再犯者識別ルールの作成
同じ問題を複数回繰り返すユーザーを識別するための再犯者識別ルールを作成します。
始める前に
必要なロール:
- sn_dlir.admin - 作成、編集、および削除
- sn_dlir.analyst および sn_dlir.analyst_read - 表示 (読み取り専用)。
このタスクについて
特定のルールまたは基準を使用して再犯者を特定できます。Data Loss Prevention Incident Response に、再犯者を特定するためのフィールドがあります。
手順
-
フォームのフィールドに入力します。
表 : 1. [再犯者識別ルール (Repeat offender identification rules)] フォーム フィールド 説明 名前 再犯者識別ルールの名前。 実行順序 再犯者識別ルールの優先順位。このフィールドは、2 つ以上の再犯者識別ルールがトリガー条件を共有する場合にそのルールが実行される順序を示します。 番号が最も小さい再犯者識別ルールの優先度が最も高くなります。
操作の順序を設定するには、値を入力します。たとえば、100 や 200 などの数字です。デフォルト値は 100 です。
簡単な説明 この再犯者識別ルールの固有の説明。 条件 DLP インシデントテーブルに基づいた条件ビルダー内の条件。任意のインシデントフィールドを選択して、繰り返し違反者識別ルールのトリガー条件をビルドできます。 条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。
さらに条件を追加するには、[AND] または [OR] をクリックします。- [AND] を選択した場合は、すべての条件に一致する必要があります。
- [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。
注:条件ビルダーの条件では大文字と小文字が区別されます。DLP フィールド 必須の DLP フィールドに基づいて、再犯者を特定します。[DLP フィールド] の横にある 
アイコンをクリックすると、利用可能な DLP フィールドのリストが表示されます。使用する DLP フィールドを [利用可能] 列から選択して、[選択済み] 列に移動します。たとえば、[利用可能] 列から [ファイル名] および [ファイルの所有者] フィールドを選択して [選択済み] 列に移動できます。その後、[ファイル名] フィールドと [ファイルの所有者] フィールドに基づいて再犯者を特定できます。
したがって、あるユーザーが再犯者しきい値 (違反の数と期間) に違反し、同じユーザーが DLP フィールドに一致した場合、そのユーザーは再犯者として識別されます。
違反の数 再犯者しきい値の制限値を定義します。ユーザーが同じアクションを繰り返し、指定された回数違反すると、そのユーザーは再犯者として識別されます。 期間 (日数) 再犯者しきい値の制限値を日数の形式で定義します。ユーザーが同じアクションを繰り返し、しきい値の期間を違反すると、そのユーザーは再犯者として識別されます。 図 : 1. 再犯者の特定