Erstellen Sie Zuweisungsregeln

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Verwenden Sie diesen Abschnitt, um Zuweisungsregeln zu erstellen. Weisen Sie dann zu Data Loss Prevention Incident Response(DLP IR) Incidents für Anwendergruppen, Endanwender, Manager oder Anwender aus Incident.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, bearbeiten und löschen.
    • sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Zuweisungsregeln verwenden, um Anwendergruppen, Endanwendern oder Managern DLP-IR-Incidents zuzuweisen. Die Zuweisung der DLP-Incidents erfolgt, wenn die Bedingungen in der Zuweisungsregel erfüllt sind.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Zuweisungsregelnan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „DLP-Zuweisungsregel“
      Feld Beschreibung
      Name Name für die Zuweisungsregel.
      Aktiv Option, um anzugeben, ob die Zuweisungsregel aktiv ist.
      Ausführungsreihenfolge Die Zuweisungsregelpriorität. Dieses Feld gibt die Reihenfolge an, in der die Zuweisungsregeln ausgeführt werden, wenn zwei oder mehr Regeln die auslösenden Bedingungen gemeinsam haben.

      Die Zuweisungsregel mit der niedrigsten Zahl hat die höchste Priorität. Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300 usw.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für diese Zuweisungsregel.
      Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Zuweisungsregel zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND Oder ODER .
      • Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien .

      Angenommen, Sie erstellen eine DLP-Zuweisungsregel für einen Endpunkt. Sie können angeben, dass die Bedingungsscanquelle ein Endpunkt-Dateisystem ist, das vor dem Zuweisen eines Incident erfüllt werden muss.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Zuweisen an Zuweisung zu einer der folgenden Elemente:
      • Anwendergruppe
      • Endanwender
      • Manager
      • Anwender aus Incident
      Die Zuweisung erfolgt, wenn die Bedingungen im Bedingungsgenerator erfüllt sind.
      Anwendergruppe Option zum Suchen und Auswählen einer Anwendergruppe, der die DLP-Incidents zugewiesen werden sollen. Dieses Feld wird angezeigt, wenn Anwendergruppe Ist aus ausgewählt Zuweisen an Feld.
      Hinweis:
      Sie können nur Gruppen anzeigen und auswählen, denen die Rolle „sn_dlir.Analyst“ zugewiesen wurde.
      Endanwender Option zum Zuweisen des DLP-Incidents an den Endanwender. Die Zuweisung erfolgt, wenn die Bedingungen im Bedingungsgenerator erfüllt sind.
      Zuweisen mithilfe von Manager-Feldern Manager des Endanwenders. Dieses Feld wird angezeigt, wenn Manager Ist aus ausgewählt Zuweisen an Feld.

      Sie können die DLP-Incidents einem bestimmten Manager zuweisen, indem Sie eines der Manager-Felder auswählen, z. B. Nachname, E-Mail-Adresse, Stadt, Mitarbeiternummer.
      Anwenderbezeichner Der Anwenderbezeichner des Incident. Dieses Feld wird angezeigt, wenn Anwender aus Incident Ist aus ausgewählt Zuweisen an Feld. Sie können einen Anwenderbezeichner aus den folgenden Optionen auswählen:
      • E-Mail des Datenbesitzers
      • Ziel
      • Datei erstellt von
      • Datei geändert von
      • Dateibesitzer
      • FTP-Anwendername
      • Absender
      • Anwenderdefinierter Anwender aus Incident
      Anwenderdefiniertes Attribut Option zum Angeben eines anwenderdefinierten Attributs aus dem Incident, das den Verweis auf einen Anwender hat. Dieses Feld wird nur angezeigt, wenn Anwenderdefinierter Anwender aus Incident Ist aus ausgewählt Anwenderbezeichner Feld.
      Bewertung anhängen Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten.
      Antwortstatus vor der Bewertung Option zum Auswählen des Status, in dem sich der Incident befinden soll, bevor der Endanwender antwortet. Es kann auch ein anwenderdefinierter Status sein.

      Der Standardwert ist „Bewertung ausstehend“.
      Antwortstatus nach der Bewertung Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Anwender geantwortet hat.

      Der Standardwert ist „Bewertung abgeschlossen“.
      Erweitert Erweiterte Option zur Identifizierung des Endanwenders. Dieses Feld wird nur angezeigt, wenn Anwenderdefinierter Anwender aus Incident Ist aus ausgewählt Anwenderbezeichner Feld.

      Sie können den Skript-Editor verwenden, um die Feldwerte während der Erstellung der Zuweisungsregel anzupassen und zu formatieren, um den Endanwender zu identifizieren. Dann wählen Sie aus, wem Sie den DLP-Incident zuweisen möchten, z. B. ein Endanwender oder der Manager des Endanwenders.

      Sie können beispielsweise das Feld „E-Mail-Adresse“ verwenden, um den Endanwender zu identifizieren.
      Das folgende Beispiel zeigt eine Zuweisungsregel mit dem Namen Weisen Sie dem Endanwender einen Incident mit Priorität „Mittel“ zu . Der Bedingungsgenerator erfordert, dass die Scan-Quelle ist Weisen Sie dem Endanwender einen Incident mit Priorität „Mittel“ zu , Und Zuweisen an Feld ist auf festgelegt Endanwender . Anschließend können Sie nach der E-Mail-Adresse des Endanwenders suchen.
      Abbildung : 1. DLP-Zuweisungsregel
      Erstellen Sie die Zuweisungsregeln für Data Loss Prevention Incident Response Incidents
    4. Wählen Sie aus Zuweisen an Feld aus dem Abschnitt der zugehörigen Liste, dem alle DLP-Incidents zugewiesen sind.
      Klicken Sie Auf Bearbeiten Um die Anwendergruppe hinzuzufügen. Wenn Sie auf klicken Bearbeiten Wählen Sie im Abschnitt „zugehörige Liste“ ein Element aus Sammlungen Spalten und fügen Sie dann den ausgewählten Beauftragten den Gruppenspalten in hinzu Bearbeiten Sie Mitglieder Seite, und speichern Sie die Liste.
      Hinweis:
      Sie können nur Gruppen anzeigen und auswählen, denen die Rolle „sn_dlir.Analyst“ aus der zugehörigen Liste zugewiesen wurde. Sie können nur eine Gruppe auswählen.
    5. Klicken Sie auf Absenden.
      Sie haben auch die Möglichkeit, eine oder mehrere Zuweisungsregeln auszuwählen und auf alle vorhandenen DLP-Incidents erneut anzuwenden.
    6. Um eine Zuweisungsregel erneut auf alle vorhandenen DLP-Incidents anzuwenden, klicken Sie auf Erneut Anwenden .