了解有关数据丢失防护模拟模式的信息

对于Microsoft Purview 数据丢失防护 (DLP,在模拟模式(也称为模拟模式)中运行策略) 策略将“测试和测试”策略状态替换为策略提示策略状态。 当策略处于模拟模式时,它会像强制实施一样运行,无需执行任何实际强制。 与测试模式不同,所有匹配项和警报在单独的仪表板中报告。 这样就可以在强制实施策略之前轻松查看策略的影响,方法是将所有模拟结果与正在强制执行的策略的结果分开。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

模拟模式提供:

  • 用于运行和评估策略的独立体验。
  • 摘要仪表板,可让你了解策略在不同位置的影响,并显示匹配的项。
  • 策略级别的匹配项的平面列表。

DLP 策略的模拟模式是随时可用于 优化数据丢失防护策略 的工具。 应将其合并到 策略创建和部署 过程中。 使用模拟模式优化警察可以减少误报,而不会影响用户或业务流程。 将其用作新策略部署过程的一部分,在生产中强制实施这些更改之前,使用它测试对现有策略的更改。

例如:

DLP 策略 保护信用卡 v1 处于生产状态,但引发的误报过多。 你认为你知道问题所在,但不想在生产环境中尝试更改来找出问题。可以创建 保护信用卡 v1 策略的副本,将其称为 “保护信用卡 v2”,进行优化更改,然后在模拟模式下运行 v2 。 如果更改具有所需结果,则可以关闭 v1 并将 v2 设置为强制模式。

重要

模拟最多可以运行 15 天,因此结果不是快照的时间点。 对于 SharePoint Online 和OneDrive for Business位置,将评估所有现有项和新项目/更改项。 对于 Exchange、Teams 和设备位置,仅评估模拟期间的新项。 模拟运行中的数据将保留 30 天。

将策略置于模拟模式

有关管理策略模拟模式的过程,请参阅 数据丢失防护 模拟模式入门。

模拟结果

有关访问模拟结果的步骤,请参阅 数据丢失防护模拟模式入门 。 模拟结果跨三页显示。

模拟概述

模拟概述 ”选项卡提供有关以下基本信息:

  • 策略模拟的状态 (已完成、正在进行或已过期)
  • 每个位置的扫描状态
  • 扫描的项目总数
  • 找到的匹配项总数
  • 每个位置的匹配项
  • 指向匹配项的链接

和其他信息。

模拟概述选项卡的屏幕截图。它显示模拟进度、扫描的项目总数和匹配项总数,并显示其他控件

要审阅的项目

要审阅的项目 ”选项卡显示与模拟中的策略匹配的项的平面列表,并允许你读取源项以及项元数据,这与 内容资源管理器非常类似。

“要查看的项目”选项卡的屏幕截图。它显示与模拟中的策略匹配的项的平面列表,并允许你读取源项以及项元数据

警报

“模拟模式警报”选项卡显示当某个项与模拟中的策略匹配时生成的所有警报的平面列表。 它采用与 DLP 警报控制台相同的格式。

“模拟警报”选项卡的屏幕截图。它显示当某个项与模拟中的策略匹配时生成的所有警报的平面列表。其格式与 DLP 警报控制台相同

重要

当策略处于模拟模式时,所有模拟警报仅显示在“模拟警报”选项卡中。它们不会显示在 DLP 警报控制台中,也不会流入Microsoft Defender门户。