Partekatu honen bidez:


Introducción al modo de simulación de prevención de pérdida de datos

Puede usar Prevención de pérdida de datos de Microsoft Purview modo de simulación (DLP) para ver:

  • El impacto de una directiva en el entorno de producción sin aplicación.
  • Todos los elementos con los que coincidiría una directiva si se aplicaran.

Este artículo le guiará por los requisitos previos del modo de simulación, las opciones de configuración y cómo ver los resultados de la simulación.

Sugerencia

Comience a usar Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.

Antes de empezar

Licencias

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Permissions

La cuenta que use para interactuar con el modo de simulación debe estar en el rol de administrador Information Protection. Para obtener más información sobre los roles y grupos de roles necesarios para usar el modo de simulación, consulte Permisos. Para obtener más información sobre los roles y los grupos de roles en cumplimiento de Microsoft Purview, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview.

Configuración del sistema

Para ver los elementos coincidentes de los dispositivos de punto de conexión en su aplicación nativa en Elementos para su revisión, debe configurar la recopilación de pruebas para las actividades de archivo en los dispositivos.

Administración del modo de simulación DLP

Puede establecer una directiva para que esté en modo de simulación al crearla o después de crearla. También puede desactivar el modo de simulación para una directiva que ya está en modo de simulación.

  1. Siga los pasos descritos en Creación e implementación de directivas de prevención de pérdida de datos para crear una nueva directiva o editar una directiva existente.
  2. El último paso del flujo de trabajo de configuración de directivas es Simular o activar la directiva. Seleccione Ejecutar la directiva en modo de simulación para habilitar el modo de simulación. Seleccione Activarlo de inmediato o Mantenerlo desactivado para deshabilitar el modo de simulación. Puede seleccionar aún más:
    1. Mostrar sugerencias de directiva con en modo de simulación para ayudar a educar a los usuarios cuando realizan acciones que podrían desencadenar acciones de directiva.
    2. Active la directiva si no se edita dentro de los quince días posteriores a la simulación para activar la directiva sin interacción adicional.
  3. Seleccione Siguiente y Enviar.

Después de deshabilitarlo, las conclusiones pueden tardar hasta 24 horas en dejar de aparecer en la página Información general.

Visualización de directivas DLP en modo de simulación

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en lasdirectivas de prevención> de pérdida de datos del portal > de Microsoft Purview.

  2. Seleccione una directiva con el estado En simulación o En simulación con notificaciones para abrir el panel flotante.

  3. Seleccione Ver simulación para ver las pestañas Información general de la simulación, Elementos para revisión y Alertas .

Mensajes de estado del modo de simulación

Nota:

Los resultados del examen de la ejecución de una directiva en modo de simulación se guardan durante 30 días. Puede seguir ejecutando la directiva en modo de simulación durante más tiempo, pero solo se muestran los resultados del período de 30 días más reciente.

Cuando una directiva se ejecuta en modo de simulación, el examen de contenido en la mayoría de las ubicaciones se produce en tiempo real, es decir, se produce cuando se envía un correo electrónico o un mensaje de Teams. El examen de contenido para las ubicaciones de SharePoint y OneDrive funciona de forma un poco diferente. Además de examinar el contenido cuando los documentos se cargan en estas ubicaciones, las directivas que se ejecutan en modo de simulación pueden mostrar tres mensajes de progreso adicionales: Completado, En curso y Expirado. En la tabla siguiente se identifican y describen los mensajes de estado disponibles para cada ubicación:

Estado del examen del modo de simulación por ubicación

Ubicación Descripciones del mensaje de estado
Exchange En tiempo real : el contenido se examina cuando se envía el mensaje
SharePoint Completado : significa que se ha completado el examen del contenido existente en SharePoint o OneDrive. Este mensaje de estado solo se muestra cuando SharePoint o OneDrive son las únicas ubicaciones en el ámbito.

En curso : indica que la simulación se está ejecutando. Los resultados se actualizan a medida que se encuentran más coincidencias.

OneDrive Completado : significa que se ha completado el examen del contenido existente en SharePoint o OneDrive. Este mensaje de estado solo se muestra cuando SharePoint o OneDrive son las únicas ubicaciones en el ámbito.

En curso : indica que la simulación se está ejecutando. Los resultados se actualizan a medida que se encuentran más coincidencias.

Mensajes de canales y chats de Teams En tiempo real : el contenido se examina cuando se envía el mensaje
Dispositivos En tiempo real : el contenido se examina cuando se transfiere fuera del dispositivo
Tejido y Power BI En tiempo real : el contenido se examina cuando se carga

En la tabla siguiente se explican los mensajes de estado relacionados con el progreso de la simulación de directiva general.

Estado general del modo de simulación

Estado de la simulación Descripción
Completado Solo está disponible cuando un ámbito de directiva DLP está limitado a SharePoint, OneDrive o ambos. Indica que se han examinado todos los datos en reposo.
En curso El examen de simulación está en curso. Los resultados se actualizan a medida que se detectan coincidencias de directivas adicionales.
Expirada La directiva que se está simulando tiene más de 30 días de antigüedad. Microsoft Purview conserva los datos de simulación durante solo 30 días. Para obtener los resultados del examen de los datos en reposo examinados antes de la ventana de 30 días más reciente, vuelva a ejecutar el examen.

Solo se muestran los primeros 100 elementos coincidentes en las ubicaciones de SharePoint y OneDrive para su revisión. Esto puede diferir del número total de elementos coincidentes.

Los eventos de simulación se muestran en el explorador de actividad. Puede filtrar por el modo de directiva, que tiene TestWithNotifyUser, TestWithoutNotifyUser y aplicar valores.

Vea también