Prueba de las directivas de prevención de pérdida de datos
Debe probar y ajustar el comportamiento de las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) como parte de la implementación de la directiva DLP. En este artículo se presentan dos de los métodos básicos que puede usar para probar directivas en el entorno DLP.
Modo de simulación
Cuando implemente una nueva directiva o necesite modificar una existente, debe ejecutarla en modo de simulación y, a continuación, revisar las alertas para evaluar su precisión. El modo de simulación permite ver cómo una directiva individual afecta a todos los elementos que están en el ámbito de las directivas sin la aplicación real. Se usa para averiguar qué elementos coinciden con una directiva.
Obtener información con Security Copilot
Nota:
La característica Obtener información con Copilot está en versión preliminar.
Obtener información con Copilot es una aptitud de Security Copilot que se inserta en la página de directivas de Prevención de pérdida de datos de Microsoft Purview. Puede ayudarle a comprender qué hacen las directivas en su organización y dónde están activas.
Seleccione una o varias directivas y, a continuación, seleccione Obtener información con Copilot. Copilot genera una respuesta que le proporciona información sobre las directivas seleccionadas, como:
- Donde las directivas buscan información confidencial.
- Qué tipo de información confidencial buscan las directivas.
- Qué escenarios desencadenan las directivas.
- Cómo se ven afectados los usuarios finales por las directivas.
- Cómo se notifica a los administradores.
Puede dinamizar aún más la investigación por unidades administrativas, ubicaciones que DLP protege y tipos de datos que se han clasificado
Requisitos previos
- La organización debe tener licencia para Security Copilot.
- La cuenta que use para acceder a la característica Obtener información con Copilot debe estar en el rol de administrador de Information Protection.
Test-DlpPolicies
Test-DlpPolicies es un cmdlet que permite ver qué directivas DLP con ámbito de SharePoint y OneDrive coinciden (o no coinciden) con un elemento individual en SharePoint o OneDrive.
Antes de empezar
- Debe poder conectarse a Exchange Online PowerShell.
- Debe tener una dirección SMTP válida a la que enviar el informe. Por ejemplo:
dlp_admin@contoso.com
- Debe tener el identificador de sitio donde se encuentra el elemento.
- Debe tener la ruta de acceso del vínculo directo al elemento.
Importante
- Test-DlpPolicies solo funciona para los elementos que están en SharePoint o OneDrive.
- Test-DlpPolices solo notifica los resultados de las directivas que incluyen SharePoint solo, OneDrive solo o SharePoint y OneDrive en su ámbito.
- Test-DlpPolices solo funciona con condiciones sencillas. No funciona con condiciones complejas, agrupadas o anidadas.
Uso de Test-DlpPolices
Para ver qué directivas DLP coinciden con un elemento, siga estos pasos:
Obtener la ruta de acceso del vínculo directo al elemento
Abra la carpeta SharePoint o OneDrive en un explorador.
Seleccione los puntos suspensivos del archivo y seleccione los detalles.
En el panel de detalles, desplácese hacia abajo y seleccione Ruta de acceso. Copie el vínculo directo y guárdelo.
Por ejemplo:
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
Obtención del identificador de sitio
Para SharePoint, use la sintaxis siguiente para obtener el identificador de sitio y guardarlo:
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
Para OneDrive, use la sintaxis siguiente para obtener el identificador de sitio y guardarlo.
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
Este es un ejemplo de un valor devuelto:
36ca70ab-6f38-7f3c-515f-a71e59ca6276
Ejecutar Test-DlpPolicies
Ejecute la sintaxis siguiente en la ventana de PowerShell:
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
Por ejemplo:
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
Interpretar el informe
El informe se envía a la dirección SMTP a la que pasó el comando de PowerShell Test-DlpPolicies. Hay varios campos. Estas son las explicaciones de las más importantes.
Nombre del campo | Medio |
---|---|
Id. de clasificación | El tipo de información confidencial (SIT) que el elemento se clasifica como |
Intervalo.Confianza | El nivel de confianza de la SIT |
Count | El número total de veces que se encontró el valor sit en el elemento, esto incluye duplicados. |
Recuento único | Número de valores SIT encontrados en el elemento con duplicados eliminados |
Detalles de la directiva | Nombre y GUID de la directiva que se evaluó |
Reglas: detalles de la regla | Nombre y GUID de la regla DLP |
Reglas: predicados: nombre | Condición definida en la regla DLP |
Reglas: predicados: IsMatch | Si el elemento coincidió con las condiciones |
Predicados: acciones anteriores | Cualquier acción, como notificar al usuario, bloquear, bloquear con invalidación que se ha realizado en el elemento |
Predicados: acciones de la regla | Acción definida en la regla DLP |
Predicados: IsMatched | Si el elemento coincidió con la regla |
IsMatched | Si el elemento coincidió con la directiva general |
Consulta también
-
Test-DataClassification explica cómo usar el cmdlet
Test-DataClassification
de PowerShell . -
Test-Message explica cómo usar el cmdlet
Test-Message
de PowerShell .