Freigeben über


Testen Ihrer Richtlinien zur Verhinderung von Datenverlust

Sie sollten das Verhalten Ihrer Microsoft Purview Data Loss Prevention-Richtlinien (DLP) im Rahmen ihrer DLP-Richtlinienbereitstellung testen und optimieren. In diesem Artikel werden zwei der grundlegenden Methoden vorgestellt, die Sie zum Testen von Richtlinien in Ihrer DLP-Umgebung verwenden können.

Simulationsmodus

Wenn Sie eine neue Richtlinie bereitstellen oder eine vorhandene Richtlinie ändern müssen, sollten Sie sie im Simulationsmodus ausführen und dann die Warnungen überprüfen, um deren Genauigkeit zu bewerten. Im Simulationsmodus können Sie sehen, wie sich eine einzelne Richtlinie ohne tatsächliche Erzwingung auf alle Elemente auswirkt, die sich im Richtlinienbereich befinden. Sie verwenden es, um herauszufinden, welche Elemente mit einer Richtlinie übereinstimmen.

Abrufen von Erkenntnissen mit Security Copilot

Hinweis

Das Feature "Erkenntnisse mit Copilot erhalten " befindet sich in der Vorschauphase.

Erkenntnisse mit Copilot erhalten ist ein Security Copilot Skill, der auf der Seite Microsoft Purview Data Loss Prevention-Richtlinie eingebettet ist. Es kann Ihnen helfen zu verstehen, was Ihre Richtlinien in Ihrem organization tun und wo sie aktiv sind.

Screenshot des Steuerelements

Wählen Sie eine oder mehrere Richtlinien und dann Erkenntnisse mit Copilot abrufen aus. Copilot generiert dann eine Antwort, die Ihnen Informationen zu den ausgewählten Richtlinien wie den folgenden liefert:

  • Wo Ihre Richtlinien nach vertraulichen Informationen suchen.
  • Nach welchen vertraulichen Informationen Ihre Richtlinien suchen?
  • Welche Szenarien lösen die Richtlinien aus.
  • Wie Endbenutzer von den Richtlinien betroffen sind.
  • Wie die Administratoren benachrichtigt werden.

Sie können Ihre Untersuchung weiter nach Verwaltungseinheiten, Speicherorten, die DLP schützen , und Typen von Daten, die klassifiziert wurden, pivotieren.

Voraussetzungen

  • Ihr organization muss für Security Copilot lizenziert sein.
  • Das Konto, das Sie für den Zugriff auf das Feature "Erkenntnisse mit Copilot abrufen " verwenden, muss der Rolle "Information Protection-Administrator" angehören.

Test-DlpPolicies

Test-DlpPolicies ist ein Cmdlet, mit dem Sie sehen können, welche DLP-Richtlinien für SharePoint und OneDrive mit einem einzelnen Element in SharePoint oder OneDrive übereinstimmen (oder nicht übereinstimmen).

Bevor Sie beginnen

  • Sie müssen eine Verbindung mit Exchange Online PowerShell herstellen können.
  • Sie benötigen eine gültige SMTP-Adresse, an die der Bericht gesendet werden kann. Beispiel: dlp_admin@contoso.com
  • Sie müssen über die Standort-ID verfügen, an der sich das Element befindet.
  • Sie müssen über den direkten Linkpfad zum Element verfügen.

Wichtig

  • Test-DlpPolicies funktioniert nur für Elemente, die sich in SharePoint oder OneDrive befinden.
  • Test-DlpPolices werden nur Ergebnisse für Richtlinien gemeldet, die SharePoint allein, OneDrive allein oder SharePoint und OneDrive in ihrem Bereich enthalten.
  • Test-DlpPolices funktioniert nur mit einfachen Bedingungen. Es funktioniert nicht mit komplexen, gruppierten oder geschachtelten Bedingungen.

Verwenden von Test-DlpPolices

Führen Sie die folgenden Schritte aus, um zu sehen, mit welchen DLP-Richtlinien ein Element übereinstimmt:

  1. Öffnen Sie den SharePoint- oder OneDrive-Ordner in einem Browser.

  2. Wählen Sie die Auslassungspunkte der Datei und dann Details aus.

  3. Scrollen Sie im Detailbereich nach unten, und wählen Sie Pfad aus. Kopieren Sie den direkten Link, und speichern Sie ihn.

    Zum Beispiel:

    https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

Abrufen der Website-ID

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Verwenden Sie für SharePoint die folgende Syntax, um die Website-ID abzurufen und zu speichern:

    
    $reportAddress = "email@contoso.com" 
    
    $siteName = "SITENAME@TENANT.onmicrosoft.com" 
    
    $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
    
    $r = Get-Mailbox -Identity $siteName -GroupMailbox 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
    
    
  3. Verwenden Sie für OneDrive die folgende Syntax, um die Website-ID abzurufen und zu speichern.

    
    $reportAddress = "email@contoso.com" 
    
    $odbUser = "USER@TENANT.onmicrosoft.com" 
    
    $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
    
    $r = Get-Mailbox -Identity $odbUser 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
    
    

    Hier sehen Sie ein Beispiel für einen zurückgegebenen Wert:

    36ca70ab-6f38-7f3c-515f-a71e59ca6276

Ausführen von Test-DlpPolicies

  • Führen Sie die folgende Syntax im PowerShell-Fenster aus:

    Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
    

    Zum Beispiel:

    Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

Interpretieren des Berichts

Der Bericht wird an die SMTP-Adresse gesendet, an die Sie den Test-DlpPolicies PowerShell-Befehl übergeben haben. Es gibt mehrere Felder. Hier finden Sie Erläuterungen der wichtigsten.

Feldname Mittel
Klassifizierungs-ID Der Typ vertraulicher Informationen (SIT), als den das Element kategorisiert wird
Konfidenz Das Konfidenzniveau des SIT
Anzahl Die Gesamtanzahl, mit der der SIT-Wert im Element gefunden wurde, einschließlich Duplikate
Eindeutige Anzahl Die Anzahl der im Element gefundenen SIT-Werte mit entfernten Duplikaten
Richtliniendetails Name und GUID der ausgewerteten Richtlinie
Regeln – Regeldetails Dlp-Regelname und GUID
Regeln – Prädikate – Name Die in der DLP-Regel definierte Bedingung
Regeln – Prädikate – IsMatch Ob das Element mit den Bedingungen übereinstimmt
Prädikate – Vergangene Aktionen Alle Aktionen, z. B. Benutzer benachrichtigen, blockieren, blockieren mit Außerkraftsetzung, die für das Element ausgeführt wurden
Prädikate – Aktionen der Regel Die in der DLP-Regel definierte Aktion
Prädikate – IsMatched Ob das Element mit der Regel übereinstimmt
IsMatched Ob das Element mit der allgemeinen Richtlinie übereinstimmt

Siehe auch

  • Test-DataClassification erläutert die Verwendung des PowerShell-Cmdlets Test-DataClassification.
  • Test-Message erläutert die Verwendung des PowerShell-Cmdlets Test-Message.