Definieren Sie Filter, die für die Incident-Erstellung angewendet werden sollen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Definieren und legen Sie Filterbedingungen fest, um die eingehenden Microsoft DLP- Ereignisse zu filtern. Steuern Sie, als welche dieser Ereignisse erstellt werden sollen DLP IR Incidents auf Ihrem ServiceNow Instanz.

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.admin(Erstellen, bearbeiten und löschen)

    sn_dlir.Analyst – Ansicht (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Art der Filterung hilft Ihnen, Microsoft DLP- Ereignisse zu isolieren, um die Anzahl von zu beschränken DLP IR Incidents, die Sie erstellen. Wenn die Filterkriterien festgelegt sind, werden nur Ereignisse, die den Bedingungen entsprechen, als DLP-Incidents erstellt.

    Prozedur

    1. Wählen Sie aus Filtern Sie basierend auf Bedingungen Option.
    2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators die Filter in fest Filterbedingungen Feld.

      Definieren Sie die Kriterien, die eingehend sind Microsoft DLP-Ereignis muss erfüllen, damit ein DLP-Incident erstellt wird.

      Die Optionen im ersten Feld in Filterbedingungen Stimmen Sie die Felder ab, die im Microsoft DLP-Ereignis verfügbar sind. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden. Überprüfen Sie, ob die von Ihnen definierten Kriterien mit den Werten des Ereignisses übereinstimmen.

      Definieren Sie Filter, die für die Incident-Erstellung angewendet werden sollen.
    3. Fügen Sie weitere Bedingungen hinzu, indem Sie auf klicken  UND  Oder  ODER .
      • Wenn  UND  Ist ausgewählt, müssen alle Bedingungen erfüllt sein.
      • Wenn  ODER  Ist ausgewählt, kann eine der Bedingungen erfüllt werden.
    4. Klicken Sie Auf Fahren Sie Fort Und wechseln Sie zum Abschnitt „Inhaltskonfiguration abgleichen“.
      Zuvor wurde „UserID“ nur dem Feld „Quellanwender“ zugeordnet, das Feld „UserID“ ist jedoch derzeit als Suchattribut für alle Purview-Ereignisse verfügbar, einschließlich Endpunktereignisse.