Richten Sie Optionsregeln für die Reaktion auf Incidents für Ihre DLP-Incidents ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Richten Sie die Optionsregeln für die Reaktion auf Incidents ein, die Endbenutzer oder Analysten bei der Reaktion auf einen Incident verwenden können.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin – Erstellen, Bearbeiten und Löschen.
    • sn_dlir.analyst und sn_dlir.analyst_read – Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Art der Reaktion konfigurieren, die ein Endbenutzer basierend auf der Art des DLP-Incident ausführen soll. Die Basissystem-Anwendung „DLP Incident Response“ bietet die folgenden Antwortoptionen für Benutzer:
    • Bewertung abgeschlossen
    • Gelöschter Inhalt
    • Gelöschte Datei
    • Verschlüsselte Datei
    • Maskierter Inhalt
    • Falsch positives Ergebnis melden
    • Falschen Besitzer melden
    • Erforderlich für Geschäftsprozess
    • Überprüfte Berechtigungen

    Angenommen, ein Endbenutzer meldet einen DLP-Incident als falsch positiv. Der Status für diesen Incident wird dann automatisch als „Geschlossen“ markiert, da der von Ihnen konfigurierte Zielstatus „Geschlossen“ ist.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Optionsregeln für die Reaktion auf Incidents.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Optionsregeln für Reaktion auf Incidents“
      Feld Beschreibung
      Name Name der Option zur Reaktion auf Incidents.
      Aktiv Option, um anzugeben, ob die Option zur Reaktion auf Incidents aktiv ist.
      Ausführungsbefehl Priorität der Option zur Reaktion auf Incidents. Dieses Feld gibt die Reihenfolge an, in der die Incident-Antwortoptionen ausgeführt werden, wenn zwei oder mehr Incident-Antwortoptionen die Auslösebedingungen gemeinsam nutzen.

      Die Incident-Antwortoption mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200 oder eine andere Zahl.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für diese Option zur Reaktion auf Incidents.
      Standardmäßiger Zielstatus Der von Ihnen konfigurierte Standardzielstatus.
      Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Incident-Antwortoptionen zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER:
      • Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Das folgende Beispiel zeigt die Konfiguration der Endbenutzeraktion für einen Endpunkt. Die Bedingung erfordert, dass die Scan-Quelle ein Endpunkt-Dateisystem ist, das dann diese Endbenutzeraktionskonfiguration auslöst. Die Zuordnung zeigt, dass die Antwortoptionen für den Endbenutzerfalscher Besitzer des Berichts, falsch positiver Bericht und gelöschte Datei sind.
      Abbildung : 1. Optionsregel für die Reaktion auf Incidents
      Die Listen-Incident-Antwortoptionsregel, die der Endbenutzer ausführen kann.
    4. Klicken Sie im Abschnitt Antwortoptionszuordnungen auf Neu.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular „Antwortoptionszuordnung“.
      Antwortoptionsregel Name der Optionsregel für die Reaktion auf Incidents. Zum Beispiel impliziert SharePoint, dass die Scan-Quelle SharePoint ist. Sie können entweder den Namen der Incident-Antwort eingeben oder mithilfe der Suche nachschlagen.
      Antwortoption Option zur Auswahl der Antwortoption. Sie können entweder die Antwortoption eingeben oder mithilfe der Suche nachschlagen.
      Zielstatus Der Zielstatus des DLP-Incident, nachdem der Endbenutzer die entsprechende Aktion ausgewählt hat.
      Hinweis:
      1. Das Feld Zielstatus wird nur angezeigt, wenn Sie Antwortoption auswählen, deren Typ den Typ: Standardhat. Weitere Informationen zur Konfiguration der Zielstatustypen finden Sie unter Konfigurieren Sie die Antwortoption für Ihre DLP-Incidents.
      2. Wenn eine Antwortoption vom Typ „Erweitert “ ausgewählt ist, können Sie den Zielstatus nicht festlegen und wird ausgeblendet. Der Zielstatus wird basierend auf dem benutzerdefinierten Status zugewiesen, der im Flow Designer-Subflow konfiguriert wurde.
      Antwortoptionen für anzeigen Option zum Bestimmen der Benutzerrollen, für die die Antwortoptionen angezeigt werden sollen.

      Mit der Option zum Entsperren können Sie zwischen Analyst, Endbenutzerund eskalierten Analystenüberprüfern wählen. Sie können eine oder alle Rollen auswählen.
      Abbildung : 2. Antwortoptionszuordnungsaktion
      Zuordnungsseite „Antwortoption“ in „Regeln für die Reaktion auf Incidents“.
    6. Klicken Sie auf Absenden.