DLP-Standardkonfigurationseinstellungen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Definieren Sie die Standardkonfigurationseinstellungen für Data Loss Prevention Incident Response(DLP IR) Incidents zum Identifizieren und Einrichten der Einstellungen für Incident-Benachrichtigungen und Incident-Zuweisungen für Endanwender.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, bearbeiten und löschen.
    • sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können dieses Modul verwenden, um die Standardkonfigurationseinstellungen zu definieren, wenn die Core-Zuweisungsregeln und Bezeichnerregeln erschöpft sind und nicht mit einer Bedingung oder einem Anwender übereinstimmen können. Sie können auch Suchregeln und Zuweisungsregeln für Endanwender definieren und erneut auf vorhandene aktive DLP-Incidents anwenden.

    Mit der Incident-Benachrichtigung für Endanwender können Sie die Häufigkeit angeben, mit der E-Mail-Benachrichtigungen an Endanwender gesendet werden. Sie können beispielsweise Benachrichtigungseinstellungen einrichten, um Incidents zu akkumulieren und einmal pro Woche einen E-Mail-Digest zu senden. Indem Sie einen Incident zuweisen, können Sie angeben, welcher Gruppe Sie die DLP-Incidents anfänglich zuweisen. Sie können auch angeben, wie die Endanwender vom DLP-Betriebsteam weiter identifiziert werden.

    Angenommen, ein Anwender hat Kreditkarteninformationen in einer Datei in einem Netzwerk gespeichert. Wenn das DLP-Integrationsprodukt einer Drittpartei einen Incident für einen Verstoß gegen die Richtlinie zu vertraulichen Daten erstellt, die Incident-Daten, die von erstellt werden ServiceNow AI Platform DLP-Erfassungen enthalten Informationen zum Endanwender. Sie können den Incident dann dem rechten Endanwender zuweisen.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Standardkonfigurationan.
      Abbildung : 1. Konfigurieren Sie DLP-Richtlinien
      Konfigurieren Sie Richtlinien für die Reaktion auf DLP-Incidents, um die Benachrichtigungen für Endanwender einzurichten
    2. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „DLP-Standardkonfiguration“
      Konfigurationsname Feld Beschreibung
      Endanwender-Incident-Benachrichtigung Benachrichtigungszeitraum (Tage) Definieren Sie die Anzahl der Tage, nach denen eine E-Mail-Benachrichtigung an den Endanwender gesendet werden soll. Die Anzahl der Tage muss zwischen 1 und 60 Tagen liegen.
      Übergeordneten Status automatisch basierend auf geklonten/untergeordneten Incidents aktualisieren Option zum automatischen Aktualisieren des übergeordneten Status-Incidents basierend auf den geklonten oder untergeordneten Incidents.
      Incident-Zuweisung Endanwenderbezeichner Geben Sie das Feld an, das aus Incident-Daten verwendet werden soll, um den Endanwender zu identifizieren. Mögliche Werte sind die folgenden:
      • E-Mail des Datenbesitzers
      • Ziel
      • Datei erstellt von
      • Datei geändert von
      • Dateibesitzer
      • FTP-Anwendername
      • Absender
      Verhalten der Endanwender-Suchregeln erneut anwenden Wenn die Option „Erneut anwenden“ für Suchregeln für Endanwender ausgewählt ist Option zum erneuten Anwenden von Endanwendersuchregeln auf vorhandene aktive DLP-Incidents. Sie können eine der folgenden Optionen zum erneuten Anwenden auswählen:
      • Aktualisieren Sie den Endanwenderwert, wenn das Feld leer ist : Aktualisiert den Endanwenderwert der vorhandenen aktiven DLP-Incidents, wenn dieses Feld leer ist.
      • Aktualisieren Sie den Endanwenderwert : Aktualisiert den Endanwenderwert der vorhandenen aktiven DLP-Incidents.
      • Aktualisieren Sie die Werte Endanwender und Zugewiesen an, wenn beide Felder leer sind : Aktualisiert den Endanwender der vorhandenen aktiven DLP-Incidents und die Werte „Zugewiesen an“, wenn beide Felder leer sind.
        Hinweis:
        Wenn diese Option ausgewählt ist, wird Aktualisieren Sie den Wert „Zugewiesen an“, wenn das Feld leer ist Die Option wird im Abschnitt „Zuweisungsregeln erneut anwenden“ automatisch deaktiviert, da sie für beide gilt.
      • Aktualisieren Sie die Werte Endanwender und Zugewiesen an für alle aktiven DLP-Incidents : Aktualisiert die Werte für Endanwender und Zugewiesen an für alle aktiven DLP-Incidents.
        Hinweis:
        Wenn diese Option ausgewählt ist, wird Aktualisieren Sie den Wert Zugewiesen an für alle aktiven DLP-Incidents Die Option wird im Abschnitt „Zuweisungsregeln erneut anwenden“ automatisch deaktiviert, da sie für beide gilt.
      Verhalten von Zuweisungsregeln erneut anwenden Wenn die Option „Erneut anwenden“ für Zuweisungsregeln ausgewählt ist Option zum erneuten Anwenden von Zuweisungsregeln auf vorhandene aktive DLP-Incidents. Sie können eine der folgenden Optionen zum erneuten Anwenden auswählen:
      • Aktualisieren Sie den Wert „Zugewiesen an“, wenn das Feld leer ist.
      • Aktualisieren Sie den Wert Zugewiesen an für alle aktiven DLP-Incidents.
    3. Wählen Sie aus Standardmäßige Zuweisungsgruppe Aus dem Abschnitt der zugehörigen Liste, in dem alle DLP-Incidents zugewiesen sind.
      Klicken Sie Auf Bearbeiten Um die Anwendergruppe hinzuzufügen. Wenn Sie auf klicken Bearbeiten Wählen Sie im Abschnitt „zugehörige Liste“ ein Element aus Sammlungen Spalten und fügen Sie dann den ausgewählten Beauftragten den Gruppenspalten in hinzu Bearbeiten Sie Mitglieder Seite, und speichern Sie die Liste.
      Hinweis:
      Sie können nur Gruppen anzeigen und auswählen, denen die Rolle „sn_dlir.Analyst“ aus der zugehörigen Liste zugewiesen wurde. Sie können nur eine Gruppe auswählen.
    4. Klicken Sie auf Speichern.