Erstellen Sie Optionsregeln für die Reaktion auf Incidents

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie die Optionsregeln für die Reaktion auf Incidents, die Endanwender oder Analyst bei der Reaktion auf einen Incident verwenden können.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, bearbeiten und löschen.
    • sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Art der Antwort konfigurieren, die ein Endanwender basierend auf dem Typ des DLP-Incidents ausführen soll. Die DLP Incident Response-Basissystem-Anwendung bietet Anwendern die folgenden Antwortoptionen:
    • Bewertung Abgeschlossen
    • Inhalt Gelöscht
    • Datei löschen
    • Verschlüsselte Datei
    • Maskierter Inhalt
    • Falsch positiv melden
    • Falschen Besitzer melden
    • Erforderlich für Geschäftsprozess
    • Berechtigungen Überprüft

    Angenommen, ein Endanwender meldet einen DLP-Incident als falsch positiv. Der Status für diesen Incident wird dann automatisch als „Geschlossen“ markiert, da der von Ihnen konfigurierte Zielstatus „Geschlossen“ ist.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Optionsregeln für die Reaktion auf Incidentsan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „Optionsregeln für Incident-Reaktion“
      Feld Beschreibung
      Name Name der Option für die Reaktion auf Incidents.
      Aktiv Option, um anzugeben, ob die Option für die Reaktion auf Incidents aktiv ist.
      Ausführungsreihenfolge Priorität der Option für die Reaktion auf Incidents. Dieses Feld gibt die Reihenfolge an, in der die Antwortoptionen für Incidents ausgeführt werden, wenn zwei oder mehr Antwortoptionen für Incidents die auslösenden Bedingungen teilen.

      Die Option „Reaktion auf Incidents“ mit der niedrigsten Zahl hat die höchste Priorität.

      Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Zum Beispiel 100, 200 oder eine andere Nummer.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für diese Option für die Reaktion auf Incidents.
      Standardzielstatus Der von Ihnen konfigurierte Standardzielstatus.
      Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Optionen für die Reaktion auf Incidents zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND Oder ODER :
      • Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien .

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Das folgende Beispiel zeigt die Konfiguration der Endanwenderaktion für einen Endpunkt. Die Bedingung erfordert, dass die Scanquelle ein Endpunkt-Dateisystem ist, das dann diese Konfiguration der Endanwenderaktion auslöst. Die Zuordnung zeigt, dass der falsche Besitzer melden, falsch positive Berichte melden und die gelöschte Datei die Antwortoptionen sind, die für verfügbar sind Endanwender .
      Abbildung : 1. Optionsregel für die Reaktion auf Incidents
      Die Optionsregel für die Liste der Incident-Antwort, die der Endanwender ausführen kann.
    4. In Antwortoptionszuordnungen Klicken Sie auf Abschnitt Neu .
    5. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Formular „Antwortoptionszuordnung“
      Regel für Antwortoption Name der Optionsregel für die Reaktion auf Incidents. Beispiel: SharePoint Impliziert, dass die Scanquelle SharePoint ist. Sie können entweder den Namen der Incident-Antwort eingeben oder mithilfe der Suche suchen.
      Antwortoption Option zum Auswählen der Antwortoption. Sie können entweder die Antwortoption eingeben oder mithilfe der Suche suchen.
      Zielstatus Der Zielstatus des DLP-Incidents, nachdem der Endanwender die entsprechende Aktion ausgewählt hat.
      Hinweis:
      1. Die Zielstatus Feld wird nur angezeigt, wenn Sie auswählen Antwortoption Welche von ist Typ: Standard . Weitere Informationen zur Konfiguration der Zielstatustypen finden Sie unter Konfigurieren Sie die Antwortoption für Ihre DLP-Incidents.
      2. Wenn eine Antwortoption von ist Typ: Erweitert Ist ausgewählt, können Sie den Zielstatus nicht festlegen und werden ausgeblendet. Der Zielstatus wird basierend auf dem anwenderdefinierten Status zugewiesen, der im Flow Designer-Subflow konfiguriert ist.
      Antwortoptionen anzeigen für Option zum Bestimmen der Anwenderrollen, für die die Antwortoptionen angezeigt werden sollen.

      Sie können aus wählen Analyst , Endanwender , Und Eskalierte Prüfer Von Analysten Durch Verwenden der Option Entsperren. Sie können eine oder alle Rollen auswählen.
      Abbildung : 2. Antwortoptionszuordnungsaktion
      Antwortoptionszuordnungsseite in Optionsregeln für die Reaktion auf Incidents
    6. Klicken Sie auf Absenden.