
"proximity":{
"windowBefore":10
},
"likelihoodAdjustment":{
"fixedLikelihood":"UNLIKELY"
}
}
},
{
"exclusionRule":{
"dictionary":{
"wordList":{
"words":[
"Quasimodo"
]
}
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
},
{
"exclusionRule":{
"regex":{
"pattern":"REDACTED"
},
"matchingType": "MATCHING_TYPE_PARTIAL_MATCH"
}
}
]
}
]
}
...
Python
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Java
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
C#
Per scoprire come installare e utilizzare la libreria client per Cloud DLP, consulta Librerie client di Cloud DLP.
Rilevatori di infoType sovrapposti
È possibile definire un rilevatore infoType personalizzato che ha lo stesso nome di un rilevatore infoType integrato. Come mostrato nell'esempio nella sezione "Scenari di esempio delle regole hotword", quando crei un rilevatore infoType personalizzato con lo stesso nome di un infoType integrato, gli eventuali risultati rilevati dal nuovo rilevatore infoType vengono aggiunti a quelli rilevati dal rilevatore integrato. Ciò è valido solo se l'infoType integrato è specificato nell'elenco di infoType nell'oggetto InspectConfig.
Quando crei nuovi rilevatori infoType personalizzati, verificali accuratamente nei contenuti di esempio per assicurarti che funzionino come previsto.