Erstellen Sie Suchregeln für Endanwender
Sie können Suchregeln für Endanwender erstellen und konfigurieren und die DLP-Incidents den jeweiligen Endanwendern basierend auf diesen Regeln zuweisen.
Vorbereitungen
- sn_dlir.admin – Erstellen, Bearbeiten und Löschen.
- sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt).
Warum und wann dieser Vorgang ausgeführt wird
Der DLP-Administrator definiert diese Endanwendersuchregeln, um die Endanwender automatisch DLP-Incidents zuzuweisen, wobei nur das Endanwenderfeld verwendet wird. Mit der DLP-Endanwendersuchregel können Sie dem Endanwender DLP-Incidents basierend auf Endanwenderbezeichner, anwenderdefinierten Attributen oder Skript zuweisen.
Prozedur
-
Füllen Sie im Formular die Felder aus.
Tabelle : 1. Formular für DLP-Endanwender-Suchregel Feld Beschreibung Name Name für die Endanwender-Suchregel. Aktiv Option, um anzugeben, ob die Suchregel für Endanwender aktiv ist. Ausführungsreihenfolge Die Priorität der Endanwender-Suchregel. Dieses Feld gibt die Reihenfolge an, in der die Suchregeln des Endanwenders ausgeführt werden, wenn mindestens zwei Regeln die auslösenden Bedingungen teilen. Die Endanwender-Suchregel mit der niedrigsten Zahl hat die höchste Priorität. Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300 usw.
Der Standardwert ist 100.
Beschreibung Eindeutige Beschreibung für die Endanwender-Suchregel. Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Endanwender-Suchregel zu erstellen, wählen Sie eines der Incident-Felder aus. Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.
Klicken Sie auf, um weitere Bedingungen hinzuzufügen UND Oder ODER .- Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen.
- Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.
Klicken Sie auf, um eine zweite Filterbedingung festzulegen Neue Kriterien .
Sie können beispielsweise die Bedingungen für diese Endanwender-Suchregel festlegen, indem Sie die Bedingung als auswählen Integrationsquelle , Enthält , Symantec .
Hinweis:Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.Endanwender suchen mithilfe von Option zum Suchen von Endanwendern mithilfe von Incident-Feld Oder Skript . Endanwender-Bezeichner Der Endanwender-Bezeichner des DLP-Incidents. Dieses Feld wird angezeigt, wenn Incident-Feld Ist aus ausgewählt Suchen Sie Endanwender mit Feld. Sie können einen Endanwender-Bezeichner aus den folgenden Optionen auswählen: - E-Mail des Datenbesitzers
- Ziel
- Datei erstellt von
- Datei geändert von
- Dateibesitzer
- FTP-Anwendername
- AbsenderHinweis:Die oben aufgeführten Endanwenderbezeichner können mithilfe der Systemeigenschaft konfiguriert werden
sn_dlir.assignment.fields. Weitere Informationen finden Sie unter Erweiterte Einstellungen konfigurieren. - Anwenderdefinierter Anwender aus Incident
Anwenderdefiniertes Attribut Option zum Angeben eines anwenderdefinierten Attributs aus dem Incident, das den Verweis auf einen Anwender hat. Dieses Feld wird nur angezeigt, wenn Das A Ist aus ausgewählt Endanwender-Bezeichner Feld. Skript Sie können den Skripteditor verwenden, um die Feldwerte während der Erstellung der Endanwender-Suchregel anzupassen und zu formatieren. Sie können beispielsweise das Feld „E-Mail-Adresse“ verwenden, um den Endanwender zu identifizieren. Das folgende Beispiel zeigt eine Endanwender-Suchregel mit dem Namen „Symantec“. Der Bedingungsgenerator erfordert „Integrationsquelle“ als „Symantec“. Die Suchen Sie Endanwender mit Option ist auf „Incident-Feld“ und festgelegt Endanwenderbezeichner Option ist auf „Datei geändert von“ festgelegt.Abbildung : 1. DLP-Endanwender-Suchregel