Тестирование политик защиты от потери данных

Необходимо протестировать и настроить поведение политик защиты от потери данных (DLP) Microsoft Purview в рамках развертывания политики защиты от потери данных. В этой статье описаны два основных метода, которые можно использовать для тестирования политик в среде защиты от потери данных.

Режим имитации

При развертывании новой политики или необходимости изменения существующей политики следует запустить ее в режиме имитации, а затем просмотреть оповещения, чтобы оценить влияние. Режим имитации позволяет увидеть влияние отдельной политики на все элементы, которые находятся в области политик без фактического применения. Вы используете его, чтобы узнать, какие элементы соответствуют политике.

Test-DlpPolicies

Test-DlpPolicies — это командлет, который позволяет увидеть, какие политики защиты от потери данных, ограниченные SharePoint и OneDrive, соответствуют (или не соответствуют) отдельному элементу в SharePoint или OneDrive.

Подготовка к работе

• Необходимо иметь возможность подключения к Exchange Online PowerShell.
• Для отправки отчета необходимо иметь допустимый SMTP-адрес. Пример: dlp_admin@contoso.com
• У вас должен быть идентификатор сайта, где находится элемент.
• У вас должен быть прямой путь ссылки на элемент.

Важно!

• Test-DlpPolicies работает только для элементов, которые находятся в SharePoint или OneDrive.
• Test-DlpPolices сообщает результаты только для политик, включающих только SharePoint, OneDrive или SharePoint и OneDrive.
• Test-DlpPolices работает только с простыми условиями. Он не работает со сложными, сгруппированных или вложенными условиями.

Использование Test-DlpPolices

Чтобы узнать, каким политикам защиты от потери данных будет соответствовать элемент, выполните следующие действия:

Получение пути прямой ссылки на элемент

1. Откройте папку SharePoint или OneDrive в браузере.

2. Выберите многоточие файла и выберите сведения.

3. В области сведений прокрутите вниз и выберите Путь. Скопируйте прямую ссылку и сохраните ее.

   Например:

   https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

Получение идентификатора сайта

1. Подключение к Exchange Online PowerShell.

2. Для SharePoint используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его:

   
   $reportAddress = "email@contoso.com" 
   
   $siteName = "SITENAME@TENANT.onmicrosoft.com" 
   
   $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
   
   $r = Get-Mailbox -Identity $siteName -GroupMailbox 
   
   $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
   
   Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
   
   

3. Для OneDrive используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его.

   
   $reportAddress = "email@contoso.com" 
   
   $odbUser = "USER@TENANT.onmicrosoft.com" 
   
   $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
   
   $r = Get-Mailbox -Identity $odbUser 
   
   $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
   
   Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
   
   

   Ниже приведен пример возвращаемого значения:

   36ca70ab-6f38-7f3c-515f-a71e59ca6276

Запуск Test-DlpPolicies

• Выполните следующий синтаксис в окне PowerShell:

  Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
  

  Например:

  Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

Толкование отчета

Отчет отправляется на SMTP-адрес, по которому вы передали команду Test-DlpPolicies PowerShell. Существует несколько полей. Ниже приведены объяснения наиболее важных из них.

Имя поля	Средство
Идентификатор классификации	Тип конфиденциальной информации (SIT), который элемент классифицируется как
Confidence	Уровень достоверности SIT
Count	Общее количество найденных значений SIT в элементе, включая дубликаты
Уникальное число	Число значений SIT, найденных в элементе с исключенными дубликатами
Сведения о политике	Имя и GUID вычисляемой политики
Правила — сведения о правилах	Имя правила защиты от потери данных и GUID
Правила — предикаты — имя	Условие, определенное в правиле защиты от потери данных
Правила — предикаты — IsMatch	Соответствует ли элемент условиям
Предикаты — прошлые действия	Любые действия, такие как уведомление пользователя, блокировка, блокировка с переопределением, выполненные для элемента
Предикаты — действия правила	Действие, определенное в правиле защиты от потери данных
Предикаты — IsMatched	Соответствует ли элемент правилу
IsMatched	Соответствует ли элемент общей политике

См. также

• Test-DataClassification описывает использование командлета Test-DataClassificationPowerShell .
• Test-Message описывает использование командлета Test-MessagePowerShell .