インシデントレスポンスオプションルールを作成する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • エンドユーザーまたはアナリストがインシデントに対応する際に使用できるインシデントレスポンスオプションルールを作成します。

    始める前に

    必要なロール:
    • sn_dlir.admin - 作成、編集、および削除
    • sn_dlir.analyst および sn_dlir.analyst_read - 表示 (読み取り専用)。

    このタスクについて

    エンドユーザーが実行する必要のある応答のタイプは、DLP インシデントのタイプに基づいて設定できます。ベースシステムの DLP Incident Response アプリケーションには、ユーザーが使用できる次の応答オプションがあります。
    • アセスメント完了
    • 削除されたコンテンツ
    • 削除されたファイル
    • 暗号化されたファイル
    • マスクされたコンテンツ (Masked Content)
    • 誤検出を報告
    • 不適切なオーナーを報告
    • ビジネスプロセスに必要 (Required for Business Process)
    • レビュー済みエンタイトルメント (Reviewed Entitlements)

    たとえば、あるエンドユーザーが DLP インシデントを誤検出として報告したとします。設定したターゲットステータスがクローズされるため、このインシデントのステータスは自動的にクローズ済みとしてマークされます。

    手順

    1. 移動先 すべて > DLP 管理 > インシデントレスポンスオプションルール.
    2. [New] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. [インシデント応答オプションルール (Incident Response Option Rules)] フォーム
      フィールド 説明
      名前 インシデント応答オプションの名前。
      アクティブ インシデント応答オプションがアクティブかどうかを示すオプション。
      実行順序 インシデント応答オプションの優先度。このフィールドは、2 つ以上のインシデント応答オプションがトリガー条件を共有する場合にインシデント応答オプションが実行される順序を示します。

      番号が最も小さいインシデント応答オプションの優先度が最も高くなります。

      操作の順序を設定するには、値を入力します。たとえば、100 や 200 などの数字です。

      デフォルトは 100 です。
      説明 このインシデント応答オプションの固有の説明。
      デフォルトのターゲットステータス 設定したデフォルトのターゲットステータス。
      条件 条件ビルダーの条件。ここの条件は DLP インシデントテーブルに基づいて決まります。インシデント応答オプションの条件を作成するには、いずれかのインシデントフィールドを選択します。

      条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。

      さらに条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。

      2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

      注:
      条件ビルダーの条件では大文字と小文字が区別されます。
      次の例は、あるエンドポイントのエンドユーザーアクションの構成を示しています。この条件では、スキャンソースがこのエンドユーザーアクションの構成をトリガーするエンドポイントファイルシステムであることが要求されています。マッピングでは、エンドユーザーが使用できる応答オプションとして、不適切なオーナーの報告、誤検出の報告、および削除されたファイルがあることが示されています。
      図 : 1. インシデント応答オプションルール
      エンドユーザーが実行できるリストインシデントレスポンスオプションルール。
    4. [応答オプションマッピング (Response Option Mappings)] セクションで、[新規] をクリックします。
    5. フォームのフィールドに入力します。
      表 : 2. [応答オプションマッピング (Response Option Mapping)] フォーム
      応答オプションルール (Response Option Rule) インシデント応答オプションルールの名前。たとえば、SharePoint はスキャンソースが SharePoint であることを意味します。インシデント応答の名前を入力するか、検索機能を使用して検索できます。
      応答オプション 応答オプションを選択するオプション。応答オプションを入力するか、検索機能を使用して検索できます。
      ターゲットステータス エンドユーザーが適切なアクションを選択した後の DLP インシデントのターゲットステータス。
      注:
      1. [ターゲットステータス] フィールドは、[タイプ:基本]応答オプションを選択した場合にのみ表示されます。ターゲットステータスタイプの構成方法の詳細については、「DLP インシデントの応答オプションの構成」を参照してください。
      2. [タイプ:詳細 (Type: Advanced)] の応答オプションが選択されている場合、ターゲットステータスを設定できず、非表示になります。ターゲットステータスは、フローデザイナーサブフローから構成されたカスタム状況に基づいてアサインされます。
      次の応答オプションを表示 応答オプションの表示対象となるユーザーロールを決定するオプション。

      ロック解除オプションを使用して、[アナリスト][エンドユーザー]、および [エスカレートされたアナリストレビュー担当者 (Escalated Analyst Reviewers)] から選択できます。選択するロールは、1 つでも全部でもかまいません。
      図 : 2. [応答オプションマッピング (Response Option Mapping)] アクション
      インシデントレスポンスオプションルール内の [応答オプションマッピング] ページ
    6. [送信] をクリックします。