在 DLP 策略部署过程中,应测试和优化Microsoft Purview 数据丢失防护 (DLP) 策略的行为。 本文介绍可用于在 DLP 环境中测试策略的两种基本方法。
模拟模式
部署新策略或需要修改现有策略时, 应在模拟模式下运行它, 然后查看警报以评估其准确性。 模拟模式允许查看单个策略如何影响策略范围中的所有项,而无需实际强制执行。 使用它来找出与策略匹配的项。
使用 智能 Microsoft Security Copilot 副驾驶® 获取见解
注意
使用 Copilot 获取见解功能处于预览阶段。
使用 Copilot 获取见解是嵌入Microsoft Purview 数据丢失防护策略页中的Security Copilot技能。 它可以帮助你了解你的策略在组织中执行的作及其活动位置。
选择一个或多个策略,然后选择“ 使用 Copilot 获取见解”。 然后,Copilot 会生成响应,提供有关所选策略的信息,例如:
- 策略查找敏感信息的位置。
- 策略要查找的敏感信息类型。
- 哪些方案会触发策略。
- 策略对最终用户的影响。
- 如何通知管理员。
可以进一步按 管理单元、 DLP 保护的位置 以及已分类的数据类型来进一步透视调查
先决条件
- 你的组织必须获得智能 Microsoft Security Copilot 副驾驶®许可。
- 用于访问 “使用 Copilot 获取见解” 功能的帐户必须具有信息保护管理员角色。
Test-DlpPolicies
Test-DlpPolicies 是一个 cmdlet,可用于查看哪些 DLP 策略范围限定为 SharePoint 和 OneDrive, () SharePoint 或 OneDrive 中的单个项目匹配或不匹配。
开始之前
- 必须能够连接到 Exchange Online PowerShell。
- 必须具有有效的 SMTP 地址才能将报表发送到。 例如:
dlp_admin@contoso.com - 必须具有项所在的站点 ID。
- 必须具有项的直接链接路径。
重要
- Test-DlpPolicies 仅适用于 SharePoint 或 OneDrive 中的项目。
- Test-DlpPolices 仅报告其范围内仅包含 SharePoint、OneDrive 或同时包含 SharePoint 和 OneDrive 的策略的结果。
- Test-DlpPolices 仅适用于简单条件。 它不适用于复杂、分组或嵌套的条件。
使用 Test-DlpPolices
若要查看项匹配的 DLP 策略,请执行以下步骤:
获取项的直接链接路径
在浏览器中打开 SharePoint 或 OneDrive 文件夹。
选择文件的省略号,然后选择 详细信息。
在详细信息窗格中,向下滚动并选择“ 路径”。 复制直接链接并保存它。
例如:
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
获取站点 ID
对于 SharePoint,请使用以下语法获取并保存网站 ID:
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress对于 OneDrive,请使用以下语法获取并保存站点 ID。
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress下面是返回值的示例:
36ca70ab-6f38-7f3c-515f-a71e59ca6276
运行 Test-DlpPolicies
在 PowerShell 窗口中运行以下语法:
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>例如:
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
解释报告
报表将发送到你传递 Test-DlpPolicies PowerShell 命令的 SMTP 地址。 有多个字段。 下面是最重要的说明。
| 字段名 | 方法 |
|---|---|
| 分类 ID | 项目 (SIT) 敏感信息类型分类为 |
| Confidence | SIT 的置信度 |
| 记数 | 在项目中找到 SIT 值的总次数,其中包括重复项 |
| 唯一计数 | 在已消除重复项的项中找到的 SIT 值的数目 |
| 策略详细信息 | 已评估的策略的名称和 GUID |
| 规则 - 规则详细信息 | DLP 规则名称和 GUID |
| 规则 - 谓词 - 名称 | DLP 规则中定义的条件 |
| 规则 - 谓词 - IsMatch | 项是否与条件匹配 |
| 谓词 - 过去的作 | 对项执行的任何作,例如通知用户、阻止、阻止和替代 |
| 谓词 - 规则的作 | DLP 规则中定义的作 |
| 谓词 - IsMatched | 项是否与规则匹配 |
| IsMatched | 项是否与整体策略匹配 |
另请参阅
-
Test-DataClassification 介绍了如何使用 PowerShell cmdlet
Test-DataClassification。 -
Test-Message 说明如何使用 PowerShell cmdlet
Test-Message。