Прочитать на английском

Поделиться через


Тестирование политик защиты от потери данных

Необходимо протестировать и настроить поведение политик Защита от потери данных Microsoft Purview (DLP) в рамках развертывания политики защиты от потери данных. В этой статье описаны два основных метода, которые можно использовать для тестирования политик в среде защиты от потери данных.

Режим имитации

При развертывании новой политики или необходимости изменения существующей политики следует запустить ее в режиме имитации, а затем просмотреть оповещения, чтобы оценить ее точность. Режим имитации позволяет увидеть, как отдельная политика влияет на все элементы, которые находятся в политиках область без фактического применения. Вы используете его, чтобы узнать, какие элементы соответствуют политике.

Получение аналитических сведений с помощью Security Copilot

Примечание

Функция Получения аналитических сведений с помощью Copilot доступна в предварительной версии.

Получение аналитических сведений с помощью Copilot — это Security Copilot навык, внедренный на странице политики Защита от потери данных Microsoft Purview. Это поможет вам понять, какие политики выполняются в организации и где они активны.

Снимок экрана: элемент управления Получение аналитических сведений на странице политик защиты от потери данных.

Выберите одну или несколько политик, а затем выберите Получить аналитические сведения с помощью Copilot. Затем Copilot создает ответ, который предоставляет сведения о выбранных политиках, например:

  • Где политики ищут конфиденциальную информацию.
  • Какие конфиденциальные сведения ищут политики.
  • Какие сценарии активируют политики.
  • Влияние политик на конечных пользователей.
  • Как администраторы получают уведомления.

Вы можете дополнительно свести исследование по административным единицам, расположениям защиты от потери данных и типам данных, которые были классифицированы.

Предварительные условия

  • Ваша организация должна иметь лицензию на Security Copilot.
  • Учетная запись, используемая для доступа к функции Получения аналитических сведений с помощью Copilot , должна находиться в роли администратора Защиты информации.

Test-DlpPolicies

Test-DlpPolicies — это командлет, который позволяет увидеть, какие политики защиты от потери данных, ограниченные SharePoint и OneDrive, соответствуют (или не соответствуют) отдельному элементу в SharePoint или OneDrive.

Подготовка к работе

  • Необходимо иметь возможность подключения к Exchange Online PowerShell.
  • Для отправки отчета необходимо иметь допустимый SMTP-адрес. Пример: dlp_admin@contoso.com
  • У вас должен быть идентификатор сайта, где находится элемент.
  • У вас должен быть прямой путь ссылки на элемент.

Важно!

  • Test-DlpPolicies работает только для элементов, которые находятся в SharePoint или OneDrive.
  • Test-DlpPolices сообщает результаты только для политик, которые включают только SharePoint, OneDrive или SharePoint и OneDrive в их область.
  • Test-DlpPolices работает только с простыми условиями. Он не работает со сложными, сгруппированных или вложенными условиями.

Использование Test-DlpPolices

Чтобы узнать, каким политикам защиты от потери данных соответствует элемент, выполните следующие действия.

  1. Откройте папку SharePoint или OneDrive в браузере.

  2. Выберите многоточие файла и выберите сведения.

  3. В области сведений прокрутите вниз и выберите Путь. Скопируйте прямую ссылку и сохраните ее.

    Например:

    https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

Получение идентификатора сайта

  1. Подключение к Exchange Online PowerShell.

  2. Для SharePoint используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его:

    
    $reportAddress = "email@contoso.com" 
    
    $siteName = "SITENAME@TENANT.onmicrosoft.com" 
    
    $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
    
    $r = Get-Mailbox -Identity $siteName -GroupMailbox 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
    
    
  3. Для OneDrive используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его.

    
    $reportAddress = "email@contoso.com" 
    
    $odbUser = "USER@TENANT.onmicrosoft.com" 
    
    $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
    
    $r = Get-Mailbox -Identity $odbUser 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
    
    

    Ниже приведен пример возвращаемого значения:

    36ca70ab-6f38-7f3c-515f-a71e59ca6276

Запуск Test-DlpPolicies

  • Выполните следующий синтаксис в окне PowerShell:

    Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
    

    Например:

    Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

Толкование отчета

Отчет отправляется на SMTP-адрес, по которому вы передали команду Test-DlpPolicies PowerShell. Существует несколько полей. Ниже приведены объяснения наиболее важных из них.

Имя поля Средство
Идентификатор классификации Тип конфиденциальной информации (SIT), который элемент классифицируется как
Confidence Уровень достоверности SIT
Count Общее количество найденных значений SIT в элементе, включая дубликаты
Уникальное число Число значений SIT, найденных в элементе с исключенными дубликатами
Сведения о политике Имя и GUID вычисляемой политики
Правила — сведения о правилах Имя правила защиты от потери данных и GUID
Правила — предикаты — имя Условие, определенное в правиле защиты от потери данных
Правила — предикаты — IsMatch Соответствует ли элемент условиям
Предикаты — прошлые действия Любые действия, такие как уведомление пользователя, блокировка, блокировка с переопределением, выполненные для элемента
Предикаты — действия правила Действие, определенное в правиле защиты от потери данных
Предикаты — IsMatched Соответствует ли элемент правилу
IsMatched Соответствует ли элемент общей политике

См. также

  • Test-DataClassification описывает использование командлета Test-DataClassificationPowerShell .
  • Test-Message описывает использование командлета Test-MessagePowerShell .