Сведения о режиме имитации защиты от потери данных
Запуск политики в режиме имитации( иначе называемый режимом моделирования) для политик Защита от потери данных Microsoft Purview (DLP) заменяет тест и тест состояниями политики подсказок политик. Когда политика находится в режиме имитации, она выполняется так, как если бы она применялась, без фактического применения. В отличие от режимов тестирования , все соответствующие элементы и оповещения отображаются на отдельной панели мониторинга. Это позволяет легко увидеть влияние политики перед ее применением, сохранив все результаты моделирования отдельно от результатов применяемых политик.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Режим имитации обеспечивает следующие возможности:
- Изолированный интерфейс для запуска и оценки политик.
- Сводная панель мониторинга, которая позволяет получить представление о влиянии политик в разных расположениях и показывает, какие элементы были сопоставлены.
- Плоский список соответствующих элементов на уровне политики.
Режим имитации для политик защиты от потери данных — это инструмент, который можно использовать для настройки политик защиты от потери данных в любое время. Его следует включить в процесс создания и развертывания политики . Использование режима имитации для настройки полиции сокращает количество ложных срабатываний без влияния на пользователей или бизнес-процессы. Используйте его как часть процесса развертывания для новых политик, используйте его для тестирования изменений существующих политик перед применением этих изменений в рабочей среде.
Например:
Политика защиты от потери данных Защита кредитных карт версии 1 находится в рабочей среде, но выдает слишком много ложных срабатываний. Вы думаете, что знаете, что не так, но вы не хотите экспериментировать с изменениями в рабочей среде, чтобы узнать это. Вы можете создать копию политики Защита кредитных карт версии 1, назвать ее Защита кредитных карт версии 2, внести изменения в настройку, а затем запустить версию 2 в режиме имитации. Если изменения имеют желаемый результат, можно отключить версию 1 и установить режим принудительного применения версии 2 .
Важно!
Моделирование может выполняться до 15 дней, поэтому результаты не являются моментом времени snapshot. Для SharePoint Online и OneDrive для бизнеса расположений оцениваются все существующие и новые или измененные элементы. Для Exchange, Teams и расположений устройств оцениваются только новые элементы, которые являются новыми во время моделирования. Данные, полученные от выполнения имитации, хранятся в течение 30 дней.
Размещение политики в режиме имитации
Процедуры для управления режимом моделирования для политики см. в статье Начало работы с режимом имитации потери данных .
Результаты моделирования
Инструкции по доступу к результатам моделирования см. в статье Начало работы с режимом имитации защиты от потери данных . Результаты моделирования отображаются на трех страницах.
Общие сведения об имитации
На вкладке Общие сведения о моделировании представлены основные сведения о:
- состояние моделирования политики (завершено, выполняется или истекло)
- состояние сканирования для каждого расположения
- всего сканированных элементов
- всего найденных совпадений
- совпадения элементов для каждого расположения
- ссылки на соответствующие элементы
и другую информацию.
Элементы для проверки
На вкладке Элементы для проверки отображается плоский список элементов, соответствующих политике в имитации, и позволяет считывать исходный элемент вместе с метаданными элементов, как в обозревателе содержимого.
Оповещения
На вкладке Оповещения в режиме имитации отображается плоский список всех оповещений, созданных при совпадении элемента с политикой в имитации. Он имеет тот же формат, что и консоль оповещений О DLP.
Важно!
Пока политика находится в режиме имитации, все оповещения об имитации отображаются только на вкладке оповещения об имитации. Они не отображаются в консоли оповещений DLP и не передаются на портал Microsoft Defender.