データ損失防止ポリシーをテストする
DLP ポリシーの展開の一部として、Microsoft Purview データ損失防止 (DLP) ポリシーの動作をテストして調整する必要があります。 この記事では、DLP 環境でポリシーをテストするために使用できる 2 つの基本的な方法について説明します。
シミュレーション モード
新しいポリシーをデプロイする場合、または既存のポリシーを変更する必要 がある場合は、シミュレーション モードで実行し、 アラートを確認して精度を評価する必要があります。 シミュレーション モードを使用すると、実際の適用なしで、個々のポリシーがポリシー スコープ内のすべての項目にどのように影響するかを確認できます。 これを使用して、ポリシーに一致する項目を確認します。
Security Copilotで分析情報を取得する
注:
Copilot で分析情報を取得する機能はプレビュー段階です。
Copilot で分析情報を取得することは、Microsoft Purview データ損失防止 ポリシー ページに埋め込まれているSecurity Copilot スキルです。 これは、organizationでポリシーが何を実行しているか、およびそれらがアクティブな場所を理解するのに役立ちます。
1 つまたは複数のポリシーを選択し、[ Copilot で分析情報を取得する] を選択します。 その後、Copilot は、選択したポリシーに関する次のような情報を提供する応答を生成します。
- ポリシーが機密情報を探している場所。
- ポリシーが探している機密情報の種類。
- ポリシーをトリガーするシナリオ。
- エンド ユーザーがポリシーの影響を受けます。
- 管理者に通知する方法。
さらに、管理単位、DLP が保護する場所、および分類されたデータの種類によって調査をさらにピボットできます
前提条件
- organizationは、Security Copilotのライセンスが必要です。
- Copilot で分析情報を取得する機能にアクセスするために使用するアカウントは、情報保護管理者ロールに含まれている必要があります。
Test-DlpPolicies
Test-DlpPolicies は、SharePoint または OneDrive の個々のアイテムと一致する (または一致しない) SharePoint と OneDrive を対象とする DLP ポリシーを確認できるコマンドレットです。
開始する前に
- Exchange Online PowerShell に接続できる必要があります。
- レポートの送信先として有効な SMTP アドレスが必要です。 例:
dlp_admin@contoso.com
- アイテムが配置されているサイト ID が必要です。
- アイテムへの直接リンク パスが必要です。
重要
- Test-DlpPolicies は、SharePoint または OneDrive 内のアイテムに対してのみ機能します。
- Test-DlpPolices は、SharePoint 単独、OneDrive 単独、または SharePoint と OneDrive の両方をスコープに含むポリシーの結果のみを報告します。
- Test-DlpPolices は単純な条件でのみ機能します。 複雑な条件、グループ化された条件、または入れ子になった条件では機能しません。
Test-DlpPolices を使用する
項目が一致する DLP ポリシーを確認するには、次の手順に従います。
アイテムへの直接リンク パスを取得する
ブラウザーで SharePoint フォルダーまたは OneDrive フォルダーを開きます。
ファイルの省略記号を選択し、詳細を選択 します。
詳細ウィンドウで、下にスクロールして [ パス] を選択します。 直接リンクをコピーして保存します。
以下に例を示します。
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
サイト ID を取得する
SharePoint の場合は、次の構文を使用してサイト ID を取得して保存します。
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
OneDrive の場合は、次の構文を使用してサイト ID を取得して保存します。
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
返される値の例を次に示します。
36ca70ab-6f38-7f3c-515f-a71e59ca6276
Test-DlpPolicies を実行する
PowerShell ウィンドウで次の構文を実行します。
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
以下に例を示します。
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
レポートを解釈する
レポートは、Test-DlpPolicies PowerShell コマンドを渡した SMTP アドレスに送信されます。 複数のフィールドがあります。 最も重要なものの説明を次に示します。
フィールド名 | 手段 |
---|---|
分類 ID | アイテムがとして分類される機密情報の種類 (SIT) |
Confidence | SIT の信頼度レベル |
カウント | 項目に SIT 値が見つかった合計回数。これには重複が含まれます |
一意のカウント | 重複が除去された項目に見つかった SIT 値の数 |
ポリシーの詳細 | 評価されたポリシーの名前と GUID |
ルール - ルールの詳細 | DLP ルール名と GUID |
規則 - 述語 - 名前 | DLP ルールで定義されている条件 |
ルール - 述語 - IsMatch | 項目が条件と一致したかどうか |
述語 - 過去のアクション | ユーザーへの通知、ブロック、アイテムに対して実行されたオーバーライドを含むブロックなどのアクション |
述語 - ルールのアクション | DLP ルールで定義されているアクション |
述語 - IsMatched | 項目がルールと一致したかどうか |
IsMatched | 項目がポリシー全体と一致したかどうか |
関連項目
-
Test-DataClassification では、PowerShell コマンドレット
Test-DataClassification
を使用する方法について説明します。 -
テスト メッセージでは 、PowerShell コマンドレット
Test-Message
を使用する方法について説明します。