Data Loss Prevention Incident Response Arbeitsbereich Für Analysten

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 13 Minuten Lesedauer

    • Verwenden Sie Data Loss Prevention Incident Response(DLP IR) Arbeitsbereich für Analysten zum Anzeigen der DLP-Incidents. Weisen Sie die Incidents Endanwendern zur Lösung und mehr zu.

    Der DLP-Arbeitsbereich besteht aus einer Homepage mit Dashboards, Listenansichten und Formularansichten, auf denen Sie DLP-Incidents überwachen können.

    Abbildung : 1. DLP-Arbeitsbereich – Übersichtsseite
    DLP-Arbeitsbereich – Übersichtsseite.

    Überprüfen und weisen Sie Ihre DLP-Incidents zu

    Greifen Sie auf zu Data Loss Prevention Incident Response(DLP IR) Arbeitsbereich für Analysten, damit Sie die DLP-Incidents überprüfen und zuweisen oder lösen können. Sie können Trends bei Incidents nach Schweregrad, häufigsten Tätern, Incidents nach Scan-Quelle und Incidents nach Richtlinie nachverfolgen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.Analyst: Bearbeiten und zeigen Sie DLP-Incidents an.
    • sn_dlir.Analyst_read und sn_dlir.read: Zeigen Sie DLP-Incidents an.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
      Die Listenseite „DLP-Arbeitsbereich – meine Incidents – Vorgänge“ wird in einer neuen Registerkarte geöffnet.
    2. Klicken Sie auf DLP-Arbeitsbereich Startsymbol zum Anzeigen der Homepage-Ansicht des Arbeitsbereichs.
    3. Überprüfen Sie die Dashboard-Widgets, um Trends nach Incidents nach Schweregrad, häufigste Täter, Incidents nach Scan-Quelle und Incidents nach Richtlinie zu identifizieren.
    4. Klicken Sie auf der Homepage auf die entsprechenden Filter, um die Widgets nach ihren verschiedenen Kategorien anzuzeigen.
      Filter Beschreibung
      Offene Incidents Zeigen Sie alle offenen Incidents an.
      Überfällige kritische Incidents Zeigen Sie die Incidents mit der Schweregradbezeichnung „Kritisch“ an, die überfällig sind.
      Endanwendern zugewiesene Incidents Zeigen Sie die Incidents an, die Endanwendern zugewiesen sind.
    5. Sie können die DLP-Incidents auf zwei Arten überprüfen und zuweisen:
      1. Die erste Möglichkeit besteht darin, einen oder mehrere DLP-Incidents zu suchen und auszuwählen, die Sie überprüfen möchten, und klicken Sie auf das Kontrollkästchen neben den Incidents.
      2. Wählen Sie die Option aus, die für Sie geeignet ist.
        Option Beschreibung
        Liste neu laden Option zum Aktualisieren der Liste der DLP-Incidents, wenn Sie eine Aktualisierung vornehmen.
        Listenaktionen Liste der Aktionen, die Sie ausführen können. Die Auswahlmöglichkeiten lauten wie folgt:
        • Speichern unter
        • Spalten bearbeiten
        • Breiten zurücksetzen
        Hinweis:
        Wenn Sie über eine eigene anwenderdefinierte Liste verfügen, die unter erstellt wird Meine Listen Für Ihren Arbeitsbereich konfigurierter Abschnitt können Sie auch die folgenden zusätzlichen Listenaktionen ausführen:
        • Umbenennen
        • Speichern
        • Löschen
        URL für alle kopieren Option zum Kopieren der URLs aller DLP-Incidents.
        Filterbereich anzeigen Option zum Drilldown der erforderlichen Incidents mithilfe der Filteroption.
        1. Klicken Sie auf den Filter oben links auf der Seite, und wählen Sie aus Erweiterte Ansicht .
        2. Verwenden Sie einen vorhandenen Filter, oder erstellen Sie einen eigenen, indem Sie Bedingungen hinzufügen, die ein Feld, einen Operator und Werte enthalten.
        3. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND Oder ODER :
          • Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein.
          • Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.
        4. Klicken Sie auf Aktualisieren.
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incident zuweisen zu : Option zum Zuweisen des Incident an einen Analyst, Endanwender oder eine andere Person.
        • Anwender : Option, um zu bestimmen, welchem Anwender der Incident zugewiesen werden soll.
        • Voranwenderantwort für Incident-Status : Option, um zu bestimmen, in welchem Status sich der Incident befinden soll, bevor der Anwender antwortet. Es kann auch ein anwenderdefinierter Status sein.
        • Bewertung anhängen : Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage : Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Anwenderantwort Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Anwender geantwortet hat.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option für die Reaktion auf Incidents auswählen. Wenn der Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann er die Option auswählen Datei Gelöscht Um eine manuelle Bestätigung zu übermitteln, dass die Datei gelöscht wurde, und Kommentare einzugeben.

        Hier können Sie auch erweiterte Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern .
        Eskalation Aktion zur Eskalation des Incident. Sie können den Incident eskalieren, indem Sie den Anwender auswählen, an den Sie ihn eskalieren möchten. Sie können auch zusätzliche Informationen im Feld Kommentare anzeigen.
        Status aktualisieren Aktion zum Aktualisieren des Status des Incident. Sie können den Status des Incident aktualisieren, indem Sie einen der status aus den Dropdown-Optionen auswählen. Es kann auch ein anwenderdefinierter Status sein.
        Schließen Aktion zum Schließen der Incidents. Wählen Sie die entsprechende aus Abschlusscode Aus der Dropdown-Liste und fügen Sie Abschlusskommentare hinzu.
        Die Schließen Funktion in Data Loss Prevention Incident Response Wird sowohl asynchron als auch synchron in der Listenansicht ausgeführt.
        1. Synchroner Abschluss: Wenn Incidents synchron geschlossen werden, bedeutet dies, dass die Abschlussaktion sofort ausgeführt wird. Wenn Sie mehrere Incidents zum Abschluss auswählen und die Incident-Anzahl kleiner oder gleich 100 ist, werden die Incidents in der Listenansicht „DLP-Incidents“ im Vordergrund geschlossen. Hier ist 100 der Standardwert.
        2. Asynchroner Abschluss: Dies bedeutet, dass die Abschlussanforderung übermittelt wird und die Anwendung die Anforderung im Hintergrund ausführt, wenn die Anzahl der ausgewählten Incidents größer als 100 ist.

          Sie müssen die Listenansicht „DLP-Incidents“ aktualisieren, um den Status der aktualisierten Incidents anzuzeigen.

          Hinweis:
          • Die Anzahl der ausgewählten Incidents für den asynchronen oder synchronen Abschluss wird mit der Systemeigenschaft konfiguriert sn_dlir.closure_Sync_count_limit .
          • Standardmäßig ist die Incident-Anzahl auf 100 festgelegt.
      3. Die zweite Möglichkeit besteht darin, auf einen bestimmten DLP-Incident zu klicken, um ihn zu öffnen.
        • Details Registerkarte: Zeigt die folgenden Abschnitte an:
          • Details : Sie können die Details des DLP-Incidents anzeigen, z. B. Incident-Nummer, Schweregrad, Dateiname usw. Sie haben auch die Möglichkeit, die Felder Schweregrad, Status, Endanwender und DLP-Analystengruppe zu ändern und zu speichern.
          • Verfassen : Um Kommentare zum DLP-Incident hinzuzufügen, der für alle sichtbar ist, geben Sie die Kommentare auf der Registerkarte Kommentare ein. Um Kommentare hinzuzufügen, die für bestimmte Personen sichtbar sind, geben Sie die Kommentare auf der Registerkarte Arbeitsnotizen (privat) ein.
          • Aktivität : Sie können die Details der verschiedenen Aktivitäten für den DLP-Incident anzeigen.
          • Anhänge : Wenn Sie Anhänge im Zusammenhang mit dem DLP-Incident haben, klicken Sie auf Durchsuchen Und wählen Sie den Anhang auf Ihrem lokalen Laufwerk aus.
        • Zusätzliche Details Registerkarte: Zeigt alle zusätzlichen Informationen zum DLP-Incident an, einschließlich anwenderdefinierter Felder.
          Wichtig:
          • Anwenderdefinierte Felder für DLP-Incidents werden nur in der San Diego-Version oder höher unterstützt.
          • Sie können verwenden Zusätzliche Details Registerkarte, um zu sehen, ob anwenderdefinierte Felder für einen bestimmten DLP-Incident erstellt wurden oder nicht.
        • Anwenderdefinierte Attribute Registerkarte: Zeigt die Liste der anwenderdefinierten Attribute im Zusammenhang mit dem DLP-Incident an.
        • Andere Incidents vom Endanwender : Zeigt den Incident desselben Endanwenders an. Sie können Incidents konsolidieren, indem Sie ausführen Als untergeordneten Incident hinzufügen Aktion aus dieser zugehörigen Liste.
        • Typ der erkannten sensiblen Informationen : Zeigt die erkannten vertraulichen Informationen des Incidents an.
          Hinweis:
          Diese zugehörige Liste ist nur für DLP-Incidents sichtbar, die für Microsoft- oder Symantec-Integrationen erstellt wurden. Wenn der Anwender im Microsoft- oder Symantec-Incident-Datensatz auf den erkannten Datensatz vom Typ „vertrauliche Informationen“ zugreift, wird der hervorgehobene Übereinstimmungsinhalt in Bezug auf diese Integration angezeigt.
        • Untergeordnete Incidents : Zeigt die untergeordneten Incidents an, die manuell (durch Ausführen der Aktion „als untergeordneten Incident hinzufügen“) oder über die DLP-Konsolidierungsregeln erstellt wurden. Sie können die Verknüpfung des untergeordneten Incidents aufheben, indem Sie in dieser zugehörigen Liste „Verknüpfung des untergeordneten Incidents aufheben“ ausführen.
        • Geklonte Incidents : Zeigt die geklonten Incidents aus dem übergeordneten Incident an. Indem Sie auf klicken Incident klonen Aktion der Formularansicht können Sie einen neuen geklonten Incident erstellen.
        • Bewertungen Registerkarte: Zeigt die Liste der Bewertungen an, die dem DLP-Incident zugewiesen sind.
      4. Wählen Sie die Option aus, die für Sie geeignet ist.
        Option Beschreibung
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incident zuweisen zu : Option zum Zuweisen des Incident an einen Analyst, Endanwender oder eine andere Person.
        • Anwender : Option zum Auswählen, welchem Anwender der Incident zugewiesen werden soll.
        • Voranwenderantwort für Incident-Status : Option zum Auswählen des Status, in dem sich der Incident befinden soll, bevor der Anwender antwortet. Es kann auch ein anwenderdefinierter Status sein.
        • Bewertung anhängen : Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage : Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Anwenderantwort : Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Anwender geantwortet hat.
        Genehmigung abbrechen Aktion zum Abbrechen der Genehmigungsanforderung.

        Diese Aktion ist für Analysten in der Formularansicht nur sichtbar, wenn sich der DLP-Incident in befindet Genehmigung Ausstehend status. Verfügbare Optionen:

        • Incident zuweisen zu : Option, den Incident niemandem, einem Analysten oder einer anderen Person zuzuweisen.
        • Anwender : Option zum Auswählen, welchem Anwender der Incident zugewiesen werden soll.
        • Incident-Status nach Abbruch : Option zum Auswählen des Status, in dem sich der Incident nach dem Abbrechen der Anforderung befinden soll.
        • Kommentare : Zur Angabe zusätzlicher Details für die Stornierung.
        Bewertung zuweisen Aktion zum Anhängen einer Bewertung beim Zuweisen des Incident. Auswahlmöglichkeiten:
        • Bewertungsvorlage : Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
        • Incident-Status nach Anwenderantwort : Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Anwender geantwortet hat.
        Datei herunterladen Aktion zum Herunterladen der Datei oder E-Mail mit dem verstoßenden Inhalt. Diese Aktion kann für Incidents ausgeführt werden, die für Microsoft OneDrive, SharePoint Online oder Exchange Online erstellt wurden.
        Speichern Aktion zum Speichern aller von Ihnen vorgenommenen Änderungen. Sie haben die Möglichkeit, die Felder Schweregrad, Status und Endanwender des DLP-Incidents zu ändern und zu speichern.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option für die Reaktion auf Incidents auswählen. Wenn der Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann er die Option auswählen Datei Gelöscht Um eine manuelle Bestätigung zu übermitteln, dass die Datei gelöscht wurde, und Kommentare einzugeben.

        Hier können Sie auch die erweiterten Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern .
        Eskalation Aktion zur Eskalation des Incident. Sie können den Incident eskalieren, indem Sie den Anwender auswählen, an den Sie ihn eskalieren möchten. Sie können auch zusätzliche Informationen im Feld Kommentare anzeigen.
        Incident klonen Aktion zum Erstellen eines Klon-Incidents, wenn sich der Incident-Datensatz auf mehrere Anwender auswirkt. Sie können die geklonten Incidents mehreren Stakeholdern wie der Rechtsabteilung/IT zuweisen.

        Nachdem Sie einen Klon-Incident-Datensatz erstellt haben, einen neuen Geklonte Incidents Die Registerkarte wird unter dem übergeordneten DLP-Incident erstellt, und alle geklonten Incidents werden in dieser Ansicht aufgelistet.

        Hinweis:
        • Wenn der übergeordnete DLP-Incident-Datensatz geschlossen wird, werden alle geklonten Incident-Datensätze automatisch geschlossen.
        • Wenn ein DLP-Incident-Datensatz einen geklonten Incident enthält, kann er Endanwendern nicht zugewiesen werden. Die übergeordneten DLP-Incident-Datensätze können nur von Anwendern mit der Rolle „Analyst“ verwaltet werden.
        • Sie haben auch die Möglichkeit, den übergeordneten Status basierend auf dem Status der geklonten Incidents im Modul „Standardkonfiguration“ automatisch zu aktualisieren. Wenn beispielsweise alle geklonten Incidents in den Status „eskaliert“ verschoben werden, wird der übergeordnete Incident auch in den Status „eskaliert“ verschoben.
        Schließen Aktion zum Schließen des Incident. Sie müssen die entsprechende auswählen Abschlusscode Aus der Dropdown-Liste, und fügen Sie bei Bedarf Abschlusskommentare hinzu.
        Als falsch positiv schließen Aktion zum Schließen des Incident als falsch positiv. Sie können auch zusätzliche Kommentare hinzufügen, bevor Sie den Incident schließen.
        Abbildung : 2. DLP-Arbeitsbereich für Analysten
        DLP-Arbeitsbereich für Analysten: Registerkarte „Details“
    6. Sie können die Listenansicht auf der Homepage anzeigen, indem Sie oben links auf der Seite wechseln und auf klicken Listen Registerkarte.
      Die Kategorie Listen besteht aus den standardmäßigen und anwenderdefinierten Listenseiten für DLP-Incidents.
      • Listen Registerkarte : Standardlisten für DLP-Incidents. Im Folgenden finden Sie die Standardlisten:
        • Alle
        • Öffnen
        • Meine Incidents
        • Meiner Gruppe zugewiesen
        • Eskaliert
        • Überfällig
        • Ausstehende Bewertungen
        • Anwenderaktion ausstehend
        • Geklonte Incidents
        • Archivierte Incidents
      • Meine Listen Registerkarte : Zeigt alle Listen an, die Sie umbenannt haben, und alle von Ihnen erstellten Listen.
      Das folgende Beispiel zeigt den DLP-Arbeitsbereich mit den Listenansichtskategorien. Die Alle Listenansichtsoption ist ausgewählt.
      Abbildung : 3. Listenansicht des DLP-Analystenarbeitsbereichs
      Listenansicht des DLP-Analystenarbeitsbereichs

    Vorschau der Nachweisdateien anzeigen

    Vorschau Data Loss Prevention Incident Response Nachweisdateien im DLP-IR-Analyst-Arbeitsbereich.

    Vorbereitungen

    Wichtig:
    Bei der Verwendung der Aktion „Nachweisdateien“ im DLP-Analysten-Arbeitsbereich werden die Nachweisdateien vorübergehend in der ServiceNow-Datenbank in einem unverschlüsselten Format gespeichert. Wenn Sie die Nachweisdateien nicht speichern möchten, deaktivieren Sie die Vorschaufunktion für Nachweisdateien. Weitere Informationen finden Sie unter Erweiterte Einstellungen konfigurieren.

    Erforderliche Rolle: sn_dlir.Analyst

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
    2. Öffnen Sie einen DLP-Incident-Datensatz.
    3. Wählen Sie in der kontextbezogenen Sidebar das Symbol für Nachweisdateien ( Symbol für Nachweisdateien.).
    4. Auf der Nachweisdateien Wählen Sie die Registerkarte aus Nachweisdatei Karte zur Vorschau der Nachweisdateien im Dokument-Viewer.

      Die Vorschaufunktion unterscheidet sich für jeden Dateityp, wie in der folgenden Tabelle aufgeführt.

      Dateiformat Dateierweiterung
      Bild .Bmp, .gif, .ico, .JPEG, .jpg, .png, .svg und .webp.

      Bilddateien werden im Dokument-Viewer-Modus geöffnet.
      Microsoft Office-Dateien .Doc, .docx, .ppt, .pptx, .xls, und .xlsx

      Office-Dateien werden im Dokument-Viewer-Modus geöffnet.
      Textdateien .txt

      Textdateien werden im Texteditor-Modus geöffnet.
      E-Mail-Dateien .Eml
      Hinweis:
      Die Dateigröße muss weniger als 5 MB betragen. Sie müssen zuerst die Datei herunterladen, um eine Vorschau des Inhalts anzuzeigen.
      PDF-Dateien .PDF
      • Geben Sie ein Stichwort ein, um das Dokument zu durchsuchen.
      • Zoom- und Verkleinerungsfunktionen, um die Ansicht für eine bessere Lesbarkeit anzupassen.
      • Drehen Sie die Seite im Uhrzeigersinn oder gegen den Uhrzeigersinn, um den Inhalt klarer anzuzeigen.
      Hinweis:

      Binärdateien werden nicht gerendert und müssen heruntergeladen werden, um eine Vorschau ihres Inhalts anzuzeigen. Die Funktion „Vorschaunachweisdatei“ funktioniert auch für archivierte Incidents.

    Playbook für Data Loss Prevention Incident Response

    A Data Loss Prevention Incident Response Playbook ist eine Schritt-für-Schritt-Anleitung für die Behandlung und Minderung von Incidents mit Datenverlust, die nicht autorisierte Risiken, Leaks oder Verstöße gegen vertrauliche Informationen umfassen können, die die Sicherheit Ihrer Organisation gefährden können.

    Die folgende Abbildung zeigt die Beispiel-Playbooks, die für DLP IR verfügbar sind.

    Abbildung : 4. Beispiel-Playbooks für DLP-Incident Response
    Playbooks für DLP-Incident Response

    In der folgenden Tabelle sind die Aktivitäten und Phasen aufgeführt, die zum Erstellen eines DLP-Playbooks verfügbar sind. Weitere Informationen finden Sie unter Fügen Sie ein DLP-Playbook hinzu:

    Aktivität Beschreibung
    Erkennung Identifizieren und bestätigen Sie den nicht autorisierten Zugriff oder die Offenlegung vertraulicher Daten.
    Aufnahme Isolieren Sie betroffene Systeme oder Anwender, um weitere Datenverluste oder nicht autorisierten Zugriff zu verhindern.
    Ermittlung Untersuchen Sie den Verstoß, um zu verstehen, wie er aufgetreten ist, welche Daten betroffen waren und welche potenziellen Auswirkungen er hat.
    Benachrichtigung Benachrichtigen Sie interne Teams, externe Stakeholder und Aufsichtsbehörden gemäß den gesetzlichen oder richtlinienrechtlichen Anforderungen.
    Korrektur Wenden Sie Korrekturmaßnahmen an, um Schwachstellen zu beheben, Richtlinien zu aktualisieren und zukünftige Verstöße zu verhindern.
    Wiederherstellung Stellen Sie Systeme aus sicheren Sicherungen wieder her, und validieren Sie die Integrität der Daten nach dem Incident.
    Überprüfung Nach Incident Analysieren Sie den Incident, um Ursachen zu identifizieren, Sicherheitskontrollen zu verbessern und Richtlinien zu stärken.

    Die folgende Abbildung zeigt den Workflow von Aktivitäten und Phasen, die an der Erstellung des Playbooks für Verstöße gegen sensible Daten beteiligt sind. Playbook-Schritte variieren je nach Workflow.

    Abbildung : 5. Playbook-Design-Workflow
    Playbook-Design-Workflow

    Fügen Sie ein DLP-Playbook hinzu

    Fügen Sie ein Playbook in hinzu Data Loss Prevention Incident Response Arbeitsbereich für Analysten, der als Leitfaden für die Behandlung und Minderung von Incidents mit Datenverlust fungieren kann, die die Sicherheit Ihres Unternehmens gefährden können.

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.Analyst – fügen Sie Playbooks im DLP-Arbeitsbereich hinzu oder zeigen Sie sie an.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
    2. Öffnen Sie auf der Seite „DLP-Analysten-Arbeitsbereich – meine Incidents“ einen beliebigen DLP-Incident.
    3. Fügen Sie das Playbook hinzu.
      1. Navigieren Sie zu Playbooks Registerkarte.
      2. Wählen Sie im Menü „UI-Aktionen“ das Symbol „weitere Aktionen“ ( Symbol „weitere Aktionen“.) Und wählen Sie aus Fügen Sie Playbooks Hinzu .
      3. Wählen Sie im Dialogfeld ein Playbook aus dem Dropdown-Menü aus.
      4. Wählen Sie Aus Fügen Sie Playbooks Hinzu .
    4. Wählen Sie jede Spalte aus, um die Aufgaben zu erkunden, die dieses Playbook ausführt.
      Abbildung : 6. Beispiel für ein DLP-Playbook
      Fügen Sie ein DLP-Playbook hinzu.

    Brechen Sie ein DLP-Playbook ab

    Brechen Sie einen ab Data Loss Prevention Incident Response Playbook zum Anhalten eines Business-Flows, wenn er nicht mehr gültig ist.

    Vorbereitungen

    Hinweis:
    Playbooks werden automatisch abgebrochen, wenn der zugehörige DLP-Incident geschlossen wird.

    Erforderliche Rolle: sn_dlir.admin.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
    2. Öffnen Sie einen beliebigen DLP-Incident.
    3. Navigieren Sie zu Playbooks Registerkarte.
    4. Wählen Sie im Header des Playbooks, das Sie abbrechen möchten, das Symbol für Playbook-Aktionen ( Symbol für Playbook-Aktionen.) Und dann auswählen Playbook Abbrechen .
    5. Geben Sie einen Grund für den Abbruch des Playbooks an.
    6. Wählen Sie Aus Playbook Abbrechen .

    Ergebnisse

    Unter dem Playbook-Header wird ein Banner angezeigt, das bestätigt, dass das Playbook abgebrochen wurde.

    Zeigen Sie archivierte DLP-Incidents an

    Verwenden Sie den DLP-Analysten-Arbeitsbereich, um die archivierten DLP-Incidents anzuzeigen

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.Analyst: Bearbeiten und zeigen Sie DLP-Incidents an.
    • sn_dlir.Analyst_read und sn_dlir.read: Zeigen Sie DLP-Incidents an.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
      Standardmäßig wird der Abschnitt „meine Incidents“ angezeigt.
    2. Klicken Sie Auf Archivierte Incidents .
      Die Liste archivierter DLP-Incidents wird angezeigt.
    3. Klicken Sie Auf Incident-Anzahl Anzeigen Schaltfläche zum Anzeigen der Anzahl der archivierten Incidents.
      Hinweis:
      • Standardmäßig ist die Anzahl der archivierten Incidents ausgeblendet, um die Ladezeit der Liste zu verbessern. Sie müssen auf klicken Incident-Anzahl Anzeigen Schaltfläche zum Anzeigen der Incident-Anzahl. Außerdem wird eine Informationsnachricht angezeigt, die die Anzahl der Incidents anzeigt.
      • Die Systemeigenschaft glide.ui.list.seismic.omit.count ist im Basissystem für die archivierten Incidents aktiviert, um die Incident-Listenanzahl auszublenden.
    4. Wählen Sie einen oder mehrere DLP-Incidents aus, die Sie anzeigen möchten.
      Der DLP-Incident zeigt den Abschnitt „Incident-Details“ an.
      Hinweis:
      • Die Andere Incidents von Endanwendern Die Registerkarte enthält auch die archivierten Incidents.
      • Inhalt Abgleichen Wird für alle archivierten Incidents unterstützt (was auch in allen Integrationen unterstützt wird), aber Datei herunterladen Wird nur für Microsoft-Integrationen unterstützt.