アサインルールを作成する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • このセクションを使用して、アサインルールを作成します。その後、Data Loss Prevention Incident Response (DLP IR) インシデントをユーザーグループ、エンドユーザー、マネージャー、またはインシデントからのユーザーにアサインします。

    始める前に

    必要なロール:
    • sn_dlir.admin - 作成、編集、および削除
    • sn_dlir.analyst および sn_dlir.analyst_read - 表示 (読み取り専用)。

    このタスクについて

    アサインルールを使用して、DLP IR インシデントをユーザーグループ、エンドユーザー、またはマネージャーにアサインできます。DLP インシデントのアサインは、アサインルールの条件が満たされたときに発生します。

    手順

    1. 移動先 すべて > DLP 管理 > Assignment Rules (アサインルール).
    2. [新規] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. [DLP アサインルール] フォーム
      フィールド 説明
      名前 アサインルールの名前。
      アクティブ アサインルールがアクティブかどうかを示すオプション。
      実行順序 アサインルールの優先度。このフィールドは、2 つ以上のルールがトリガー条件を共有する場合にアサインルールが実行される順序を示します。

      番号が最も小さいアサインルールの優先度が最も高くなります。操作の順序を設定するには、値を入力します。たとえば、100、200、300 などです。

      デフォルト値は 100 です。
      説明 このアサインルールの固有の説明。
      条件 条件ビルダーの条件。ここの条件は DLP インシデントテーブルに基づいて決まります。アサインルールの条件を作成するには、いずれかのインシデントフィールドを選択します。

      条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。

      条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。

      2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

      たとえば、あるエンドポイントの DLP アサインルールを作成するとします。その際に、インシデントをアサインするために満たす必要があるエンドポイントファイルシステムがその条件スキャンソースであることを指定できます。

      注:
      条件ビルダーの条件では大文字と小文字が区別されます。
      アサイン先 次のいずれかにアサインします。
      • ユーザーグループ
      • エンドユーザー
      • マネージャー
      • インシデントからのユーザー
      条件ビルダー内の条件が満たされると、アサインされます。
      ユーザーグループ DLP インシデントのアサイン先のユーザーグループを検索して選択するオプション。このフィールドは、[アサイン先] フィールドで [ユーザーグループ] が選択されている場合にのみ表示されます。
      注:
      表示および選択できるのは、sn_dlir.analyst ロールがアサインされているグループのみです。
      エンドユーザー DLP インシデントをエンドユーザーにアサインするオプション。条件ビルダー内の条件が満たされると、アサインされます。
      マネージャーフィールドを使用してアサイン エンドユーザーのマネージャー。このフィールドは、[アサイン先] フィールドで [マネージャー] が選択されている場合にのみ表示されます。

      [マネージャー] のフィールド ([姓]、[メール]、[市区町村]、[従業員番号] などの) を 1 つ選択することで、DLP インシデントを特定のマネージャーにアサインできます。
      ユーザー識別子 (User Identifier) インシデントのユーザー識別子。このフィールドは、[アサイン先] フィールドで [インシデントからのユーザー (User from Incident)] が選択されている場合にのみ表示されます。次のいずれかのユーザー識別子を選択できます。
      • データ所有者メール
      • 宛先
      • ファイル作成者
      • ファイル変更者
      • ファイルの所有者
      • FTP ユーザー名
      • 送信者
      • インシデントからのカスタムユーザー
      カスタム属性 ユーザーへの参照があるインシデントからカスタム属性を指定するオプション。このフィールドは、[ユーザー識別子 (User Identifier)] フィールドで [インシデントからのカスタムユーザー] が選択されている場合にのみ表示されます。
      アセスメントの添付 インシデントにアセスメントを添付するかどうかを指定するオプション。
      アセスメント前の応答ステータス (Pre assessment response state) エンドユーザーが応答する前のインシデントのステータスを選択するオプション。カスタム状況に設定することもできます。

      デフォルト値は [アセスメント待ち] です。
      アセスメント後の応答ステータス (Post assessment response state) ユーザーの応答後の DLP インシデントのステータスを選択するオプション。

      デフォルト値は [アセスメントが完了しました] です。
      詳細 エンドユーザーを識別するための詳細オプション。このフィールドは、[ユーザー識別子 (User Identifier)] フィールドで [インシデントからのカスタムユーザー] が選択されている場合にのみ表示されます。

      スクリプトエディターを使用して、アサインルールの作成時にエンドユーザーを識別するためのフィールド値をカスタマイズおよび書式設定することができます。次に、DLP インシデントをアサインするユーザー (エンドユーザーまたはエンドユーザーのマネージャー) を選択します。

      たとえば、メールアドレスフィールドを使用してエンドユーザーを識別することができます。
      次の例は、「Assign 'Medium' Priority Incident to End User」という名前のアサインルールを示しています。条件ビルダーでは、[スキャンソース] を「Assign 'Medium' Priority Incident to End User」に設定し、[アサイン先] フィールドを [エンドユーザー] に設定する必要があります。次に、エンドユーザーの「メール」を検索できます。
      図 : 1. DLP アサインルール
      Data Loss Prevention Incident Response インシデントのアサインルールの定義
    4. すべての DLP インシデントがアサインされている関連リストセクションから [アサイン先] フィールドを選択します。
      ユーザーグループを追加するには、[編集] をクリックします。[関連リスト] セクションから [編集 ] をクリックし、[コレクション] 列からアイテムを選択してから、選択したアサイニーを [メンバーの編集] ページの [グループ] 列に追加して、リストを保存します。
      注:
      関連リストから表示および選択できるのは、sn_dlir.analyst ロールがアサインされているグループのみです。選択できるグループは 1 つだけです。
    5. [送信] をクリックします。
      1 つ以上のアサインルールを選択し、既存のすべての DLP インシデントに再適用するオプションもあります。
    6. 既存のすべての DLP インシデントにアサインルールを再適用するには、[再適用] をクリックします。