Définir les filtres à appliquer pour la création d’incident

Rversion finale: Australia

Mis à jour 12 mars 2026

1 minute de lecture

Définissez et définissez des conditions de filtre pour filtrer les événements DLP Microsoft entrants. Contrôlez lesquels de ces événements doivent être créés en tant qu’incidents DLP IR sur votre ServiceNow instance.

Avant de commencer

Rôle requis : sn_dlir.admin(Créer, modifier et supprimer)

sn_dlir.analyst : vue (lecture seule)

Pourquoi et quand exécuter cette tâche

Ce type de filtrage vous permet d’isoler les événements DLP Microsoft afin de limiter le nombre d’incidents DLP IR que vous créez. Si les critères de filtrage sont définis, seuls les événements qui correspondent aux conditions sont créés en tant qu’incidents DLP.

Procédure

Sélectionnez l’option Filtrer en fonction des conditions .
À l’aide des listes et des champs du générateur de conditions, définissez les filtres dans le champ Conditions de filtre .

Définissez les critères qu’un événement DLP entrant Microsoft doit satisfaire pour qu’un incident DLP soit créé.

Les options du premier champ des conditions de filtre correspondent aux champs disponibles dans l’événement DLP Microsoft. Les critères que vous saisissez sont sensibles à la casse. Vérifiez que les critères que vous définissez correspondent aux valeurs de l’événement.
Ajoutez d’autres conditions en cliquant sur ET ou OU.
- Si ET est sélectionné, toutes les conditions doivent être vérifiées.
- Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
Cliquez sur Continuer et passez à la section Configuration du contenu de correspondance.
Auparavant, UserID était mappé uniquement au champ Utilisateur source, mais le champ UserID est actuellement disponible en tant qu’attribut de recherche pour tous les événements Purview, y compris les événements de point de terminaison.