DLP デフォルト構成の設定

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • Data Loss Prevention Incident Response (DLP IR) インシデントのデフォルト構成設定を定義して、エンドユーザーのインシデント通知とインシデントアサイン設定を識別して設定します。

    始める前に

    必要なロール:
    • sn_dlir.admin - 作成、編集、および削除
    • sn_dlir.analyst および sn_dlir.analyst_read - 表示 (読み取り専用)。

    このタスクについて

    このモジュールを使用して、コアアサインルールと識別子ルールが使い果たされ、条件またはユーザーと一致しない場合のデフォルトの構成設定を定義できます。エンドユーザールックアップルールとアサインルールを定義して、既存のアクティブな DLP インシデントに再適用することもできます。

    エンドユーザーインシデント通知では、エンドユーザーにメール通知を送信する頻度を指定できます。たとえば、インシデントを蓄積しておき、週に 1 回メールダイジェストを送信するように通知を設定できます。インシデントをアサインすることで、DLP インシデントを最初にアサインするグループを指定できます。DLP 運用チームがエンドユーザーをさらに詳しく識別する方法を指定することもできます。

    たとえば、あるユーザーがネットワーク上のファイルにクレジットカード情報を保存しているとします。サードパーティの DLP 統合製品で機密データポリシー違反のインシデントが作成されると、ServiceNow AI Platform DLP が取り込むインシデントデータに、そのエンドユーザーに関する情報が含まれます。それによって、インシデントを適切なエンドユーザーにアサインできるようになります。

    手順

    1. 移動先 すべて > DLP 管理 > デフォルト構成.
      図 : 1. DLP ポリシーの構成
      DLP インシデント応答ポリシーを構成してエンドユーザーへの通知を設定する
    2. フォームのフィールドに入力します。
      表 : 1. [DLP デフォルト構成] フォーム
      構成名 フィールド 説明
      エンドユーザーインシデント通知 通知期間 (日数) メール通知をエンドユーザーに送信するまでの日数を定義します。日数は 1 〜 60 日である必要があります。
      クローンされたインシデント/子インシデントに基づいて親ステータスを自動的に更新する (Automatically update parent state based on cloned/child incidents) クローンされたインシデントまたは子インシデントに基づいて親インシデントのステータスを自動的に更新するオプション。
      インシデントアサイン エンドユーザー識別子 エンドユーザーを識別するためにインシデントデータから使用するフィールドを指定します。指定可能な値は次のとおりです。
      • データ所有者メール
      • 宛先
      • ファイル作成者
      • ファイル変更者
      • ファイルの所有者
      • FTP ユーザー名
      • 送信者
      エンドユーザールックアップルールの動作を再適用する (Reapply End User Lookup Rules Behavior) エンドユーザールックアップルールで再適用オプションが選択されたとき (When reapply option is chosen for end user lookup rules) 既存のアクティブな DLP インシデントにエンドユーザールックアップルールを再適用するオプション。再適用するには次のいずれかのオプションを選択できます。
      • [エンドユーザー] フィールドが空の場合にこのフィールドの値を更新 (Update the End user value when the field is empty):[エンドユーザー] フィールドが空の場合に、既存のアクティブな DLP インシデントの [エンドユーザー] の値を更新します。
      • [エンドユーザー] の値を更新 (Update the End user value):既存のアクティブな DLP インシデントの [エンドユーザー] の値を更新します。
      • [エンドユーザー] と [アサイン先] の両方が空の場合に、これらのフィールドを更新 (Update the End user and Assigned to values when both fields are empty):既存のアクティブな DLP インシデントの [エンドユーザー] と [アサイン先] の両方が空の場合に、これらのフィールドの値を更新します。
        注:
        このオプションが選択されている場合、[アサインルール動作を再適用 (Reapply Assignment Rules Behavior)] セクションの [[アサイン先] フィールドが空の場合にこのフィールドの値を更新 (Update the Assigned to value when the field is empty)] オプションは自動的に無効になります。これは、この両方のオプションが適用可能になるためです。
      • すべてのアクティブな DLP インシデントの [エンドユーザー] と [アサイン先] の値を更新(Update the End user and Assigned to values for all the active DLP incidents):すべてのアクティブな DLP インシデントの [エンドユーザー] と [アサイン先] の値を更新します。
        注:
        このオプションが選択されている場合、[アサインルール動作を再適用 (Reapply Assignment Rules Behavior)] セクションの [すべてのアクティブな DLP インシデントの [アサイン先] の値を更新 (Update the Assigned to value for all the active DLP incidents)] オプションは自動的に無効になります。これは、この両方のオプションが適用可能になるためです。
      アサインルール動作を再適用 (Reapply Assignment Rules Behavior) アサインルールで再適用オプションが選択されたとき (When reapply option is chosen for assignment rules) 既存のアクティブな DLP インシデントにアサインルールを再適用するオプション。再適用するには次のいずれかのオプションを選択できます。
      • [アサイン先] フィールドが空の場合にこのフィールドの値を更新 (Update the Assigned to value when the field is empty)
      • すべてのアクティブな DLP インシデントの [アサイン先] の値を更新 (Update the Assigned to value for all the active DLP incidents)
    3. 関連リストのセクションから、すべての DLP インシデントがアサインされている [デフォルトのアサイン先グループ] を選択します。
      ユーザーグループを追加するには、[編集] をクリックします。[関連リスト] セクションから [編集 ] をクリックし、[コレクション] 列からアイテムを選択してから、選択したアサイニーを [メンバーの編集] ページの [グループ] 列に追加して、リストを保存します。
      注:
      関連リストから表示および選択できるのは、sn_dlir.analyst ロールがアサインされているグループのみです。選択できるグループは 1 つだけです。
    4. [保存] をクリックします。