Erstellen Sie Incident-Konsolidierungsregeln

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie eine Incident-Konsolidierungsregel, um mehrere Incidents ähnlicher Art unter einem übergeordneten Incident zu konsolidieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, bearbeiten und löschen
    • sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Der DLP-Administrator definiert diese Incident-Konsolidierungsregeln, um DLP-Incidents derselben Art automatisch unter einem übergeordneten Incident zu konsolidieren. Mit der DLP-Incident-Konsolidierungsregel können Sie DLP-Incidents basierend auf der Konfiguration konsolidieren, die für die Konsolidierungsdauer und die Konsolidierungsidentifizierung bereitgestellt wird.

    Hinweis:

    Wenn ein konsolidierter Incident erstellt wird, wird er dem übergeordneten DLP-Incident untergeordnet. Wenn der Schweregrad des konsolidierten Incident höher ist als der des übergeordneten Incident, wird der Schweregrad des übergeordneten Incidents so aktualisiert, dass er mit dem untergeordneten Incident übereinstimmt.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Konsolidierungsregeln für DLP-Incidentsan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „DLP-Zuweisungsregel“
      Feld Beschreibung
      Name Name für die Incident-Konsolidierungsregel.
      Aktiv Option, um anzugeben, ob die Incident-Konsolidierungsregel aktiv ist.
      Ausführungsreihenfolge

      Die Priorität der Incident-Konsolidierungsregel. Dieses Feld gibt die Reihenfolge an, in der die Incident-Konsolidierungsregeln ausgeführt werden, wenn zwei oder mehr Regeln die auslösenden Bedingungen gemeinsam haben.

      Die Incident-Konsolidierungsregel mit der niedrigsten Zahl hat die höchste Priorität. Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300 usw.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für die Incident-Konsolidierungsregel.
      Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Incident-Konsolidierungsregel zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND Oder ODER .
      • Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien .

      Sie können beispielsweise die Bedingungen für diese Incident-Konsolidierungsregel festlegen, indem Sie die Bedingung als auswählen Integrationsquelle , Enthält , Symantec .

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Konsolidierungsdauer Option zum Festlegen der Dauer für die Incident-Konsolidierung.

      Incidents in diesem Zeitraum mit denselben Werten für die ausgewählten Felder werden unter dem ersten Incident konsolidiert. Der erste Incident, der dieser Regel entspricht, ist der übergeordnete Incident, und der Rest der Incidents sind untergeordnete Incidents.
      Incidents konsolidieren nach Wählen Sie das Feld „DLP-Incident“ aus, um die Incidents zu konsolidieren, wenn im Feld „ausgewählt“ für verschiedene Incidents der gleiche Wert vorhanden ist.

      Wählen Sie mindestens ein Feld aus. Wählen Sie mindestens ein Feld aus.

      Das folgende Beispiel zeigt eine Incident-Konsolidierungsregel mit dem Namen Incidents für Symantec-Integration konsolidieren. Der Bedingungsgenerator erfordert die Integrationsquelle Symantec. Die Bedingungsdauer Option ist auf 1 Stunde festgelegt, und die Option Richtlinienname ist für ausgewählt Incident konsolidieren bis .

      Zum Zeitpunkt der Symantec DLP-Incident-Erfassung wird diese Regel ausgeführt, und wenn mehrere Incidents denselben Richtliniennamen haben, wird der Incident unter dem ersten erfassten Incident konsolidiert, der dieser Regel entspricht.

    4. Klicken Sie auf Absenden.
      Incidents, die basierend auf der Konsolidierungsregel konsolidiert wurden, sind unter der Liste untergeordnete Incidents im DLP-Arbeitsbereich verfügbar.