Erstellen Sie Suchregeln für Endanwender
Sie können Suchregeln für Endanwender erstellen und konfigurieren und die DLP-Incidents den jeweiligen Endanwendern basierend auf diesen Regeln zuweisen.
Vorbereitungen
- sn_dlir.admin: Erstellen, bearbeiten und löschen.
- sn_dlir.Analyst und sn_dlir.Analyst_read – Ansicht (schreibgeschützt).
Warum und wann dieser Vorgang ausgeführt wird
Der DLP-Administrator definiert diese Endanwendersuchregeln, um die Endanwender automatisch DLP-Incidents zuzuweisen, wobei nur das Endanwenderfeld verwendet wird. Mit der DLP-Endanwendersuchregel können Sie dem Endanwender DLP-Incidents basierend auf Endanwenderbezeichner, anwenderdefinierten Attributen oder Skript zuweisen.
Prozedur
-
Füllen Sie im Formular die Felder aus.
Tabelle : 1. Formular „DLP-Endanwender-Suchregel“ Feld Beschreibung Name Name für die Endanwender-Suchregel. Aktiv Option, um anzugeben, ob die Suchregel für Endanwender aktiv ist. Ausführungsreihenfolge Die Priorität der Endanwender-Suchregel. Dieses Feld gibt die Reihenfolge an, in der die Suchregeln des Endanwenders ausgeführt werden, wenn zwei oder mehr Regeln die auslösenden Bedingungen gemeinsam haben. Die Suchregel für Endanwender mit der niedrigsten Zahl hat die höchste Priorität. Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300 usw.
Der Standardwert ist 100.
Beschreibung Eindeutige Beschreibung für die Endanwender-Suchregel. Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Endanwender-Suchregel zu erstellen, wählen Sie eines der Incident-Felder aus. Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.
Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND Oder ODER .- Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein.
- Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.
Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien .
Sie können beispielsweise die Bedingungen für diese Endanwender-Suchregel festlegen, indem Sie die Bedingung als auswählen Integrationsquelle , Enthält , Symantec .
Hinweis:Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.Endanwender suchen mithilfe von Option zum Suchen von Endanwendern mithilfe von Incident-Feld Oder Skript . Endanwenderbezeichner Der Endanwender-Bezeichner des DLP-Incidents. Dieses Feld wird angezeigt, wenn Incident-Feld Ist aus ausgewählt Suchen Sie mit Endanwender Feld. Sie können einen Endanwenderbezeichner aus den folgenden Optionen auswählen: - E-Mail des Datenbesitzers
- Ziel
- Datei erstellt von
- Datei geändert von
- Dateibesitzer
- FTP-Anwendername
- AbsenderHinweis:Die oben aufgeführten Endanwenderbezeichner können mithilfe der Systemeigenschaft konfiguriert werden
sn_dlir.assignment.fields. Weitere Informationen finden Sie unter Erweiterte Einstellungen konfigurieren. - Anwenderdefinierter Anwender aus Incident
Anwenderdefiniertes Attribut Option zum Angeben eines anwenderdefinierten Attributs aus dem Incident, das den Verweis auf einen Anwender hat. Dieses Feld wird nur angezeigt, wenn Das A Ist aus ausgewählt Endanwenderbezeichner Feld. Skript Sie können den Skripteditor verwenden, um die Feldwerte während der Erstellung der Endanwender-Suchregel anzupassen und zu formatieren. Sie können beispielsweise das Feld „E-Mail-Adresse“ verwenden, um den Endanwender zu identifizieren. Das folgende Beispiel zeigt eine Endanwender-Suchregel mit dem Namen „Symantec“. Der Bedingungsgenerator erfordert „Integrationsquelle“ als „Symantec“. Die Suchen Sie mit Endanwender Option ist auf „Incident-Feld“ und festgelegt Endanwenderbezeichner Option ist auf „Datei geändert von“ festgelegt.Abbildung : 1. DLP-Endanwender-Suchregel