Erstellen Sie Optionsregeln für die Reaktion auf Incidents

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Erstellen Sie die Optionsregeln für die Reaktion auf Incidents, die Endanwender oder Analysten bei der Reaktion auf einen Incident verwenden können.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin – Erstellen, Bearbeiten und Löschen.
    • sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Typ der Antwort konfigurieren, die ein Endanwender basierend auf dem Typ des DLP-Incidents ausführen soll. Die Basissystem-Anwendung „DLP-Reaktion auf Incidents“ bietet Anwendern die folgenden Antwortoptionen:
    • Bewertung Abgeschlossen
    • Inhalt Gelöscht
    • Datei löschen
    • Verschlüsselte Datei
    • Maskierter Inhalt
    • Falsch positiv melden
    • Falschen Besitzer melden
    • Erforderlich für Geschäftsprozess
    • Berechtigungen Überprüft

    Nehmen wir beispielsweise an, dass ein Endanwender einen DLP-Incident als falsch positiv meldet. Der Status für diesen Incident wird dann automatisch als „Geschlossen“ markiert, da der von Ihnen konfigurierte Zielstatus „Geschlossen“ ist.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Optionsregeln für die Reaktion auf Incidentsan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular für Optionsregeln für die Reaktion auf Incidents
      Feld Beschreibung
      Name Name der Option für die Reaktion auf Incidents.
      Aktiv Option, um anzugeben, ob die Option für die Reaktion auf Incidents aktiv ist.
      Ausführungsreihenfolge Priorität der Option für die Reaktion auf Incidents. Dieses Feld gibt die Reihenfolge an, in der die Optionen für die Reaktion auf Incidents ausgeführt werden, wenn mindestens zwei Optionen für die Reaktion auf Incidents die auslösenden Bedingungen teilen.

      Die Option für die Reaktion auf Incidents mit der niedrigsten Zahl hat die höchste Priorität.

      Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200 oder eine andere Nummer.

      Der Standardwert ist 100.

      Beschreibung Eindeutige Beschreibung für diese Option für die Reaktion auf Incidents.
      Standardzielstatus Der von Ihnen konfigurierte Standardzielstatus.
      Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Optionen für die Reaktion auf Incidents zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Klicken Sie auf, um weitere Bedingungen hinzuzufügen UND Oder ODER :
      • Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen.
      • Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.

      Klicken Sie auf, um eine zweite Filterbedingung festzulegen Neue Kriterien .

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Das folgende Beispiel zeigt die Konfiguration der Endanwenderaktion für einen Endpunkt. Die Bedingung erfordert, dass die Scanquelle ein Endpunkt-Dateisystem ist, das dann diese Konfiguration der Endanwenderaktion auslöst. Die Zuordnung zeigt, dass der falsche Berichtsbesitzer, der falsch positive Bericht und die gelöschte Datei die Antwortoptionen sind, die für verfügbar sind Endanwender .
      Abbildung : 1. Optionsregel für die Reaktion auf Incidents
      Die Optionsregel für die Liste der Incident-Antwort, die der Endanwender ausführen kann.
    4. In Antwortoptionszuordnungen Klicken Sie auf Abschnitt Neu .
    5. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Antwortoptionszuordnungsformular
      Regel für Antwortoption Name der Optionsregel für die Reaktion auf Incidents. Beispiel: SharePoint Impliziert, dass die Scanquelle SharePoint ist. Sie können entweder den Namen der Reaktion auf Incidents eingeben oder mithilfe der Suche suchen.
      Antwortoption Option zum Auswählen der Antwortoption. Sie können entweder die Antwortoption eingeben oder mithilfe der Suche suchen.
      Zielstatus Der Zielstatus des DLP-Incidents, nachdem der Endanwender die entsprechende Aktion ausgewählt hat.
      Hinweis:
      1. Die Zielstatus Feld wird nur angezeigt, wenn Sie auswählen Antwortoption Welche von ist Typ: Standard . Weitere Informationen zur Konfiguration der Zielstatustypen finden Sie unter Konfigurieren Sie die Antwortoption für Ihre DLP-Incidents.
      2. Wenn eine Antwortoption von ist Typ: Erweitert Ist ausgewählt, können Sie den Zielstatus nicht festlegen und werden ausgeblendet. Der Zielstatus wird basierend auf dem anwenderdefinierten Status zugewiesen, der im Flow Designer-Subflow konfiguriert ist.
      Antwortoptionen anzeigen für Option zum Bestimmen der Anwenderrollen, für die die Antwortoptionen angezeigt werden sollen.

      Sie können aus auswählen Analyst , Endanwender , Und Eskalierte Prüfer Von Analysten Durch Verwendung der Option zum Entsperren. Sie können eine oder alle Rollen auswählen.

      Abbildung : 2. Antwortoptionszuordnungsaktion
      Antwortoptionszuordnungsseite in Optionsregeln für die Reaktion auf Incidents
    6. Klicken Sie auf Absenden.