Начало работы с режимом имитации защиты от потери данных
Для просмотра можно использовать режим моделирования Защита от потери данных Microsoft Purview (DLP).
- Влияние политики на рабочую среду без принудительного применения.
- Все элементы, которые будут соответствовать политике, если бы она была применена.
В этой статье описаны предварительные требования к режиму моделирования, параметры конфигурации и просмотр результатов моделирования.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Подготовка к работе
Лицензирование
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Разрешения
Учетная запись, используемая для взаимодействия с режимом имитации, должна находиться в роли администратора Information Protection. Дополнительные сведения о ролях и группах ролей, необходимых для использования режима моделирования, см. в разделе Разрешения. Дополнительные сведения о ролях и группах ролей в соответствии с Microsoft Purview см. в статье Роли и группы ролей в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview.
Конфигурация системы
Чтобы просмотреть совпадаемые элементы с конечных точек в их собственном приложении в элементах для проверки, необходимо настроить сбор доказательств для действий с файлами на устройствах.
Управление режимом имитации защиты от потери данных
Вы можете настроить политику в режиме имитации при ее создании или после ее создания. Вы также можете отключить режим моделирования для политики, которая уже находится в режиме имитации.
- Выполните действия, описанные в разделе Создание и развертывание политик защиты от потери данных , чтобы создать новую политику или изменить существующую политику.
- Последним шагом в рабочем процессе настройки политики является имитация или включение политики. Выберите Запустить политику в режиме имитации, чтобы включить режим имитации. Выберите включить его сразу или Не выключить, чтобы отключить режим моделирования. Вы можете выбрать следующее:
- Показывать советы по политике в режиме имитации , чтобы обучать пользователей, когда они выполняют действия, которые могут активировать действия политики.
- Включите политику, если она не была изменена в течение пятнадцати дней после имитации, чтобы включить политику без дальнейшего взаимодействия.
- Нажмите кнопку Далее и Отправить.
После отключения может потребоваться до 24 часов, чтобы аналитические сведения перестали отображаться на странице Обзор.
Просмотр политик защиты от потери данных в режиме имитации
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
Войдите вполитики защиты > отпотери данныхна портале> Microsoft Purview.
Выберите политику с состоянием В имитации или В симуляции с уведомлениями , чтобы открыть всплывающее окно.
Выберите Просмотреть симуляцию , чтобы просмотреть вкладки Общие сведения о симуляции, Элементы для просмотра и Оповещения .
Сообщения о состоянии в режиме имитации
Примечание.
Результаты сканирования при выполнении политики в режиме имитации сохраняются в течение 30 дней. Вы можете продолжать выполнять политику в режиме имитации дольше, но отображаются только результаты за последний 30-дневный период.
При выполнении политики в режиме имитации сканирование содержимого в большинстве расположений выполняется в режиме реального времени, то есть при отправке сообщения электронной почты или Teams. Проверка содержимого для расположений SharePoint и OneDrive работает немного иначе. Помимо сканирования содержимого при отправке документов в эти расположения, политики, работающие в режиме имитации, могут отображать три дополнительных сообщения о ходе выполнения: Завершено, Выполняется и Истек срок действия. В следующей таблице определены и описаны сообщения о состоянии, доступные для каждого расположения:
Состояние сканирования в режиме имитации по расположению
Расположение | Описания сообщений о состоянии |
---|---|
Exchange | В режиме реального времени — содержимое сканируется при отправке сообщения |
SharePoint |
Завершено — означает, что проверка существующего содержимого в Sharepoint и (или) OneDrive завершена. Это сообщение о состоянии отображается только в том случае, если SharePoint и (или) OneDrive являются единственными расположениями в область. Выполняется — означает, что имитация выполняется. Результаты обновляются по мере поиска новых совпадений. |
OneDrive |
Завершено — означает, что проверка существующего содержимого в Sharepoint и (или) OneDrive завершена. Это сообщение о состоянии отображается только в том случае, если SharePoint и (или) OneDrive являются единственными расположениями в область. Выполняется — означает, что имитация выполняется. Результаты обновляются по мере поиска новых совпадений. |
сообщения в чатах и каналах Teams | В режиме реального времени — содержимое сканируется при отправке сообщения |
Устройства | В режиме реального времени — содержимое сканируется при передаче с устройства. |
Fabric и Power BI | В режиме реального времени — содержимое сканируется при отправке |
В следующей таблице описываются сообщения о состоянии, связанные с ходом моделирования общей политики.
Общее состояние режима имитации
Состояние имитации | Описание |
---|---|
Завершено | Доступно только в том случае, если политика защиты от потери данных область ограничена SharePoint, OneDrive или и тем, и другим. Указывает, что все неактивные данные были проверены. |
Выполняется | Идет имитация сканирования. Результаты обновляются по мере обнаружения дополнительных соответствий политике. |
Истек срок действия | Имитируемой политике более 30 дней. Microsoft Purview хранит данные моделирования всего 30 дней. Чтобы получить результаты сканирования для неактивных данных, отсканированных до последнего 30-дневного окна, повторно запустите сканирование. |
Для просмотра отображаются только первые 100 элементов, сопоставленных в расположениях SharePoint и OneDrive. Это может отличаться от общего количества соответствующих элементов.
События моделирования отображаются в обозревателе действий. Вы можете выполнять фильтрацию в режиме политики, в котором есть TestWithNotifyUser, TestWithoutNotifyUser и принудительное применение значений.