Erstellen Sie Incident-Konsolidierungsregeln

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • Erstellen Sie eine Incident-Konsolidierungsregel, um mehrere Incidents ähnlicher Art unter einem übergeordneten Incident zu konsolidieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin – Erstellen, Bearbeiten und Löschen
    • sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Der DLP-Administrator definiert diese Incident-Konsolidierungsregeln, um DLP-Incidents derselben Art automatisch unter einem übergeordneten Incident zu konsolidieren. Mit der DLP-Incident-Konsolidierungsregel können Sie die DLP-Incidents basierend auf der Konfiguration konsolidieren, die für die Konsolidierungsdauer und die Konsolidierungsidentifizierung bereitgestellt wird.

    Hinweis:

    Wenn ein konsolidierter Incident erstellt wird, wird er zum untergeordneten Element des übergeordneten DLP-Incidents. Wenn der Schweregrad des konsolidierten Incidents höher ist als der des übergeordneten Incidents, wird der Schweregrad des übergeordneten Incidents so aktualisiert, dass er mit dem untergeordneten Incident übereinstimmt.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Konsolidierungsregeln für DLP-Incidentsan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. DLP-Zuweisungsregelformular
      Feld Beschreibung
      Name Name für die Incident-Konsolidierungsregel.
      Aktiv Option, um anzugeben, ob die Incident-Konsolidierungsregel aktiv ist.
      Ausführungsreihenfolge

      Die Priorität der Incident-Konsolidierungsregel. Dieses Feld gibt die Reihenfolge an, in der die Incident-Konsolidierungsregeln ausgeführt werden, wenn mindestens zwei Regeln die auslösenden Bedingungen teilen.

      Die Incident-Konsolidierungsregel mit der niedrigsten Zahl hat die höchste Priorität. Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300 usw.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für die Incident-Konsolidierungsregel.
      Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Incident-Konsolidierungsregel zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Klicken Sie auf, um weitere Bedingungen hinzuzufügen UND Oder ODER .
      • Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen.
      • Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.

      Klicken Sie auf, um eine zweite Filterbedingung festzulegen Neue Kriterien .

      Sie können beispielsweise die Bedingungen für diese Incident-Konsolidierungsregel festlegen, indem Sie die Bedingung als auswählen Integrationsquelle , Enthält , Symantec .

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Konsolidierungsdauer Option zum Festlegen der Dauer für die Incident-Konsolidierung.

      Incidents in diesem Zeitraum mit denselben Werten für die ausgewählten Felder werden unter dem ersten Incident konsolidiert. Der erste Incident, der dieser Regel entspricht, ist der übergeordnete Incident, und der Rest der Incidents sind untergeordnete Incidents.
      Incidents konsolidieren nach Wählen Sie das Feld „DLP-Incident“ aus, um die Incidents zu konsolidieren, wenn im ausgewählten Feld für verschiedene Incidents derselbe Wert vorhanden ist.

      Wählen Sie mindestens ein Feld aus. Wählen Sie mindestens ein Feld aus.

      Das folgende Beispiel zeigt eine Incident-Konsolidierungsregel mit dem Namen „Incidents konsolidieren für Symantec-Integration“. Der Bedingungsgenerator erfordert die Integrationsquelle Symantec. Die Bedingungsdauer Option ist auf 1 Stunde festgelegt, und die Option „Richtlinienname“ ist für ausgewählt Incident konsolidieren bis .

      Zum Zeitpunkt der Symantec-DLP-Incident-Erfassung wird diese Regel ausgeführt. Wenn mehrere Incidents denselben Richtliniennamen haben, wird der Incident unter dem ersten erfassten Incident konsolidiert, der dieser Regel entspricht.

    4. Klicken Sie auf Absenden.
      Incidents, die basierend auf der Konsolidierungsregel konsolidiert wurden, sind unter der Liste untergeordneter Incidents im DLP-Arbeitsbereich verfügbar.