Définir les filtres à appliquer à la création de l’incident

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Définissez et définissez des conditions de filtre pour filtrer les événements DLP Microsoft entrants. Contrôlez lesquels de ces événements doivent être créés en tant qu’incidents DLP IR sur votre ServiceNow instance.

    Avant de commencer

    Rôle requis : sn_dlir.admin (créer, modifier et supprimer)

    sn_dlir.analyst : afficher (lecture seule)

    Pourquoi et quand exécuter cette tâche

    Ce type de filtrage vous permet d’isoler les événements DLP Microsoft afin de limiter le nombre d’incidents DLP IR que vous créez. Si les critères de filtrage sont définis, seuls les événements qui correspondent aux conditions sont créés en tant qu’incidents DLP.

    Procédure

    1. Sélectionnez l’option Filtre basé sur les conditions .
    2. À l’aide des listes et des champs du créateur de condition, définissez les filtres dans le champ Conditions de filtre .

      Définissez les critères qu’un événement DLP entrant Microsoft doit satisfaire pour qu’un incident DLP soit créé.

      Les options du premier champ des conditions de filtre correspondent aux champs disponibles dans l’événement DLP Microsoft. Les critères que vous saisissez sont sensibles à la casse. Vérifiez que les critères que vous définissez correspondent aux valeurs de l’événement.

      Définissez les filtres à appliquer à la création de l’incident.
    3. Ajoutez d’autres conditions en cliquant sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être remplies.
      • Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.
    4. Cliquez sur Continuer et accédez à la section Configuration du contenu de la correspondance.