Lire en anglais

Partager via


Tester vos stratégies de protection contre la perte de données

Vous devez tester et régler le comportement de vos stratégies de Protection contre la perte de données Microsoft Purview (DLP) dans le cadre de votre déploiement de stratégie DLP. Cet article présente deux des méthodes de base que vous pouvez utiliser pour tester des stratégies dans votre environnement DLP.

Mode simulation

Lorsque vous déployez une nouvelle stratégie ou que vous devez modifier une stratégie existante, vous devez l’exécuter en mode simulation, puis passer en revue les alertes pour évaluer sa précision. Le mode simulation vous permet de voir comment une stratégie individuelle affecte tous les éléments qui se trouvent dans l’étendue des stratégies sans mise en œuvre réelle. Vous l’utilisez pour déterminer quels éléments correspondent à une stratégie.

Obtenir des insights avec Security Copilot

Notes

La fonctionnalité Obtenir des insights avec Copilot est en préversion.

Obtenir des insights avec Copilot est une compétence Security Copilot incorporée dans la page de stratégie Protection contre la perte de données Microsoft Purview. Il peut vous aider à comprendre ce que vos stratégies font dans votre organization et où elles sont actives.

Capture d’écran du contrôle Obtenir des insights sur la page stratégies DLP.

Sélectionnez une ou plusieurs stratégies, puis sélectionnez Obtenir des insights avec Copilot. Copilot génère ensuite une réponse qui vous donne des informations sur les stratégies sélectionnées, comme :

  • Où vos stratégies recherchent des informations sensibles.
  • Le type d’informations sensibles que vos stratégies recherchent.
  • Quels scénarios déclenchent les stratégies.
  • Comment les utilisateurs finaux sont affectés par les stratégies.
  • Comment les administrateurs sont avertis.

Vous pouvez faire pivoter davantage votre investigation par unités administratives, emplacements de protection DLP et types de données classifiés

Configuration requise

  • Votre organization doit disposer d’une licence pour Security Copilot.
  • Le compte que vous utilisez pour accéder à la fonctionnalité Obtenir des insights avec Copilot doit avoir le rôle Administrateur de la protection des informations.

Test-DlpPolicies

Test-DlpPolicies est une applet de commande qui vous permet de voir quelles stratégies DLP étendues à SharePoint et OneDrive correspondent (ou ne correspondent pas) à un élément individuel dans SharePoint ou OneDrive.

Avant de commencer

  • Vous devez pouvoir vous connecter à Exchange Online PowerShell.
  • Vous devez disposer d’une adresse SMTP valide à laquelle envoyer le rapport. Par exemple : dlp_admin@contoso.com
  • Vous devez avoir l’ID de site où se trouve l’élément.
  • Vous devez disposer du chemin de lien direct vers l’élément.

Important

  • Test-DlpPolicies fonctionne uniquement pour les éléments qui se trouvent dans SharePoint ou OneDrive.
  • Test-DlpPolices ne signale les résultats que pour les stratégies qui incluent SharePoint seul, OneDrive seul ou à la fois SharePoint et OneDrive dans leur portée.
  • Test-DlpPolices fonctionne uniquement avec des conditions simples. Il ne fonctionne pas avec des conditions complexes, groupées ou imbriquées.

Utiliser Test-DlpPolices

Pour voir les stratégies DLP auxquelles correspond un élément, procédez comme suit :

  1. Ouvrez le dossier SharePoint ou OneDrive dans un navigateur.

  2. Sélectionnez les points de suspension du fichier et sélectionnez les détails.

  3. Dans le volet d’informations, faites défiler vers le bas, puis sélectionnez Chemin d’accès. Copiez le lien direct et enregistrez-le.

    Par exemple :

    https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

Obtenir l’ID de site

  1. Connectez-vous à Exchange Online PowerShell.

  2. Pour SharePoint, utilisez la syntaxe suivante pour obtenir l’ID de site et l’enregistrer :

    
    $reportAddress = "email@contoso.com" 
    
    $siteName = "SITENAME@TENANT.onmicrosoft.com" 
    
    $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
    
    $r = Get-Mailbox -Identity $siteName -GroupMailbox 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
    
    
  3. Pour OneDrive, utilisez la syntaxe suivante pour obtenir l’ID de site et l’enregistrer.

    
    $reportAddress = "email@contoso.com" 
    
    $odbUser = "USER@TENANT.onmicrosoft.com" 
    
    $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
    
    $r = Get-Mailbox -Identity $odbUser 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
    
    

    Voici un exemple de valeur retournée :

    36ca70ab-6f38-7f3c-515f-a71e59ca6276

Exécuter Test-DlpPolicies

  • Exécutez la syntaxe suivante dans la fenêtre PowerShell :

    Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
    

    Par exemple :

    Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

Interpréter le rapport

Le rapport est envoyé à l’adresse SMTP à laquelle vous avez passé la commande PowerShell Test-DlpPolicies. Il existe plusieurs champs. Voici les explications des plus importantes.

Nom du champ Moyens
Classification ID Type d’informations sensibles (SIT) que l’élément est classé comme
Confidence Niveau de confiance du SIT
Compte Nombre total de fois où la valeur SIT a été trouvée dans l’élément, y compris les doublons
Nombre unique Nombre de valeurs SIT trouvées dans l’élément avec élimination des doublons
Détails de la stratégie Nom et GUID de la stratégie évaluée
Règles - Détails de la règle Nom et GUID de la règle DLP
Règles - Prédicats - Nom Condition définie dans la règle DLP
Règles - Prédicats - IsMatch Si l’élément correspondait aux conditions
Prédicats - Actions passées Toutes les actions, telles que notifier l’utilisateur, bloquer, bloquer avec remplacement qui ont été effectuées sur l’élément
Prédicats - Actions de la règle Action définie dans la règle DLP
Prédicats - IsMatched Si l’élément correspond à la règle
IsMatched Si l’élément correspondait à la stratégie globale

Voir aussi

  • Test-DataClassification explique comment utiliser l’applet de commande Test-DataClassificationPowerShell .
  • Test-Message explique comment utiliser l’applet de commande Test-MessagePowerShell .