Testen Ihrer Richtlinien zur Verhinderung von Datenverlust
Sie sollten das Verhalten Ihrer Microsoft Purview Data Loss Prevention-Richtlinien (DLP) im Rahmen ihrer DLP-Richtlinienbereitstellung testen und optimieren. In diesem Artikel werden zwei der grundlegenden Methoden vorgestellt, die Sie zum Testen von Richtlinien in Ihrer DLP-Umgebung verwenden können.
Simulationsmodus
Wenn Sie eine neue Richtlinie bereitstellen oder eine vorhandene Richtlinie ändern müssen, sollten Sie sie im Simulationsmodus ausführen und dann die Warnungen überprüfen, um deren Genauigkeit zu bewerten. Im Simulationsmodus können Sie sehen, wie sich eine einzelne Richtlinie ohne tatsächliche Erzwingung auf alle Elemente auswirkt, die sich im Richtlinienbereich befinden. Sie verwenden es, um herauszufinden, welche Elemente mit einer Richtlinie übereinstimmen.
Abrufen von Erkenntnissen mit Security Copilot
Hinweis
Das Feature "Erkenntnisse mit Copilot erhalten " befindet sich in der Vorschauphase.
Erkenntnisse mit Copilot erhalten ist ein Security Copilot Skill, der auf der Seite Microsoft Purview Data Loss Prevention-Richtlinie eingebettet ist. Es kann Ihnen helfen zu verstehen, was Ihre Richtlinien in Ihrem organization tun und wo sie aktiv sind.
Wählen Sie eine oder mehrere Richtlinien und dann Erkenntnisse mit Copilot abrufen aus. Copilot generiert dann eine Antwort, die Ihnen Informationen zu den ausgewählten Richtlinien wie den folgenden liefert:
- Wo Ihre Richtlinien nach vertraulichen Informationen suchen.
- Nach welchen vertraulichen Informationen Ihre Richtlinien suchen?
- Welche Szenarien lösen die Richtlinien aus.
- Wie Endbenutzer von den Richtlinien betroffen sind.
- Wie die Administratoren benachrichtigt werden.
Sie können Ihre Untersuchung weiter nach Verwaltungseinheiten, Speicherorten, die DLP schützen , und Typen von Daten, die klassifiziert wurden, pivotieren.
Voraussetzungen
- Ihr organization muss für Security Copilot lizenziert sein.
- Das Konto, das Sie für den Zugriff auf das Feature "Erkenntnisse mit Copilot abrufen " verwenden, muss der Rolle "Information Protection-Administrator" angehören.
Test-DlpPolicies
Test-DlpPolicies ist ein Cmdlet, mit dem Sie sehen können, welche DLP-Richtlinien für SharePoint und OneDrive mit einem einzelnen Element in SharePoint oder OneDrive übereinstimmen (oder nicht übereinstimmen).
Bevor Sie beginnen
- Sie müssen eine Verbindung mit Exchange Online PowerShell herstellen können.
- Sie benötigen eine gültige SMTP-Adresse, an die der Bericht gesendet werden kann. Beispiel:
dlp_admin@contoso.com
- Sie müssen über die Standort-ID verfügen, an der sich das Element befindet.
- Sie müssen über den direkten Linkpfad zum Element verfügen.
Wichtig
- Test-DlpPolicies funktioniert nur für Elemente, die sich in SharePoint oder OneDrive befinden.
- Test-DlpPolices werden nur Ergebnisse für Richtlinien gemeldet, die SharePoint allein, OneDrive allein oder SharePoint und OneDrive in ihrem Bereich enthalten.
- Test-DlpPolices funktioniert nur mit einfachen Bedingungen. Es funktioniert nicht mit komplexen, gruppierten oder geschachtelten Bedingungen.
Verwenden von Test-DlpPolices
Führen Sie die folgenden Schritte aus, um zu sehen, mit welchen DLP-Richtlinien ein Element übereinstimmt:
Abrufen des direkten Linkpfads zum Element
Öffnen Sie den SharePoint- oder OneDrive-Ordner in einem Browser.
Wählen Sie die Auslassungspunkte der Datei und dann Details aus.
Scrollen Sie im Detailbereich nach unten, und wählen Sie Pfad aus. Kopieren Sie den direkten Link, und speichern Sie ihn.
Zum Beispiel:
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
Abrufen der Website-ID
Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Verwenden Sie für SharePoint die folgende Syntax, um die Website-ID abzurufen und zu speichern:
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
Verwenden Sie für OneDrive die folgende Syntax, um die Website-ID abzurufen und zu speichern.
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
Hier sehen Sie ein Beispiel für einen zurückgegebenen Wert:
36ca70ab-6f38-7f3c-515f-a71e59ca6276
Ausführen von Test-DlpPolicies
Führen Sie die folgende Syntax im PowerShell-Fenster aus:
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
Zum Beispiel:
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
Interpretieren des Berichts
Der Bericht wird an die SMTP-Adresse gesendet, an die Sie den Test-DlpPolicies PowerShell-Befehl übergeben haben. Es gibt mehrere Felder. Hier finden Sie Erläuterungen der wichtigsten.
Feldname | Mittel |
---|---|
Klassifizierungs-ID | Der Typ vertraulicher Informationen (SIT), als den das Element kategorisiert wird |
Konfidenz | Das Konfidenzniveau des SIT |
Anzahl | Die Gesamtanzahl, mit der der SIT-Wert im Element gefunden wurde, einschließlich Duplikate |
Eindeutige Anzahl | Die Anzahl der im Element gefundenen SIT-Werte mit entfernten Duplikaten |
Richtliniendetails | Name und GUID der ausgewerteten Richtlinie |
Regeln – Regeldetails | Dlp-Regelname und GUID |
Regeln – Prädikate – Name | Die in der DLP-Regel definierte Bedingung |
Regeln – Prädikate – IsMatch | Ob das Element mit den Bedingungen übereinstimmt |
Prädikate – Vergangene Aktionen | Alle Aktionen, z. B. Benutzer benachrichtigen, blockieren, blockieren mit Außerkraftsetzung, die für das Element ausgeführt wurden |
Prädikate – Aktionen der Regel | Die in der DLP-Regel definierte Aktion |
Prädikate – IsMatched | Ob das Element mit der Regel übereinstimmt |
IsMatched | Ob das Element mit der allgemeinen Richtlinie übereinstimmt |
Siehe auch
-
Test-DataClassification erläutert die Verwendung des PowerShell-Cmdlets
Test-DataClassification
. -
Test-Message erläutert die Verwendung des PowerShell-Cmdlets
Test-Message
.