データ損失防止ポリシーをテストする
[アーティクル] 2024/11/19
3 人の共同作成者
フィードバック
この記事の内容
シミュレーション モード
Security Copilotで分析情報を取得する
Test-DlpPolicies
関連項目
DLP ポリシーの展開の一部として、Microsoft Purview データ損失防止 (DLP) ポリシーの動作をテストして調整する必要があります。 この記事では、DLP 環境でポリシーをテストするために使用できる 2 つの基本的な方法について説明します。
新しいポリシーをデプロイする場合、または既存のポリシーを変更する必要 がある場合は、シミュレーション モードで実行し、 アラートを確認して精度を評価する必要があります。 シミュレーション モードを使用すると、実際の適用なしで、個々のポリシーがポリシー スコープ内のすべての項目にどのように影響するかを確認できます。 これを使用して、ポリシーに一致する項目を確認します。
Security Copilotで分析情報を取得する
注意
Copilot で分析情報を取得 する機能はプレビュー段階です。
Copilot で分析情報を取得 することは、Microsoft Purview データ損失防止 ポリシー ページに埋め込まれているSecurity Copilot スキルです。 これは、organizationでポリシーが何を実行しているか、およびそれらがアクティブな場所を理解するのに役立ちます。
1 つまたは複数のポリシーを選択し、[ Copilot で分析情報を取得 する] を選択します。 その後、Copilot は、選択したポリシーに関する次のような情報を提供する応答を生成します。
ポリシーが機密情報を探している場所。
ポリシーが探している機密情報の種類。
ポリシーをトリガーするシナリオ。
エンド ユーザーがポリシーの影響を受けます。
管理者に通知する方法。
さらに、管理単位 、DLP が保護する場所 、および分類されたデータの種類によって調査をさらにピボットできます
organizationは、Security Copilotのライセンスが必要です。
Copilot で分析情報を取得 する機能にアクセスするために使用するアカウントは、情報保護管理者ロールに含まれている必要があります。
Test-DlpPolicies は、SharePoint または OneDrive の個々のアイテムと一致する (または一致しない) SharePoint と OneDrive を対象とする DLP ポリシーを確認できるコマンドレットです。
Exchange Online PowerShell に接続できる必要があります。
レポートの送信先として有効な SMTP アドレスが必要です。 例: dlp_admin@contoso.com
アイテムが配置されているサイト ID が必要です。
アイテムへの直接リンク パスが必要です。
重要
Test-DlpPolicies は、SharePoint または OneDrive 内のアイテムに対してのみ機能します。
Test-DlpPolices は、SharePoint 単独、OneDrive 単独、または SharePoint と OneDrive の両方をスコープに含むポリシーの結果のみを報告します。
Test-DlpPolices は単純な条件でのみ機能します。 複雑な条件、グループ化された条件、または入れ子になった条件では機能しません。
項目が一致する DLP ポリシーを確認するには、次の手順に従います。
ブラウザーで SharePoint フォルダーまたは OneDrive フォルダーを開きます。
ファイルの省略記号を選択し、詳細を選択 します 。
詳細ウィンドウで、下にスクロールして [ パス ] を選択します。 直接リンクをコピーして保存します。
以下に例を示します。
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
Exchange Online PowerShell に接続します 。
SharePoint の場合は、次の構文を使用してサイト ID を取得して保存します。
$reportAddress = "email@contoso.com"
$siteName = "SITENAME@TENANT.onmicrosoft.com"
$filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"
$r = Get-Mailbox -Identity $siteName -GroupMailbox
$e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'}
Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
OneDrive の場合は、次の構文を使用してサイト ID を取得して保存します。
$reportAddress = "email@contoso.com"
$odbUser = "USER@TENANT.onmicrosoft.com"
$filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx"
$r = Get-Mailbox -Identity $odbUser
$e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'}
Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
返される値の例を次に示します。
36ca70ab-6f38-7f3c-515f-a71e59ca6276
PowerShell ウィンドウで次の構文を実行します。
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
以下に例を示します。
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
レポートは、Test-DlpPolicies PowerShell コマンドを渡した SMTP アドレスに送信されます。 複数のフィールドがあります。 最も重要なものの説明を次に示します。
テーブルを展開する
フィールド名
手段
分類 ID
アイテムがとして分類される機密情報の種類 (SIT)
Confidence
SIT の信頼度レベル
カウント
項目に SIT 値が見つかった合計回数。これには重複が含まれます
一意のカウント
重複が除去された項目に見つかった SIT 値の数
ポリシーの詳細
評価されたポリシーの名前と GUID
ルール - ルールの詳細
DLP ルール名と GUID
規則 - 述語 - 名前
DLP ルールで定義されている条件
ルール - 述語 - IsMatch
項目が条件と一致したかどうか
述語 - 過去のアクション
ユーザーへの通知、ブロック、アイテムに対して実行されたオーバーライドを含むブロックなどのアクション
述語 - ルールのアクション
DLP ルールで定義されているアクション
述語 - IsMatched
項目がルールと一致したかどうか
IsMatched
項目がポリシー全体と一致したかどうか