Freigeben über


Erste Schritte mit dem Simulationsmodus zur Verhinderung von Datenverlust

Sie können Microsoft Purview Data Loss Prevention (DLP)-Simulationsmodus verwenden, um Folgendes anzuzeigen:

  • Die Auswirkungen einer Richtlinie auf Ihre Produktionsumgebung ohne Erzwingung.
  • Alle Elemente, die von einer Richtlinie abgeglichen würden, wenn sie erzwungen würde.

In diesem Artikel werden die Voraussetzungen für den Simulationsmodus, Konfigurationsoptionen und das Anzeigen von Simulationsergebnissen erläutert.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Bevor Sie beginnen

Lizenzierung

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

Berechtigungen

Das Konto, das Sie für die Interaktion mit dem Simulationsmodus verwenden, muss sich in der administratorrolle Information Protection befinden. Weitere Informationen zu den Rollen und Rollengruppen, die für die Verwendung des Simulationsmodus erforderlich sind, finden Sie unter Berechtigungen. Weitere Informationen zu Rollen und Rollengruppen in Microsoft Purview-Compliance finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

Systemkonfiguration

Um übereinstimmende Elemente von Endpunktgeräten in ihrer nativen Anwendung unter Zu überprüfende Elemente anzuzeigen, müssen Sie die Beweissammlung für Dateiaktivitäten auf Geräten konfigurieren.

Verwalten des DLP-Simulationsmodus

Sie können festlegen, dass sich eine Richtlinie im Simulationsmodus befindet, wenn Sie sie erstellen oder nachdem sie erstellt wurde. Sie können auch den Simulationsmodus für eine Richtlinie deaktivieren, die sich bereits im Simulationsmodus befindet.

  1. Führen Sie die Schritte unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust aus, um eine neue Richtlinie zu erstellen oder eine vorhandene Richtlinie zu bearbeiten.
  2. Der letzte Schritt im Richtlinienkonfigurationsworkflow ist Simulieren oder Aktivieren der Richtlinie. Wählen Sie Richtlinie im Simulationsmodus ausführen aus, um den Simulationsmodus zu aktivieren. Wählen Sie entweder Sofort aktivieren oder Deaktivieren aus, um den Simulationsmodus zu deaktivieren. Sie können weiter auswählen:
    1. Zeigen Sie Richtlinientipps mit im Simulationsmodus an, um Ihre Benutzer zu schulen, wenn sie Aktionen ergreifen, die Richtlinienaktionen auslösen können.
    2. Aktivieren Sie die Richtlinie, wenn sie nicht innerhalb von fünfzehn Tagen nach der Simulation bearbeitet wird , um die Richtlinie ohne weitere Interaktion zu aktivieren.
  3. Wählen Sie Weiter und Übermitteln aus.

Nach der Deaktivierung kann es bis zu 24 Stunden dauern, bis die Erkenntnisse nicht mehr auf der Seite Übersicht angezeigt werden.

Anzeigen von DLP-Richtlinien im Simulationsmodus

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal> mitRichtlinienzur Verhinderung von> Datenverlust an.

  2. Wählen Sie eine Richtlinie mit dem status In Simulation oder In Simulation mit Benachrichtigungen aus, um den Flyoutbereich zu öffnen.

  3. Wählen Sie Simulation anzeigen aus, um die Registerkarten Simulationsübersicht, Elemente zur Überprüfung und Warnungen anzuzeigen.

Meldungen im Simulationsmodus status

Hinweis

Scanergebnisse aus der Ausführung einer Richtlinie im Simulationsmodus werden 30 Tage lang gespeichert. Sie können die Richtlinie länger im Simulationsmodus ausführen, aber nur die Ergebnisse für den letzten 30-Tage-Zeitraum werden angezeigt.

Wenn eine Richtlinie im Simulationsmodus ausgeführt wird, erfolgt die Inhaltsüberprüfung an den meisten Stellen in Echtzeit, d. h. beim Senden einer E-Mail oder Teams-Nachricht. Die Inhaltsüberprüfung für die SharePoint- und OneDrive-Speicherorte funktioniert etwas anders. Zusätzlich zum Scannen von Inhalten, wenn Dokumente an diese Speicherorte hochgeladen werden, können Richtlinien, die im Simulationsmodus ausgeführt werden, drei zusätzliche Statusmeldungen anzeigen: Abgeschlossen, In Bearbeitung und Abgelaufen. In der folgenden Tabelle sind die status Nachrichten aufgeführt und beschrieben, die für die einzelnen Speicherorte verfügbar sind:

Scan im Simulationsmodus status nach Standort

Standort Statusmeldungsbeschreibungen
Exchange Echtzeit: Der Inhalt wird beim Senden einer Nachricht überprüft.
SharePoint Abgeschlossen : Gibt an, dass das Überprüfen der vorhandenen Inhalte in SharePoint und/oder OneDrive abgeschlossen ist. Diese status Meldung wird nur angezeigt, wenn SharePoint und/oder OneDrive die einzigen Speicherorte im Bereich sind.

In Bearbeitung : Gibt an, dass die Simulation ausgeführt wird. Die Ergebnisse werden aktualisiert, wenn weitere Übereinstimmungen gefunden werden.

Microsoft OneDrive-App Abgeschlossen : Gibt an, dass das Überprüfen der vorhandenen Inhalte in SharePoint und/oder OneDrive abgeschlossen ist. Diese status Meldung wird nur angezeigt, wenn SharePoint und/oder OneDrive die einzigen Speicherorte im Bereich sind.

In Bearbeitung : Gibt an, dass die Simulation ausgeführt wird. Die Ergebnisse werden aktualisiert, wenn weitere Übereinstimmungen gefunden werden.

Teams-Chat- und Teams-Kanalnachrichten Echtzeit: Der Inhalt wird beim Senden einer Nachricht überprüft.
Geräte Echtzeit: Inhalt wird gescannt, wenn er vom Gerät übertragen wird
Fabric und Power BI Echtzeit: Inhalte werden beim Hochladen überprüft.

In der nächsten Tabelle werden die status Meldungen im Zusammenhang mit dem Fortschritt der allgemeinen Richtliniensimulation erläutert.

Allgemeine status des Simulationsmodus

simulation status Beschreibung
Abgeschlossen Nur verfügbar, wenn ein DLP-Richtlinienbereich auf SharePoint, OneDrive oder beides beschränkt ist. Gibt an, dass alle ruhenden Daten gescannt wurden.
In Arbeit Die Simulationsüberprüfung ist im Gange. Die Ergebnisse werden aktualisiert, wenn zusätzliche Richtlinien-Übereinstimmungen erkannt werden.
Abgelaufen Die zu simulierende Richtlinie ist älter als 30 Tage. Microsoft Purview speichert Simulationsdaten nur für 30 Tage. Um Überprüfungsergebnisse für ruhende Daten zu erhalten, die vor dem letzten 30-Tage-Fenster gescannt wurden, führen Sie die Überprüfung erneut aus.

Nur die ersten 100 Elemente, die an den SharePoint- und OneDrive-Speicherorten übereinstimmen, werden zur Überprüfung angezeigt. Dies kann von der Gesamtzahl der übereinstimmend zugeordneten Elemente abweichen.

Simulationsereignisse werden im Aktivitäts-Explorer angezeigt. Sie können nach dem Richtlinienmodus filtern, der Über TestWithNotifyUser und TestWithoutNotifyUser verfügt und Werte erzwingen .

Siehe auch