Simulation Mode in Purview Data Loss Prevention

Im Januar angekündigt wird in Purview Data Loss Prevention (DLP) ein Simulation Mode angeboten. Simulation Mode ersetzt in DLP-Policies die bisherigen Testmöglichkeiten in DLP-Rules.
Ein Compliance Administrator erstellt eine neue DLP-Policy, konfiguriert die gewünschten Optionen und findet am Ende die neue Möglichkeit für Simulation Mode. In der Vergangenheit waren die zwei Möglichkeit für sofortige Aktivierung und zukünftige Aktivierung vorhanden.

Aus den Dokumentationen geht bisher nicht eindeutig hervor, ob Microsoft für Simulation Mode eine E5 / E5 Lizenz Add-on erwartet, oder eine Lizenz mit Data Loss Prevention ausreichend ist.

Simulation Mode in Data Loss Prevention (DLP) Policies
Simulation Mode in Data Loss Prevention (DLP) Policies

Simulation Mode kann in Kombination mit Test-DlpPolicies eingesetzt werden. Das PowerShell Command ist für Daten in SharePoint und OneDrive gültig. Simulation Mode unterstützt die Analyse von Daten in SharePoint, OneDrive, Exchange, Teams und Devices.

Eine Art Simulation Mode kennen Administratoren von Conditional Access Policies mit Report-only.
Im Simulation Mode analysiert die Policy welchen Einfluss die Konfigurationen für Endbenutzer haben, ohne sie bereits bei der täglichen Arbeit einzuschränken. So können Administratoren die Konfigurationen vor der globalen Aktivierung optimieren.

Eine DLP-Policy im Simulation Mode speichert die Analyse für 30 Tage.

  • Für SharePoint und OneDrive analysiert der Simulation Mode bestehende und neue Daten. Die Zusammenfassung inkludiert jedoch nur die ersten 100 Daten.
  • Für Exchange, Teams und Devices analysiert der Simulation Mode neue Daten ab Policy Aktivierung.

Der Simulation Mode beginnt sofort mit der Analyse. Die Auswertung von ersten Ergebnissen kann 24 Stunden benötigen.
Jede DLP-Policy im Simulation Mode inkludiert eine Simulation Mode Analyse mit drei Abschnitten:

  • Übersicht zur Analyse, zeigt allgemeine Auswertungen und Statistiken zur Simulation.
  • Review der Objekte, inkludiert alle gefundenen Objekte.
  • Alarme, sofern in der DLP-Policy Alerts konfiguriert werden sind diese in dem Abschnitt aufgelistet.
Analyse zum Simulation Mode pro DLP-Policy
Analyse zum Simulation Mode pro DLP-Policy

Ergebnisse zum Simulation Mode sind ausserdem im Activity Explorer inkludiert. Die Ansicht im Activity Explorer ist ähnlich zum Review Abschnitt in der Simulation Mode Analyse.

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert