Начало работы с режимом имитации защиты от потери данных

Вы можете использовать режим имитации защиты от потери данных (DLP) Microsoft Purview, чтобы увидеть:

• Влияние политики на рабочую среду без принудительного применения.
• Все элементы, которые будут соответствовать политике, если бы она была применена.

В этой статье описаны предварительные требования к режиму моделирования, параметры конфигурации и просмотр результатов моделирования.

Совет

Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.

Подготовка к работе

Лицензирование

Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.

Сведения о лицензировании см. в статье Подписки На Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.

Разрешения

Учетная запись, используемая для взаимодействия с режимом имитации, должна находиться в роли администратора Information Protection. Дополнительные сведения о ролях и группах ролей, необходимых для использования режима моделирования, см. в разделе Разрешения. Дополнительные сведения о ролях и группах ролей в соответствии с Microsoft Purview см. в статье Роли и группы ролей в Microsoft Defender для Соответствия требованиям Office 365 и Microsoft Purview.

Конфигурация системы

Чтобы просмотреть совпадаемые элементы с конечных точек в их собственном приложении в элементах для проверки, необходимо настроить сбор доказательств для действий с файлами на устройствах.

Управление режимом имитации защиты от потери данных

Вы можете настроить политику в режиме имитации при ее создании или после ее создания. Вы также можете отключить режим моделирования для политики, которая уже находится в режиме имитации.

1. Выполните действия, описанные в разделе Создание и развертывание политик защиты от потери данных , чтобы создать новую политику или изменить существующую политику.
2. Последним шагом в рабочем процессе настройки политики является имитация или включение политики. Выберите Запустить политику в режиме имитации, чтобы включить режим имитации. Выберите включить его сразу или Не выключить, чтобы отключить режим моделирования. Вы можете выбрать следующее:
   1. Показывать советы по политике в режиме имитации , чтобы обучать пользователей, когда они выполняют действия, которые могут активировать действия политики.
   2. Включите политику, если она не была изменена в течение пятнадцати дней после имитации, чтобы включить политику без дальнейшего взаимодействия.
3. Нажмите кнопку Далее и Отправить.

После отключения может потребоваться до 24 часов, чтобы аналитические сведения перестали отображаться на странице Обзор.

Просмотр политик защиты от потери данных в режиме имитации

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите вполитики защиты > отпотери данныхна портале> Microsoft Purview.

2. Выберите политику с состоянием В имитации или В симуляции с уведомлениями , чтобы открыть всплывающее окно.

3. Выберите Просмотреть симуляцию , чтобы просмотреть вкладки Общие сведения о симуляции, Элементы для просмотра и Оповещения .

Портал соответствия требованиям

1. Откройтепортал соответствия >требованиям Microsoft PurviewПолитики.

2. Выберите политику с состоянием В имитации или В симуляции с уведомлениями , чтобы открыть всплывающее окно.

3. Выберите Просмотреть симуляцию , чтобы просмотреть вкладки Общие сведения о симуляции, Элементы для просмотра и Оповещения .

Сообщения о состоянии в режиме имитации

Примечание.

Результаты сканирования при выполнении политики в режиме имитации сохраняются в течение 30 дней. Вы можете продолжать выполнять политику в режиме имитации дольше, но отображаются только результаты за последний 30-дневный период.

При выполнении политики в режиме имитации сканирование содержимого в большинстве расположений выполняется в режиме реального времени, то есть при отправке сообщения электронной почты или Teams. Проверка содержимого для расположений SharePoint и OneDrive работает немного иначе. Помимо сканирования содержимого при отправке документов в эти расположения, политики, работающие в режиме имитации, могут отображать три дополнительных сообщения о ходе выполнения: Завершено, Выполняется и Истек срок действия. В следующей таблице определены и описаны сообщения о состоянии, доступные для каждого расположения:

Состояние сканирования в режиме имитации по расположению

Расположение	Описания сообщений о состоянии
Exchange	В режиме реального времени — содержимое сканируется при отправке сообщения
SharePoint	Завершено — означает, что проверка существующего содержимого в Sharepoint и (или) OneDrive завершена. Это сообщение о состоянии отображается только в том случае, если SharePoint и (или) OneDrive являются единственными расположениями в области. Выполняется — означает, что имитация выполняется. Результаты обновляются по мере поиска новых совпадений.
OneDrive	Завершено — означает, что проверка существующего содержимого в Sharepoint и (или) OneDrive завершена. Это сообщение о состоянии отображается только в том случае, если SharePoint и (или) OneDrive являются единственными расположениями в области. Выполняется — означает, что имитация выполняется. Результаты обновляются по мере поиска новых совпадений.
сообщения в чатах и каналах Teams	В режиме реального времени — содержимое сканируется при отправке сообщения
Устройства	В режиме реального времени — содержимое сканируется при передаче с устройства.
Fabric и Power BI	В режиме реального времени — содержимое сканируется при отправке

В следующей таблице описываются сообщения о состоянии, связанные с ходом моделирования общей политики.

Общее состояние режима имитации

Состояние имитации	Описание
Завершено	Доступно только в том случае, если область политики защиты от потери данных ограничена SharePoint, OneDrive или и тем, и другим. Указывает, что все неактивные данные были проверены.
Выполняется	Идет имитация сканирования. Результаты обновляются по мере обнаружения дополнительных соответствий политике.
Истек срок действия	Имитируемой политике более 30 дней. Microsoft Purview хранит данные моделирования всего 30 дней. Чтобы получить результаты сканирования для неактивных данных, отсканированных до последнего 30-дневного окна, повторно запустите сканирование.

Для просмотра отображаются только первые 100 элементов, сопоставленных в расположениях SharePoint и OneDrive. Это может отличаться от общего количества соответствующих элементов.

События моделирования отображаются в обозревателе действий. Вы можете выполнять фильтрацию в режимеTestWithNotifyUser, TestWithoutNotifyUser и принудительном применении значений.

См. также

• Разработка политики DLP
• Создание и развертывание политики защиты от потери данных