Тестирование политик защиты от потери данных
Необходимо протестировать и настроить поведение политик Защита от потери данных Microsoft Purview (DLP) в рамках развертывания политики защиты от потери данных. В этой статье описаны два основных метода, которые можно использовать для тестирования политик в среде защиты от потери данных.
Режим имитации
При развертывании новой политики или необходимости изменения существующей политики следует запустить ее в режиме имитации, а затем просмотреть оповещения, чтобы оценить ее точность. Режим имитации позволяет увидеть, как отдельная политика влияет на все элементы, которые находятся в политиках область без фактического применения. Вы используете его, чтобы узнать, какие элементы соответствуют политике.
Получение аналитических сведений с помощью Security Copilot
Примечание.
Функция Получения аналитических сведений с помощью Copilot доступна в предварительной версии.
Получение аналитических сведений с помощью Copilot — это Security Copilot навык, внедренный на странице политики Защита от потери данных Microsoft Purview. Это поможет вам понять, какие политики выполняются в организации и где они активны.
Выберите одну или несколько политик, а затем выберите Получить аналитические сведения с помощью Copilot. Затем Copilot создает ответ, который предоставляет сведения о выбранных политиках, например:
- Где политики ищут конфиденциальную информацию.
- Какие конфиденциальные сведения ищут политики.
- Какие сценарии активируют политики.
- Влияние политик на конечных пользователей.
- Как администраторы получают уведомления.
Вы можете дополнительно свести исследование по административным единицам, расположениям защиты от потери данных и типам данных, которые были классифицированы.
Предварительные условия
- Ваша организация должна иметь лицензию на Security Copilot.
- Учетная запись, используемая для доступа к функции Получения аналитических сведений с помощью Copilot , должна находиться в роли администратора Защиты информации.
Test-DlpPolicies
Test-DlpPolicies — это командлет, который позволяет увидеть, какие политики защиты от потери данных, ограниченные SharePoint и OneDrive, соответствуют (или не соответствуют) отдельному элементу в SharePoint или OneDrive.
Подготовка к работе
- Необходимо иметь возможность подключения к Exchange Online PowerShell.
- Для отправки отчета необходимо иметь допустимый SMTP-адрес. Пример:
dlp_admin@contoso.com - У вас должен быть идентификатор сайта, где находится элемент.
- У вас должен быть прямой путь ссылки на элемент.
Важно!
- Test-DlpPolicies работает только для элементов, которые находятся в SharePoint или OneDrive.
- Test-DlpPolices сообщает результаты только для политик, которые включают только SharePoint, OneDrive или SharePoint и OneDrive в их область.
- Test-DlpPolices работает только с простыми условиями. Он не работает со сложными, сгруппированных или вложенными условиями.
Использование Test-DlpPolices
Чтобы узнать, каким политикам защиты от потери данных соответствует элемент, выполните следующие действия.
Получение пути прямой ссылки на элемент
Откройте папку SharePoint или OneDrive в браузере.
Выберите многоточие файла и выберите сведения.
В области сведений прокрутите вниз и выберите Путь. Скопируйте прямую ссылку и сохраните ее.
Например:
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
Получение идентификатора сайта
Для SharePoint используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его:
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddressДля OneDrive используйте следующий синтаксис, чтобы получить идентификатор сайта и сохранить его.
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddressНиже приведен пример возвращаемого значения:
36ca70ab-6f38-7f3c-515f-a71e59ca6276
Запуск Test-DlpPolicies
Выполните следующий синтаксис в окне PowerShell:
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>Например:
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
Толкование отчета
Отчет отправляется на SMTP-адрес, по которому вы передали команду Test-DlpPolicies PowerShell. Существует несколько полей. Ниже приведены объяснения наиболее важных из них.
| Имя поля | Средство |
|---|---|
| Идентификатор классификации | Тип конфиденциальной информации (SIT), который элемент классифицируется как |
| Confidence | Уровень достоверности SIT |
| Count | Общее количество найденных значений SIT в элементе, включая дубликаты |
| Уникальное число | Число значений SIT, найденных в элементе с исключенными дубликатами |
| Сведения о политике | Имя и GUID вычисляемой политики |
| Правила — сведения о правилах | Имя правила защиты от потери данных и GUID |
| Правила — предикаты — имя | Условие, определенное в правиле защиты от потери данных |
| Правила — предикаты — IsMatch | Соответствует ли элемент условиям |
| Предикаты — прошлые действия | Любые действия, такие как уведомление пользователя, блокировка, блокировка с переопределением, выполненные для элемента |
| Предикаты — действия правила | Действие, определенное в правиле защиты от потери данных |
| Предикаты — IsMatched | Соответствует ли элемент правилу |
| IsMatched | Соответствует ли элемент общей политике |
См. также
-
Test-DataClassification описывает использование командлета
Test-DataClassificationPowerShell . -
Test-Message описывает использование командлета
Test-MessagePowerShell .