インシデント作成の際に適用するフィルターの定義

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • フィルター条件を定義および設定して、受信される  Symantec DLP  インシデントをドリルダウンします。ServiceNow® で DLP インシデントとして作成する必要のあるインシデントを決定します。

    始める前に

    必要なロール:sn_dlir.admin

    このタスクについて

    フィルタリングを行うことで、DLP インシデントを切り分け、作成する DLP インシデントの数を制限することができます。それ以外のフィルタリング基準が設定されている場合は、その条件に一致するインシデントのみが作成されます。

    手順

    1. API フィルターを適用し、フィルター基準に一致するインシデントを取得するには、[インシデント取り込み用の API ベースのフィルター (API based filter for incident ingestion)] チェックボックスをオンにします。
    2. API フィルターを追加します。
      API フィルターを示す例を次に示します。
      {
                "operandOne": {
                    "name": "incidentStatusName"
                },
                "filterType": "string",
                "operator": "EQ",
                "operandTwoValues": [
                    "incident.status.New"
                ]
            }
      注:
      Symantec 統合の API フィルターの詳細については、「Incident Lists: Parameters - Request object details (インシデントリスト:パラメーター - 要求オブジェクトの詳細)」を参照してください。
    3. API フィルターを適用した後で、[フィルターを検証 (Validate Filter)] クリックします。
      注:
      検証が失敗した場合、検証が失敗したことを示すエラーメッセージが表示されます。これは、Symantec API に従ってフィルターが適切に入力されていない場合に発生します。
      図 : 1. API フィルターの追加
      API ベースのフィルターの追加
    4. [インシデント取り込み後のフィルター (Post Incident Ingestion Filter)] チェックボックスをオンにして、DLP インシデントを作成するために、受信される Symantec DLP インシデントが満たすべき条件を定義します。
      [フィルター条件] の最初のフィールドのオプションは、DLP インシデントで使用可能なフィールドと一致します。入力する基準は大文字と小文字を区別します。定義した基準がインシデントの値と一致していることを確認します。
    5. 条件ビルダーの [フィルター条件] フィールドで、フィルターを設定します。
      [DLP Symantec フィルタリング] セクション
    6. さらに条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。

    次のタスク

    スケジュールを設定するには、[続行] をクリックします。