Erstellen Sie Zuweisungsregeln

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Verwenden Sie diesen Abschnitt, um Zuweisungsregeln zu erstellen. Weisen Sie dann die Incidents Data Loss Prevention Incident Response (DLP IR) Benutzergruppen, Endanwendern, Managern oder Benutzern aus dem Incident zu.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, Bearbeiten und Löschen.
    • sn_dlir.analyst und sn_dlir.analyst_read: Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Zuweisungsregeln verwenden, um DLP-IR-Incidents Benutzergruppen, Endanwendern oder Managern zuzuweisen. Die Zuweisung der DLP-Incidents erfolgt, wenn die Bedingungen in der Zuweisungsregel erfüllt sind.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Zuweisungsregelnan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „DLP-Zuweisungsregel“.
      Feld Beschreibung
      Name Name für die Zuweisungsregel.
      Aktiv Option, um anzugeben, ob die Zuweisungsregel aktiv ist.
      Ausführungsreihenfolge Die Priorität der Zuweisungsregel. Dieses Feld gibt die Reihenfolge an, in der die Zuweisungsregeln ausgeführt werden, wenn mindestens zwei Regeln die Auslösebedingungen gemeinsam nutzen.

      Die Zuweisungsregel mit der niedrigsten Nummer hat die höchste Priorität. Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300 usw.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für diese Zuweisungsregel.
      Bedingung Bedingungen im Bedingungsgenerator Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Zuweisungsregel zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER.
      • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

      Angenommen, Sie erstellen eine DLP-Zuweisungsregel für einen Endpunkt. Sie können angeben, dass die Bedingungsscanquelle ein Endpunkt-Dateisystem ist, das erfüllt sein muss, bevor Sie einen Incident zuweisen.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Zuweisen an Zuweisung an eine der folgenden Optionen:
      • Anwendergruppe
      • Endanwender
      • Manager
      • Benutzer aus Incident
      Die Zuweisung erfolgt, wenn die Bedingungen im Bedingungsgenerator erfüllt sind.
      Anwendergruppe Option zum Suchen und Auswählen einer Anwendergruppe, der die DLP-Incidents zugewiesen werden sollen. Dieses Feld wird angezeigt, wenn im Feld Zuweisen an eineAnwendergruppe ausgewählt wird.
      Hinweis:
      Sie können nur Gruppen anzeigen und auswählen, denen die Rolle sn_dlir.analyst zugewiesen wurde.
      Endanwender Option, um den DLP-Incident dem Endanwender zuzuweisen. Die Zuweisung erfolgt, wenn die Bedingungen im Bedingungsgenerator erfüllt sind.
      Zuweisen mithilfe von Manager-Feldern Manager des Endanwenders. Dieses Feld wird angezeigt, wenn im Feld Zuweisen an die Option Manager ausgewählt wird.

      Sie können die DLP-Incidents einem bestimmten Manager zuweisen, indem Sie eines der Manager-Felder auswählen, z. B. Nachname, E-Mail, Stadt, Mitarbeiternummer.
      Benutzerbezeichner Der Benutzerbezeichner des incident. Dieses Feld wird angezeigt, wenn im Feld Zuweisen an die Option Benutzer aus Incident ausgewählt wird. Sie können einen der folgenden Benutzerbezeichner auswählen:
      • E-Mail des Datenbesitzers
      • Ziel
      • Datei erstellt von
      • Datei geändert von
      • Dateibesitzer
      • FTP-Anwendername
      • Absender
      • Benutzerdefinierter Benutzer aus Incident
      Anwenderdefiniertes Attribut Option zum Angeben eines anwenderdefinierten Attributs aus dem Incident, das den Verweis auf einen Benutzer enthält. Dieses Feld wird nur angezeigt, wenn im Feld Benutzer-Bezeichner AnwenderdefinierterBenutzer aus Incident ausgewählt ist.
      Bewertung anhängen Option, um anzugeben, ob dem Incident eine Bewertung angefügt werden soll.
      Antwortstatus vor der Bewertung Option zum Auswählen des Status des Incidents, bevor der Endanwender antwortet. Er kann auch ein anwenderdefinierter Status sein.

      Der Standardwert ist Ausstehende Bewertung.
      Antwortstatus nach der Bewertung Option zum Auswählen des Status des DLP-Incident, nachdem der Anwender geantwortet hat.

      Der Standardwert ist Bewertung abgeschlossen.
      Erweitert Erweiterte Option zum Identifizieren des Endanwenders. Dieses Feld wird nur angezeigt, wenn im Feld Benutzer-Bezeichner AnwenderdefinierterBenutzer aus Incident ausgewählt ist.

      Sie können den Skript-Editor zum Anpassen und Formatieren der Feldwerte während der Erstellung von Zuweisungsregeln verwenden, um den Endanwender zu identifizieren. Anschließend wählen Sie aus, wem Sie den DLP-Incident zuweisen möchten. Dies kann ein Endanwender oder der Manager des Endanwenders sein.

      Sie können beispielsweise das E-Mail-Adressfeld verwenden, um den Endanwender zu identifizieren.
      Das folgende Beispiel zeigt eine Zuweisungsregel mit der Bezeichnung Incident 'Medium' Priority Incident to End User zuweisen. Der Bedingungsgenerator erfordert, dass die Scanquelle auf „Medium“-Prioritäts-Incident an Endanwender zuweisenfestgelegt ist und dass das Feld Zuweisen an auf Endanwenderfestgelegtist. Anschließend können Sie nach der E-Mail-Adresse des Endanwenders suchen.
      Abbildung : 1. DLP-Zuweisungsregel
      Erstellen Sie die Zuweisungsregeln für Ihre Data Loss Prevention Incident Response -Incidents
    4. Wählen Sie im zugehörigen Listenabschnitt, in dem alle DLP-Incidents zugewiesen sind, das Feld Zuweisen an aus.
      Klicken Sie auf Bearbeiten, um die Benutzergruppe hinzuzufügen. Wenn Sie im Abschnitt „Zugehörige Liste“ auf „ Bearbeiten “ klicken, in den Spalten „Sammlungen “ ein Element auswählen, den ausgewählten Beauftragten dann den Gruppenspalten auf der Seite „ Mitglieder bearbeiten “ hinzufügen und die Liste speichern.
      Hinweis:
      Sie können in der zugehörigen Liste nur Gruppen anzeigen und auswählen, denen die Rolle sn_dlir.analyst zugewiesen wurde. Sie können nur eine Gruppe auswählen.
    5. Klicken Sie auf Absenden.
      Sie haben auch die Möglichkeit, eine oder mehrere Zuweisungsregeln auszuwählen und auf alle vorhandenen DLP-Incidents erneut anzuwenden.
    6. Um eine Zuweisungsregel erneut auf alle vorhandenen DLP-Incidents anzuwenden, klicken Sie auf Erneut anwenden.