Introduzione alla modalità di simulazione della prevenzione della perdita dei dati
È possibile usare la modalità di simulazione Prevenzione della perdita dei dati Microsoft Purview (DLP) per visualizzare:
- Impatto di un criterio sull'ambiente di produzione senza imposizione.
- Tutti gli elementi a cui corrisponde un criterio se fosse applicato.
Questo articolo illustra i prerequisiti della modalità di simulazione, le opzioni di configurazione e come visualizzare i risultati della simulazione.
Consiglio
Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.
Prima di iniziare
Licenze
Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.
Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.
Autorizzazioni
L'account usato per interagire con la modalità di simulazione deve essere nel ruolo di amministratore Information Protection. Per altre informazioni sui ruoli e sui gruppi di ruoli necessari per usare la modalità di simulazione, vedere Autorizzazioni. Per altre informazioni sui ruoli e sui gruppi di ruoli nella conformità di Microsoft Purview, vedere Ruoli e gruppi di ruoli in conformità Microsoft Defender per Office 365 e Microsoft Purview
Configurazione del sistema
Per visualizzare gli elementi corrispondenti dai dispositivi endpoint nell'applicazione nativa in Elementi da esaminare, è necessario configurare la raccolta di prove per le attività dei file nei dispositivi.
Gestire la modalità di simulazione DLP
È possibile impostare un criterio in modo che sia in modalità di simulazione quando lo si crea o dopo che è stato creato. È anche possibile disattivare la modalità di simulazione per un criterio già in modalità di simulazione.
- Usare i passaggi descritti in Creare e distribuire criteri di prevenzione della perdita dei dati per creare un nuovo criterio o modificare un criterio esistente.
- L'ultimo passaggio del flusso di lavoro di configurazione dei criteri è Simulare o attivare i criteri. Selezionare Esegui i criteri in modalità di simulazione per abilitare la modalità di simulazione. Selezionare Attiva immediatamente o Mantieni per disabilitare la modalità di simulazione. È possibile selezionare ulteriormente:
- Visualizzare i suggerimenti per i criteri con in modalità di simulazione per informare gli utenti quando eseguono azioni che potrebbero attivare azioni dei criteri.
- Attivare il criterio se non viene modificato entro quindici giorni dalla simulazione per attivare il criterio senza ulteriori interazioni.
- Selezionare Avanti e Invia.
Dopo la disabilitazione, la visualizzazione delle informazioni dettagliate nella pagina Panoramica può richiedere fino a 24 ore.
Visualizzazione dei criteri DLP in modalità di simulazione
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Accedere ai criteri diprevenzione> della perdita dei dati del portale> di Microsoft Purview.
Selezionare un criterio con stato In simulazione o In simulazione con notifiche per aprire il riquadro a comparsa.
Selezionare Visualizza simulazione per visualizzare le schede Panoramica della simulazione, Elementi da rivedere e Avvisi .
Messaggi di stato della modalità di simulazione
Nota
I risultati dell'analisi dall'esecuzione di un criterio in modalità di simulazione vengono salvati per 30 giorni. È possibile continuare a eseguire i criteri in modalità di simulazione più a lungo, ma vengono visualizzati solo i risultati per il periodo di 30 giorni più recente.
Quando un criterio viene eseguito in modalità di simulazione, l'analisi del contenuto nella maggior parte delle posizioni avviene in tempo reale, ovvero si verifica quando viene inviato un messaggio di posta elettronica o teams. L'analisi del contenuto per le posizioni di SharePoint e OneDrive funziona in modo leggermente diverso. Oltre a analizzare il contenuto quando i documenti vengono caricati in queste posizioni, i criteri in esecuzione in modalità di simulazione possono visualizzare tre messaggi di stato aggiuntivi: Completato, In corso e Scaduto. La tabella seguente identifica e descrive i messaggi di stato disponibili per ogni posizione:
Stato dell'analisi della modalità di simulazione in base alla posizione
| Posizione | Descrizioni dei messaggi di stato |
|---|---|
| Exchange | Tempo reale : il contenuto viene analizzato quando viene inviato un messaggio |
| SharePoint |
Completato : indica che l'analisi del contenuto esistente in Sharepoint e/o OneDrive è completata. Questo messaggio di stato viene visualizzato solo quando SharePoint e/o OneDrive sono le uniche posizioni nell'ambito. In corso : indica che la simulazione è in esecuzione. I risultati vengono aggiornati man mano che vengono trovate altre corrispondenze. |
| OneDrive |
Completato : indica che l'analisi del contenuto esistente in Sharepoint e/o OneDrive è completata. Questo messaggio di stato viene visualizzato solo quando SharePoint e/o OneDrive sono le uniche posizioni nell'ambito. In corso : indica che la simulazione è in esecuzione. I risultati vengono aggiornati man mano che vengono trovate altre corrispondenze. |
| Messaggi di chat e canali di Teams | Tempo reale : il contenuto viene analizzato quando viene inviato un messaggio |
| Dispositivi | In tempo reale : il contenuto viene analizzato quando viene trasferito fuori dal dispositivo |
| Fabric e Power BI | Tempo reale : il contenuto viene analizzato quando viene caricato |
Nella tabella successiva vengono illustrati i messaggi di stato correlati allo stato di avanzamento della simulazione complessiva dei criteri.
Stato generale della modalità di simulazione
| Stato della simulazione | Descrizione |
|---|---|
| Completata | Disponibile solo quando un ambito dei criteri DLP è limitato a SharePoint, OneDrive o entrambi. Indica che tutti i dati inattivi sono stati analizzati. |
| In corso | L'analisi della simulazione è in corso. I risultati vengono aggiornati man mano che vengono rilevate corrispondenze aggiuntive ai criteri. |
| Scaduto | Il criterio simulato ha più di 30 giorni. Microsoft Purview conserva i dati di simulazione per soli 30 giorni. Per ottenere i risultati dell'analisi dei dati inattivi analizzati prima della finestra di 30 giorni più recente, eseguire di nuovo l'analisi. |
Per la revisione vengono visualizzati solo i primi 100 elementi corrispondenti nelle posizioni di SharePoint e OneDrive. Ciò potrebbe differire dal numero totale di elementi corrispondenti.
Gli eventi di simulazione vengono visualizzati in Esplora attività. È possibile filtrare in base alla modalità criteri, che include TestWithNotifyUser, TestWithoutNotifyUser e applicare valori.