测试数据丢失防护策略

在 DLP 策略部署过程中，应测试和优化Microsoft Purview 数据丢失防护 (DLP) 策略的行为。 本文介绍可用于在 DLP 环境中测试策略的两种基本方法。

模拟模式

部署新策略或需要修改现有策略时， 应在模拟模式下运行它， 然后查看警报以评估其准确性。 模拟模式允许查看单个策略如何影响策略范围中的所有项，而无需实际强制执行。 使用它来找出与策略匹配的项。

使用 Security Copilot 获取见解

注意

使用 Copilot 获取见解功能处于预览阶段。

使用 Copilot 获取见解是嵌入Microsoft Purview 数据丢失防护策略页中的Security Copilot技能。 它可以帮助你了解你的策略在组织中执行的操作及其活动位置。

选择一个或多个策略，然后选择“ 使用 Copilot 获取见解”。 然后，Copilot 会生成响应，提供有关所选策略的信息，例如：

• 策略查找敏感信息的位置。
• 策略要查找的敏感信息类型。
• 哪些方案会触发策略。
• 策略对最终用户的影响。
• 如何通知管理员。

可以进一步按 管理单元、 DLP 保护的位置 以及已分类的数据类型来进一步透视调查

先决条件

• 你的组织必须获得Security Copilot许可。
• 用于访问 “使用 Copilot 获取见解” 功能的帐户必须具有信息保护管理员角色。

Test-DlpPolicies

Test-DlpPolicies 是一个 cmdlet，可用于查看哪些 DLP 策略范围限定为 SharePoint 和 OneDrive， () SharePoint 或 OneDrive 中的单个项目匹配或不匹配。

开始之前

• 必须能够连接到 Exchange Online PowerShell。
• 必须具有有效的 SMTP 地址才能将报表发送到。 例如：dlp_admin@contoso.com
• 必须具有项所在的站点 ID。
• 必须具有项的直接链接路径。

重要

• Test-DlpPolicies 仅适用于 SharePoint 或 OneDrive 中的项目。
• Test-DlpPolices 仅报告其范围内仅包含 SharePoint、OneDrive 或同时包含 SharePoint 和 OneDrive 的策略的结果。
• Test-DlpPolices 仅适用于简单条件。 它不适用于复杂、分组或嵌套的条件。

使用 Test-DlpPolices

若要查看项匹配的 DLP 策略，请执行以下步骤：

获取项的直接链接路径

1. 在浏览器中打开 SharePoint 或 OneDrive 文件夹。

2. 选择文件的省略号，然后选择 详细信息。

3. 在详细信息窗格中，向下滚动并选择“ 路径”。 复制直接链接并保存它。

   例如：

   https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

获取站点 ID

1. 连接到 Exchange Online PowerShell。

2. 对于 SharePoint，请使用以下语法获取并保存网站 ID：

   
   $reportAddress = "email@contoso.com" 
   
   $siteName = "SITENAME@TENANT.onmicrosoft.com" 
   
   $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
   
   $r = Get-Mailbox -Identity $siteName -GroupMailbox 
   
   $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
   
   Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
   
   

3. 对于 OneDrive，请使用以下语法获取并保存站点 ID。

   
   $reportAddress = "email@contoso.com" 
   
   $odbUser = "USER@TENANT.onmicrosoft.com" 
   
   $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
   
   $r = Get-Mailbox -Identity $odbUser 
   
   $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
   
   Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
   
   

   下面是返回值的示例：

   36ca70ab-6f38-7f3c-515f-a71e59ca6276

运行 Test-DlpPolicies

• 在 PowerShell 窗口中运行以下语法：

  Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
  

  例如：

  Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

解释报告

报表将发送到你传递 Test-DlpPolicies PowerShell 命令的 SMTP 地址。 有多个字段。 下面是最重要的说明。

字段名	方法
分类 ID	项目 (SIT) 敏感信息类型分类为
Confidence	SIT 的置信度
记数	在项目中找到 SIT 值的总次数，其中包括重复项
唯一计数	在已消除重复项的项中找到的 SIT 值的数目
策略详细信息	已评估的策略的名称和 GUID
规则 - 规则详细信息	DLP 规则名称和 GUID
规则 - 谓词 - 名称	DLP 规则中定义的条件
规则 - 谓词 - IsMatch	项是否与条件匹配
谓词 - 过去的操作	对项执行的任何操作，例如通知用户、阻止、阻止和替代
谓词 - 规则的操作	DLP 规则中定义的操作
谓词 - IsMatched	项是否与规则匹配
IsMatched	项是否与整体策略匹配

另请参阅

• Test-DataClassification 介绍了如何使用 PowerShell cmdlet Test-DataClassification。
• Test-Message 说明如何使用 PowerShell cmdlet Test-Message。