Тестирование политик защиты от потери данных
Необходимо протестировать и настроить поведение политик Защита от потери данных Microsoft Purview (DLP) в рамках развертывания политики защиты от потери данных. В этой статье описаны два основных метода, которые можно использовать для тестирования политик в среде защиты от потери данных.
При развертывании новой политики или необходимости изменения существующей политики следует запустить ее в режиме имитации, а затем просмотреть оповещения, чтобы оценить ее точность. Режим имитации позволяет увидеть, как отдельная политика влияет на все элементы, которые находятся в политиках область без фактического применения. Вы используете его, чтобы узнать, какие элементы соответствуют политике.
Примечание
Функция Получения аналитических сведений с помощью Copilot доступна в предварительной версии.
Получение аналитических сведений с помощью Copilot — это Security Copilot навык, внедренный на странице политики Защита от потери данных Microsoft Purview. Это поможет вам понять, какие политики выполняются в организации и где они активны.
Выберите одну или несколько политик, а затем выберите Получить аналитические сведения с помощью Copilot. Затем Copilot создает ответ, который предоставляет сведения о выбранных политиках, например:
- Где политики ищут конфиденциальную информацию.
- Какие конфиденциальные сведения ищут политики.
- Какие сценарии активируют политики.
- Влияние политик на конечных пользователей.
- Как администраторы получают уведомления.
Вы можете дополнительно свести исследование по административным единицам, расположениям защиты от потери данных и типам данных, которые были классифицированы.
- Ваша организация должна иметь лицензию на Security Copilot.
- Учетная запись, используемая для доступа к функции Получения аналитических сведений с помощью Copilot , должна находиться в роли администратора Защиты информации.
Test-DlpPolicies — это командлет, который позволяет увидеть, какие политики защиты от потери данных, ограниченные SharePoint и OneDrive, соответствуют (или не соответствуют) отдельному элементу в SharePoint или OneDrive.
- Необходимо иметь возможность подключения к Exchange Online PowerShell.
- Для отправки отчета необходимо иметь допустимый SMTP-адрес. Пример:
dlp_admin@contoso.com
- У вас должен быть идентификатор сайта, где находится элемент.
- У вас должен быть прямой путь ссылки на элемент.
Важно!
- Test-DlpPolicies работает только для элементов, которые находятся в SharePoint или OneDrive.
- Test-DlpPolices сообщает результаты только для политик, которые включают только SharePoint, OneDrive или SharePoint и OneDrive в их область.
- Test-DlpPolices работает только с простыми условиями. Он не работает со сложными, сгруппированных или вложенными условиями.
Чтобы узнать, каким политикам защиты от потери данных соответствует элемент, выполните следующие действия.
Откройте папку SharePoint или OneDrive в браузере.
Выберите многоточие файла и выберите сведения.
В области сведений прокрутите вниз и выберите Путь. Скопируйте прямую ссылку и сохраните ее.
Например:
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
Для SharePoint используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его:
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
Для OneDrive используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его.
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
Ниже приведен пример возвращаемого значения:
36ca70ab-6f38-7f3c-515f-a71e59ca6276
Выполните следующий синтаксис в окне PowerShell:
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
Например:
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
Отчет отправляется на SMTP-адрес, по которому вы передали команду Test-DlpPolicies PowerShell. Существует несколько полей. Ниже приведены объяснения наиболее важных из них.
Имя поля | Средство |
---|---|
Идентификатор классификации | Тип конфиденциальной информации (SIT), который элемент классифицируется как |
Confidence | Уровень достоверности SIT |
Count | Общее количество найденных значений SIT в элементе, включая дубликаты |
Уникальное число | Число значений SIT, найденных в элементе с исключенными дубликатами |
Сведения о политике | Имя и GUID вычисляемой политики |
Правила — сведения о правилах | Имя правила защиты от потери данных и GUID |
Правила — предикаты — имя | Условие, определенное в правиле защиты от потери данных |
Правила — предикаты — IsMatch | Соответствует ли элемент условиям |
Предикаты — прошлые действия | Любые действия, такие как уведомление пользователя, блокировка, блокировка с переопределением, выполненные для элемента |
Предикаты — действия правила | Действие, определенное в правиле защиты от потери данных |
Предикаты — IsMatched | Соответствует ли элемент правилу |
IsMatched | Соответствует ли элемент общей политике |
-
Test-DataClassification описывает использование командлета
Test-DataClassification
PowerShell . -
Test-Message описывает использование командлета
Test-Message
PowerShell .