Tester vos stratégies de protection contre la perte de données
Vous devez tester et régler le comportement de vos stratégies de Protection contre la perte de données Microsoft Purview (DLP) dans le cadre de votre déploiement de stratégie DLP. Cet article présente deux des méthodes de base que vous pouvez utiliser pour tester des stratégies dans votre environnement DLP.
Lorsque vous déployez une nouvelle stratégie ou que vous devez modifier une stratégie existante, vous devez l’exécuter en mode simulation, puis passer en revue les alertes pour évaluer sa précision. Le mode simulation vous permet de voir comment une stratégie individuelle affecte tous les éléments qui se trouvent dans l’étendue des stratégies sans mise en œuvre réelle. Vous l’utilisez pour déterminer quels éléments correspondent à une stratégie.
Notes
La fonctionnalité Obtenir des insights avec Copilot est en préversion.
Obtenir des insights avec Copilot est une compétence Security Copilot incorporée dans la page de stratégie Protection contre la perte de données Microsoft Purview. Il peut vous aider à comprendre ce que vos stratégies font dans votre organization et où elles sont actives.
Sélectionnez une ou plusieurs stratégies, puis sélectionnez Obtenir des insights avec Copilot. Copilot génère ensuite une réponse qui vous donne des informations sur les stratégies sélectionnées, comme :
- Où vos stratégies recherchent des informations sensibles.
- Le type d’informations sensibles que vos stratégies recherchent.
- Quels scénarios déclenchent les stratégies.
- Comment les utilisateurs finaux sont affectés par les stratégies.
- Comment les administrateurs sont avertis.
Vous pouvez faire pivoter davantage votre investigation par unités administratives, emplacements de protection DLP et types de données classifiés
- Votre organization doit disposer d’une licence pour Security Copilot.
- Le compte que vous utilisez pour accéder à la fonctionnalité Obtenir des insights avec Copilot doit avoir le rôle Administrateur de la protection des informations.
Test-DlpPolicies est une applet de commande qui vous permet de voir quelles stratégies DLP étendues à SharePoint et OneDrive correspondent (ou ne correspondent pas) à un élément individuel dans SharePoint ou OneDrive.
- Vous devez pouvoir vous connecter à Exchange Online PowerShell.
- Vous devez disposer d’une adresse SMTP valide à laquelle envoyer le rapport. Par exemple :
dlp_admin@contoso.com
- Vous devez avoir l’ID de site où se trouve l’élément.
- Vous devez disposer du chemin de lien direct vers l’élément.
Important
- Test-DlpPolicies fonctionne uniquement pour les éléments qui se trouvent dans SharePoint ou OneDrive.
- Test-DlpPolices ne signale les résultats que pour les stratégies qui incluent SharePoint seul, OneDrive seul ou à la fois SharePoint et OneDrive dans leur portée.
- Test-DlpPolices fonctionne uniquement avec des conditions simples. Il ne fonctionne pas avec des conditions complexes, groupées ou imbriquées.
Pour voir les stratégies DLP auxquelles correspond un élément, procédez comme suit :
Ouvrez le dossier SharePoint ou OneDrive dans un navigateur.
Sélectionnez les points de suspension du fichier et sélectionnez les détails.
Dans le volet d’informations, faites défiler vers le bas, puis sélectionnez Chemin d’accès. Copiez le lien direct et enregistrez-le.
Par exemple :
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
Pour SharePoint, utilisez la syntaxe suivante pour obtenir l’ID de site et l’enregistrer :
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
Pour OneDrive, utilisez la syntaxe suivante pour obtenir l’ID de site et l’enregistrer.
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
Voici un exemple de valeur retournée :
36ca70ab-6f38-7f3c-515f-a71e59ca6276
Exécutez la syntaxe suivante dans la fenêtre PowerShell :
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
Par exemple :
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
Le rapport est envoyé à l’adresse SMTP à laquelle vous avez passé la commande PowerShell Test-DlpPolicies. Il existe plusieurs champs. Voici les explications des plus importantes.
Nom du champ | Moyens |
---|---|
Classification ID | Type d’informations sensibles (SIT) que l’élément est classé comme |
Confidence | Niveau de confiance du SIT |
Compte | Nombre total de fois où la valeur SIT a été trouvée dans l’élément, y compris les doublons |
Nombre unique | Nombre de valeurs SIT trouvées dans l’élément avec élimination des doublons |
Détails de la stratégie | Nom et GUID de la stratégie évaluée |
Règles - Détails de la règle | Nom et GUID de la règle DLP |
Règles - Prédicats - Nom | Condition définie dans la règle DLP |
Règles - Prédicats - IsMatch | Si l’élément correspondait aux conditions |
Prédicats - Actions passées | Toutes les actions, telles que notifier l’utilisateur, bloquer, bloquer avec remplacement qui ont été effectuées sur l’élément |
Prédicats - Actions de la règle | Action définie dans la règle DLP |
Prédicats - IsMatched | Si l’élément correspond à la règle |
IsMatched | Si l’élément correspondait à la stratégie globale |
-
Test-DataClassification explique comment utiliser l’applet de commande
Test-DataClassification
PowerShell . -
Test-Message explique comment utiliser l’applet de commande
Test-Message
PowerShell .