Data Loss Prevention Incident Response Arbeitsbereich Für Analysten

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 13 Minuten Lesedauer

    • Verwenden Sie Data Loss Prevention Incident Response(DLP IR) Arbeitsbereich für Analysten zum Anzeigen der DLP-Incidents. Weisen Sie die Incidents Endanwendern zur Lösung und mehr zu.

    Der DLP-Arbeitsbereich besteht aus einer Homepage mit Dashboards, Listenansichten und Formularansichten, mit denen Sie DLP-Incidents überwachen können.

    Abbildung : 1. DLP-Arbeitsbereich – Übersichtsseite
    DLP-Arbeitsbereich – Übersichtsseite.

    Überprüfen und weisen Sie Ihre DLP-Incidents zu

    Greifen Sie auf zu Data Loss Prevention Incident Response(DLP IR) Arbeitsbereich für Analysten, damit Sie die DLP-Incidents überprüfen und zuweisen oder lösen können. Sie können Trends bei Incidents nach Schweregrad, häufigsten Tätern, Incidents nach Scan-Quelle und Incidents nach Richtlinie nachverfolgen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.Analyst: Bearbeiten und zeigen Sie DLP-Incidents an.
    • sn_dlir.Analyst_read und sn_dlir.read – DLP-Incidents anzeigen.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
      Die Listenseite „DLP-Arbeitsbereich – meine Incidents – Vorgänge“ wird in einer neuen Registerkarte geöffnet.
    2. Klicken Sie auf DLP-Arbeitsbereich Startsymbol zum Anzeigen der Homepage-Ansicht des Arbeitsbereichs.
    3. Überprüfen Sie die Dashboard-Widgets, um Trends nach Incidents nach Schweregrad, häufigste Täter, Incidents nach Scan-Quelle und Incidents nach Richtlinie zu identifizieren.
    4. Klicken Sie auf die entsprechenden Filter auf der Homepage, um die Widgets nach ihren verschiedenen Kategorien anzuzeigen.
      Filter Beschreibung
      Offene Incidents Zeigen Sie alle offenen Incidents an.
      Überfällige kritische Incidents Zeigen Sie die Incidents an, die den Schweregrad „Kritisch“ haben und überfällig sind.
      Incidents, die Endanwendern zugewiesen sind Zeigen Sie die Incidents an, die Endanwendern zugewiesen sind.
    5. Sie können die DLP-Incidents auf zwei Arten überprüfen und zuweisen:
      1. Die erste Möglichkeit besteht darin, einen oder mehrere DLP-Incidents zu suchen und auszuwählen, die Sie überprüfen möchten, und dann auf das Kontrollkästchen neben den Incidents zu klicken.
      2. Wählen Sie die Option aus, die für Sie geeignet ist.
        Option Beschreibung
        Liste neu laden Option zum Aktualisieren der Liste der DLP-Incidents, wenn Sie eine Aktualisierung vornehmen.
        Listenaktionen Liste der Aktionen, die Sie ausführen können. Die Auswahlmöglichkeiten lauten wie folgt:
        • Speichern unter
        • Spalten bearbeiten
        • Breiten zurücksetzen
        Hinweis:
        Wenn Sie über eine eigene anwenderdefinierte Liste verfügen, die unter erstellt wird Meine Listen Für Ihren Arbeitsbereich konfigurierter Abschnitt können Sie auch die folgenden zusätzlichen Listenaktionen ausführen:
        • Umbenennen
        • Speichern
        • Löschen
        URL für alle kopieren Option zum Kopieren der URLs aller DLP-Incidents.
        Filterbereich anzeigen Option zum Drilldown der erforderlichen Incidents mithilfe der Filteroption.
        1. Klicken Sie oben links auf der Seite auf den Filter, und wählen Sie aus Erweiterte Ansicht .
        2. Verwenden Sie einen vorhandenen Filter, oder erstellen Sie einen eigenen, indem Sie Bedingungen hinzufügen, die ein Feld, einen Operator und Werte enthalten.
        3. Klicken Sie auf, um weitere Bedingungen hinzuzufügen UND Oder ODER :
          • Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen.
          • Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.
        4. Klicken Sie auf Aktualisieren.
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incident zuweisen an : Option zum Zuweisen des Incidents an einen Analysten, Endanwender oder eine andere Person.
        • Anwender : Option, um zu bestimmen, welchem Anwender der Incident zugewiesen werden soll.
        • Voranwenderantwort für Incident-Status : Option, um zu bestimmen, in welchem Status sich der Incident befinden soll, bevor der Anwender antwortet. Es kann auch ein anwenderdefinierter Status sein.
        • Bewertung anhängen : Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage : Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Anwenderantwort Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Anwender geantwortet hat.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option für die Reaktion auf Incidents auswählen. Wenn der Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann der Anwender die Option auswählen Datei Gelöscht Um eine manuelle Bestätigung zu übermitteln, dass die Datei gelöscht wurde, und Kommentare anzugeben.

        Hier können Sie auch erweiterte Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern .
        Eskalieren Aktion zum Eskalation des Incidents. Sie können den Incident eskalieren, indem Sie den Anwender auswählen, an den Sie ihn eskalieren möchten. Sie können auch alle zusätzlichen Informationen im Feld Kommentare anzeigen.
        Status aktualisieren Aktion zum Aktualisieren des Status des Incidents. Sie können den Status des Incidents aktualisieren, indem Sie einen der status aus den Dropdown-Optionen auswählen. Es kann auch ein anwenderdefinierter Status sein.
        Schließen Aktion zum Schließen der Incidents. Wählen Sie die entsprechende aus Abschlusscode Aus der Dropdown-Liste, und fügen Sie Abschlusskommentare hinzu.
        Die Schließen Funktion in Data Loss Prevention Incident Response Wird sowohl asynchron als auch synchron in der Listenansicht ausgeführt.
        1. Synchroner Abschluss: Wenn Incidents synchron geschlossen werden, bedeutet dies, dass die Abschlussaktion sofort ausgeführt wird. Wenn Sie mehrere Incidents zum Abschluss auswählen und die Incident-Anzahl kleiner oder gleich 100 ist, werden die Incidents in der Listenansicht „DLP-Incidents“ im Vordergrund geschlossen. Hier ist 100 der Standardwert.
        2. Asynchroner Abschluss: Dies bedeutet, dass die Abschlussanforderung übermittelt wird und die Anwendung die Anforderung im Hintergrund ausführt, wenn die Anzahl der ausgewählten Incidents größer als 100 ist.

          Sie müssen die Listenansicht „DLP-Incidents“ aktualisieren, um den aktualisierten Status der Incidents anzuzeigen.

          Hinweis:
          • Die Anzahl der ausgewählten Incidents für den asynchronen oder synchronen Abschluss wird mit der Systemeigenschaft konfiguriert sn_dlir.closure_sync_count_limit .
          • Standardmäßig ist die Incident-Anzahl auf 100 festgelegt.
      3. Die zweite Möglichkeit besteht darin, auf einen bestimmten DLP-Incident zu klicken, um ihn zu öffnen.
        • Details Registerkarte: Zeigt die folgenden Abschnitte an:
          • Details : Sie können die Details des DLP-Incidents anzeigen, z. B. Incident-Nummer, Schweregrad, Dateiname usw. Sie haben auch die Möglichkeit, die Felder „Schweregrad“, „Status“, „Endanwender“ und „DLP-Analystengruppe“ zu ändern und zu speichern.
          • Verfassen : Um Kommentare zum DLP-Incident hinzuzufügen, der für alle sichtbar ist, geben Sie die Kommentare auf der Registerkarte Kommentare ein. Um Kommentare hinzuzufügen, die für bestimmte Personen sichtbar sind, geben Sie die Kommentare auf der Registerkarte „Arbeitsnotizen (privat)“ ein.
          • Aktivität : Sie können die Details der verschiedenen Aktivitäten für den DLP-Incident anzeigen.
          • Anhänge : Wenn Sie Anhänge im Zusammenhang mit dem DLP-Incident haben, klicken Sie auf Durchsuchen Und wählen Sie den Anhang auf Ihrem lokalen Laufwerk aus.
        • Zusätzliche Details Registerkarte: Zeigt alle zusätzlichen Informationen zum DLP-Incident an, einschließlich anwenderdefinierter Felder.
          Wichtig:
          • Anwenderdefinierte Felder für DLP-Incidents werden nur in der San Diego-Version oder höher unterstützt.
          • Sie können verwenden Zusätzliche Details Registerkarte, um zu sehen, ob anwenderdefinierte Felder für einen bestimmten DLP-Incident erstellt wurden oder nicht.
        • Anwenderdefinierte Attribute Registerkarte: Zeigt die Liste der anwenderdefinierten Attribute im Zusammenhang mit dem DLP-Incident an.
        • Andere Incidents vom Endanwender : Zeigt den Incident desselben Endanwenders an. Sie können Incidents konsolidieren, indem Sie ausführen Als untergeordneten Incident hinzufügen Aktion aus dieser zugehörigen Liste.
        • Typ der erkannten sensiblen Informationen : Zeigt die erkannten vertraulichen Informationen des Incidents an.
          Hinweis:
          Diese zugehörige Liste ist nur für die DLP-Incidents sichtbar, die für Microsoft- oder Symantec-Integrationen erstellt wurden. Wenn der Anwender im Microsoft- oder Symantec-Incident-Datensatz auf den erkannten Datensatz des Typs „vertrauliche Informationen“ zugreift, wird der hervorgehobene Übereinstimmungsinhalt in Bezug auf diese Integration angezeigt.
        • Untergeordnete Incidents : Zeigt die untergeordneten Incidents an, die manuell (durch Ausführen der Aktion „als untergeordneten Incident hinzufügen“) oder aus den DLP-Konsolidierungsregeln erstellt wurden. Sie können die Verknüpfung des untergeordneten Incidents aufheben, indem Sie „Verknüpfung des untergeordneten Incidents aufheben“ aus dieser zugehörigen Liste ausführen.
        • Geklonte Incidents : Zeigt die geklonten Incidents aus dem übergeordneten Incident an. Indem Sie auf klicken Incident klonen Aktion der Formularansicht. Sie können einen neuen geklonten Incident erstellen.
        • Bewertungen Registerkarte: Zeigt die Liste der Bewertungen an, die dem DLP-Incident zugewiesen sind.
      4. Wählen Sie die Option aus, die für Sie geeignet ist.
        Option Beschreibung
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incident zuweisen an : Option zum Zuweisen des Incidents an einen Analysten, Endanwender oder eine andere Person.
        • Anwender : Option zum Auswählen des Anwenders, dem der Incident zugewiesen werden soll.
        • Voranwenderantwort für Incident-Status : Option zum Auswählen des Status, in dem sich der Incident befinden soll, bevor der Anwender antwortet. Es kann auch ein anwenderdefinierter Status sein.
        • Bewertung anhängen : Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage : Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Anwenderantwort : Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Anwender geantwortet hat.
        Genehmigung abbrechen Aktion zum Abbrechen der Genehmigungsanforderung.

        Diese Aktion ist für Analysten nur in der Formularansicht sichtbar, wenn sich der DLP-Incident in befindet Genehmigung Ausstehend status. Verfügbare Optionen:

        • Incident zuweisen an : Option, um den Incident niemandem, einem Analysten oder einer anderen Person zuzuweisen.
        • Anwender : Option zum Auswählen des Anwenders, dem der Incident zugewiesen werden soll.
        • Incident-Status nach dem Abbruch : Option zum Auswählen des Status, in dem sich der Incident nach dem Abbrechen der Anforderung befinden soll.
        • Kommentare : Zur Angabe zusätzlicher Details für die Stornierung.
        Bewertung zuweisen Aktion zum Anhängen einer Bewertung beim Zuweisen des Incidents. Auswahlmöglichkeiten:
        • Bewertungsvorlage : Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
        • Incident-Status nach Anwenderantwort : Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Anwender geantwortet hat.
        Datei herunterladen Aktion zum Herunterladen der Datei oder E-Mail mit dem verstoßenden Inhalt. Diese Aktion kann für Incidents ausgeführt werden, die für Microsoft OneDrive, SharePoint Online oder Exchange Online erstellt wurden.
        Speichern Aktion zum Speichern aller vorgenommenen Änderungen. Sie haben die Möglichkeit, die Felder „Schweregrad“, „Status“ und „Endanwender“ des DLP-Incidents zu ändern und zu speichern.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option für die Reaktion auf Incidents auswählen. Wenn der Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann der Anwender die Option auswählen Datei Gelöscht Um eine manuelle Bestätigung zu übermitteln, dass die Datei gelöscht wurde, und Kommentare anzugeben.

        Hier können Sie auch die erweiterten Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern .
        Eskalieren Aktion zum Eskalation des Incidents. Sie können den Incident eskalieren, indem Sie den Anwender auswählen, an den Sie ihn eskalieren möchten. Sie können auch alle zusätzlichen Informationen im Feld Kommentare anzeigen.
        Incident klonen Aktion zum Erstellen eines Klon-Incidents, wenn sich der Incident-Datensatz auf mehrere Anwender auswirkt. Sie können die geklonten Incidents mehreren Stakeholdern zuweisen, z. B. der Rechtsabteilung/IT.

        Nachdem Sie einen Klon-Incident-Datensatz erstellt haben, eine neue Geklonte Incidents Die Registerkarte wird unter dem übergeordneten DLP-Incident erstellt, und alle geklonten Incidents werden in dieser Ansicht aufgelistet.

        Hinweis:
        • Wenn der übergeordnete DLP-Incident-Datensatz geschlossen ist, werden alle geklonten Incident-Datensätze automatisch geschlossen.
        • Wenn ein DLP-Incident-Datensatz einen geklonten Incident enthält, kann er Endanwendern nicht zugewiesen werden. Die übergeordneten DLP-Incident-Datensätze können nur von Anwendern mit der Rolle „Analysten“ verwaltet werden.
        • Sie haben auch die Möglichkeit, den übergeordneten Status basierend auf dem Status der geklonten Incidents im Modul „Standardkonfiguration“ automatisch zu aktualisieren. Wenn beispielsweise alle geklonten Incidents in den Status „eskaliert“ verschoben werden, wird der übergeordnete Incident auch in den Status „eskaliert“ verschoben.
        Schließen Aktion zum Schließen des Incidents. Sie müssen die entsprechende auswählen Abschlusscode Aus der Dropdown-Liste, und fügen Sie bei Bedarf Abschlusskommentare hinzu.
        Als falsch positiv schließen Aktion zum Schließen des Incidents als falsch positiv. Sie können auch zusätzliche Kommentare hinzufügen, bevor Sie den Incident schließen.
    6. Sie können die Listenansicht auf der Homepage anzeigen, indem Sie oben links auf der Seite wechseln und auf klicken Listen Registerkarte.
      Die Kategorie „Listen“ besteht aus den standardmäßigen und anwenderdefinierten Listenseiten für DLP-Incidents.
      • Listen Registerkarte : Standardlisten für DLP-Incidents. Die folgenden Listen sind die Standardlisten:
        • Alle
        • Offen
        • Meine Incidents
        • Meiner Gruppe zugewiesen
        • Eskaliert
        • Überfällig
        • Ausstehende Bewertungen
        • Anwenderaktion ausstehend
        • Geklonte Incidents
        • Archivierte Incidents
      • Meine Listen Registerkarte : Zeigt alle Listen an, die Sie umbenannt haben, und alle von Ihnen erstellten Listen.

    Vorschau der Nachweisdateien anzeigen

    Vorschau Data Loss Prevention Incident Response Nachweisdateien im DLP-IR-Analyst-Arbeitsbereich.

    Vorbereitungen

    Wichtig:
    Bei Verwendung der Aktion „Nachweisdateien“ im DLP-Analystenarbeitsbereich werden die Nachweisdateien vorübergehend in der ServiceNow-Datenbank in einem unverschlüsselten Format gespeichert. Wenn Sie die Nachweisdateien nicht speichern möchten, deaktivieren Sie die Vorschaufunktion für Nachweisdateien. Weitere Informationen finden Sie unter Erweiterte Einstellungen konfigurieren.

    Erforderliche Rolle: sn_dlir.Analyst

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
    2. Öffnen Sie einen DLP-Incident-Datensatz.
    3. Wählen Sie in der kontextbezogenen Sidebar das Symbol für Nachweisdateien ( Symbol für Nachweisdateien.).
    4. Auf der Nachweisdateien Wählen Sie die Registerkarte aus Nachweisdatei Karte zur Vorschau der Nachweisdateien im Dokument-Viewer.

      Die Vorschaufunktion unterscheidet sich für jeden Dateityp, wie in der folgenden Tabelle aufgeführt.

      Dateiformat Dateierweiterung
      Bilder .Bmp, .gif, .ico, .JPEG, .jpg, .png, .svg und .webp.

      Bilddateien werden im Dokument-Viewer-Modus geöffnet.
      Microsoft Office-Dateien .Doc, .docx, .ppt, .pptx, .xls, und .xlsx

      Office-Dateien werden im Dokument-Viewer-Modus geöffnet.
      Textdateien .txt

      Textdateien werden im Texteditor-Modus geöffnet.
      E-Mail-Dateien .Eml
      Hinweis:
      Die Dateigröße muss weniger als 5 MB betragen. Sie müssen zuerst die Datei herunterladen, um eine Vorschau des Inhalts anzuzeigen.
      PDF-Dateien .pdf
      • Geben Sie ein Stichwort ein, um das Dokument zu durchsuchen.
      • Zoom- und Verkleinerungsfunktionen, um die Ansicht für eine bessere Lesbarkeit anzupassen.
      • Drehen Sie die Seite im Uhrzeigersinn oder gegen den Uhrzeigersinn, um den Inhalt klarer anzuzeigen.
      Hinweis:

      Binärdateien werden nicht gerendert und müssen heruntergeladen werden, um eine Vorschau ihres Inhalts anzuzeigen. Die Funktion „Vorschaunachweisdatei“ funktioniert auch für archivierte Incidents.

    Playbook für Data Loss Prevention Incident Response

    A Data Loss Prevention Incident Response Playbook ist eine Schritt-für-Schritt-Anleitung für die Behandlung und Minderung von Incidents mit Datenverlust, die nicht autorisierte Gefährdungen, Leckagen oder Verstöße gegen vertrauliche Informationen umfassen können, die die Sicherheit Ihrer Organisation gefährden können.

    In der folgenden Tabelle sind die Aktivitäten und Phasen aufgeführt, die zum Erstellen eines DLP-Playbooks verfügbar sind. Weitere Informationen finden Sie unter Fügen Sie ein DLP-Playbook hinzu:

    Aktivität Beschreibung
    Erkennung Identifizieren und bestätigen Sie den nicht autorisierten Zugriff oder die Offenlegung vertraulicher Daten.
    Aufnahme Isolieren Sie betroffene Systeme oder Anwender, um weiteren Datenverlust oder nicht autorisierten Zugriff zu verhindern.
    Ermittlung Untersuchen Sie den Verstoß, um zu verstehen, wie er aufgetreten ist, welche Daten betroffen waren und welche potenziellen Auswirkungen er hat.
    Benachrichtigung Benachrichtigen Sie interne Teams, externe Stakeholder und Aufsichtsbehörden, wie gesetzlich oder in der Richtlinie erforderlich.
    Fehlerkorrektur Wenden Sie Korrekturmaßnahmen an, um Schwachstellen zu beheben, Richtlinien zu aktualisieren und zukünftige Verstöße zu verhindern.
    Wiederherstellung Stellen Sie Systeme aus sicheren Sicherungen wieder her, und validieren Sie die Integrität der Daten nach dem Incident.
    Überprüfung Nach Incident Analysieren Sie den Incident, um Ursachen zu identifizieren, Sicherheitskontrollen zu verbessern und Richtlinien zu stärken.

    Die folgende Abbildung zeigt den Workflow von Aktivitäten und Phasen, die an der Erstellung des Playbooks für Verstöße gegen sensible Daten beteiligt sind. Playbook-Schritte variieren je nach Workflow.

    Abbildung : 2. Playbook-Design-Workflow
    Playbook-Design-Workflow

    Fügen Sie ein DLP-Playbook hinzu

    Fügen Sie ein Playbook in hinzu Data Loss Prevention Incident Response Arbeitsbereich für Analysten, der als Leitfaden für die Behandlung und Minderung von Incidents mit Datenverlust fungieren kann, die die Sicherheit Ihres Unternehmens gefährden können.

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.Analyst

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
    2. Öffnen Sie auf der Seite „DLP-Analysten-Arbeitsbereich – meine Incidents“ einen beliebigen DLP-Incident.
    3. Fügen Sie das Playbook hinzu.
      1. Navigieren Sie zu Playbooks Registerkarte.
      2. Wählen Sie im Menü „UI-Aktionen“ die Option aus Weitere Aktionen Symbol und auswählen Fügen Sie Playbooks Hinzu .
      3. Wählen Sie im Dialogfeld ein Playbook aus dem Dropdown-Menü aus.
      4. Wählen Sie Aus Fügen Sie Playbooks Hinzu .
    4. Wählen Sie jede Spalte aus, um die Aufgaben zu erkunden, die dieses Playbook ausführt.

    Brechen Sie ein DLP-Playbook ab

    Brechen Sie ab Data Loss Prevention Incident Response Playbook zum Anhalten eines Business-Flows, wenn er nicht mehr gültig ist.

    Vorbereitungen

    Hinweis:
    Playbooks werden automatisch abgebrochen, wenn der zugehörige DLP-Incident geschlossen wird.

    Erforderliche Rolle: sn_dlir.admin.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
    2. Öffnen Sie jeden DLP-Incident.
    3. Navigieren Sie zu Playbooks Registerkarte.
    4. Wählen Sie im Header des Playbooks, das Sie abbrechen möchten, das Symbol für Playbook-Aktionen aus, und wählen Sie dann aus Playbook Abbrechen .
    5. Geben Sie einen Grund für den Abbruch des Playbooks an.
    6. Wählen Sie Aus Playbook Abbrechen .

    Ergebnisse

    Unter dem Playbook-Header wird ein Banner angezeigt, das bestätigt, dass das Playbook abgebrochen wurde.

    Zeigen Sie archivierte DLP-Incidents an

    Verwenden Sie den DLP-Analysten-Arbeitsbereich, um die archivierten DLP-Incidents anzuzeigen oder erneut zu aktivieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.Analyst
    • sn_dlir.Analyst_read und sn_dlir.read

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
      Standardmäßig wird der Abschnitt „meine Incidents“ angezeigt.
    2. Klicken Sie Auf Archivierte Incidents .
      Die Liste der archivierten DLP-Incidents wird angezeigt.
    3. Klicken Sie Auf Incident-Anzahl Anzeigen Schaltfläche zum Anzeigen der Anzahl der archivierten Incidents.
      Hinweis:
      • Standardmäßig ist die Anzahl der archivierten Incidents ausgeblendet, um die Ladezeit der Liste zu verbessern. Wählen Sie aus Incident-Anzahl Anzeigen Schaltfläche zum Anzeigen der Incident-Anzahl. Eine Informationsmeldung wird angezeigt, die die Anzahl der Incidents anzeigt.
      • Die Systemeigenschaft glide.ui.list.seismic.omit.count ist im Basissystem für die archivierten Incidents aktiviert, um die Listenanzahl der Incidents auszublenden.
    4. Wählen Sie einen oder mehrere DLP-Incidents aus, die Sie anzeigen möchten.
      Der DLP-Incident zeigt den Abschnitt „Incident-Details“ an.
      Hinweis:
      • Andere Incidents von Endanwendern Enthält die archivierten Incidents.
      • Inhalt Abgleichen Wird für alle archivierten Incidents unterstützt (die auch in allen Integrationen unterstützt werden), aber Datei herunterladen Wird nur für Microsoft-Integrationen unterstützt.
    5. Wahlweise: Um einen Incident erneut zu aktivieren, ändern Sie Status Feld mit einem aktiven Status, z. B. „Offen“ oder „in Bearbeitung“.