Erstellen Sie eine Zuweisungsregel für Ihre Data Loss Prevention Incident Response Incidents

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

3 Minuten Lesedauer

Erstellen und aktivieren Sie die Zuweisungsregeln. Weisen Sie dann die Incidents Data Loss Prevention Incident Response (DLP IR) Benutzergruppen, Endbenutzern, Managern oder Benutzern aus dem Incident zu.

Vorbereitungen

Erforderliche Rolle:

sn_dlir.admin – Erstellen, Bearbeiten und Löschen.
sn_dlir.analyst und sn_dlir.analyst_read – Ansicht (schreibgeschützt).

Warum und wann dieser Vorgang ausgeführt wird

Sie können Zuweisungsregeln verwenden, um DLP-IR-Incidents Benutzergruppen, Endbenutzern oder Managern zuzuweisen. Die Zuweisung der DLP-Incidents erfolgt, wenn die Bedingungen in der Zuweisungsregel erfüllt sind.

Prozedur

Navigieren zu Alle > DLP-Administration > Zuweisungsregeln.
Klicken Sie auf Neu.

Füllen Sie die Felder des Formulars aus.

Tabelle : 1. Formular „DLP-Zuweisungsregel“.
Feld	Beschreibung
Name	Name für die Zuweisungsregel.
Aktiv	Option, um anzugeben, ob die Zuweisungsregel aktiv ist.
Ausführungsbefehl	Die Priorität der Zuweisungsregel. Dieses Feld gibt die Reihenfolge an, in der die Zuweisungsregeln ausgeführt werden, wenn zwei oder mehr Regeln die Auslösebedingungen gemeinsam nutzen. Die Zuweisungsregel mit der niedrigsten Nummer hat die höchste Priorität. Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300 usw. Der Standardwert ist 100.
Beschreibung	Eindeutige Beschreibung für diese Zuweisungsregel.
Bedingung	Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Zuweisungsregel zu erstellen, wählen Sie eines der Incident-Felder aus. Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER. Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein. Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien. Angenommen, Sie erstellen eine DLP-Zuweisungsregel für einen Endpunkt. Sie können angeben, dass die Quelle des Bedingungsscans ein Endpunkt-Dateisystem ist, das erfüllt sein muss, bevor ein Incident zugewiesen wird. Hinweis: Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
Zuweisen an	Zuweisung zu einem der folgenden: Benutzergruppe Endbenutzer Manager Benutzer aus Incident Die Zuweisung erfolgt, wenn die Bedingungen im Bedingungsgenerator erfüllt sind.
Benutzergruppe	Option zum Suchen und Auswählen einer Benutzergruppe, der die DLP-Incidents zugewiesen werden sollen. Dieses Feld wird angezeigt, wenn Benutzergruppe im Feld Zuweisen an ausgewählt wird. Hinweis: Sie können nur Gruppen anzeigen und auswählen, denen die Rolle sn_dlir.analyst zugewiesen wurde.
Endbenutzer	Option zum Zuweisen des DLP-Incidents an den Endbenutzer. Die Zuweisung erfolgt, wenn die Bedingungen im Bedingungsgenerator erfüllt sind.
Zuweisen mithilfe von Manager-Feldern	Manager des Endbenutzers. Dieses Feld wird angezeigt, wenn Manager im Feld Zuweisen an ausgewählt wird. Sie können die DLP-Incidents einem bestimmten Manager zuweisen, indem Sie eines der Manager-Felder auswählen, z. B. Nachname, E-Mail, Stadt, Mitarbeiternummer.
Benutzerbezeichner	Der Benutzerbezeichner des Incident. Dieses Feld wird angezeigt, wenn im Feld Zuweisen an die Option Benutzer aus Incident ausgewählt wird. Sie können einen der folgenden Benutzerbezeichner auswählen: E-Mail-Adresse des Datenbesitzers Ziel Datei erstellt von Datei geändert von Dateibesitzer FTP-Benutzername Absender Benutzerdefinierter Benutzer aus Incident
Benutzerdefiniertes Attribut	Option zum Angeben eines benutzerdefinierten Attributs aus dem Incident, der den Verweis auf einen Benutzer enthält. Dieses Feld wird nur angezeigt, wenn Benutzerdefinierter Benutzer aus Incident im Feld Benutzerbezeichner ausgewählt wird.
Bewertung anhängen	Option, um anzugeben, ob Sie dem Incident eine Bewertung anfügen möchten.
Status der Vorbewertungsantwort	Option, um auszuwählen, in welchem Status sich der Incident befinden soll, bevor der Endbenutzer reagiert. Es kann sich auch um einen benutzerdefinierten Status handeln. Der Standardwert ist Ausstehende Bewertung.
Status der Antwort nach der Bewertung	Option zum Auswählen des Status des DLP-Incident, nachdem der Benutzer geantwortet hat. Der Standardwert ist „Bewertung abgeschlossen“.
Erweitert	Erweiterte Option zum Identifizieren des Endbenutzers. Dieses Feld wird nur angezeigt, wenn Benutzerdefinierter Benutzer aus Incident im Feld Benutzerbezeichner ausgewählt wird. Sie können den Skript-Editor verwenden, um die Feldwerte während der Erstellung der Zuweisungsregel anzupassen und zu formatieren, um den Endbenutzer zu identifizieren. Anschließend wählen Sie aus, wem Sie den DLP-Incident zuweisen möchten. Dabei kann es sich um einen Endbenutzer oder den Manager des Endbenutzers handeln. Beispielsweise können Sie das E-Mail-Adressfeld verwenden, um den Endbenutzer zu identifizieren.

Das folgende Beispiel zeigt eine Zuweisungsregel mit dem Namen Incident mit Priorität „Mittel“ an Endbenutzer zuweisen. Der Bedingungsgenerator erfordert, dass die Scan-Quelle Endbenutzer Incident 'Mittlere' Priorität zuweisenund das Feld Zuweisen an auf Endbenutzerfestgelegt ist. Anschließend können Sie nach der E-Mail-Adresse des Endbenutzers suchen.

Erstellen Sie die Zuweisungsregeln für Ihre Data Loss Prevention Incident Response Incidents — Abbildung : 1. DLP-Zuweisungsregel

Klicken Sie auf Absenden.
Sie haben auch die Möglichkeit, eine oder mehrere Zuweisungsregeln auszuwählen und auf alle vorhandenen DLP-Incidents erneut anzuwenden.
Um eine Zuweisungsregel auf alle vorhandenen DLP-Incidents erneut anzuwenden, klicken Sie auf Erneut anwenden.