Konfigurieren Sie Regeln zur Identifizierung von Wiederholungstätern

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Konfigurieren Sie die Identifizierungsregeln für Wiederholungstäter, um Benutzer zu identifizieren, die dasselbe Problem mehrmals wiederholen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin – Erstellen, Bearbeiten und Löschen.
    • sn_dlir.analyst und sn_dlir.analyst_read – Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Wiederholungstäter anhand bestimmter Regeln oder Kriterien identifizieren. Data Loss Prevention Incident Response stellt Felder bereit, mit denen Sie Wiederholungstäter identifizieren können.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Regeln zur Identifizierung von Wiederholungstätern.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Regeln zur Identifizierung von Wiederholungstätern“
      Feld Beschreibung
      Name Name der Regel zur Identifizierung von Wiederholungstätern.
      Ausführungsbefehl Priorität der Regeln zur Identifizierung von Wiederholungstätern. Dieses Feld gibt die Reihenfolge an, in der die Regeln zur Identifizierung von Wiederholungstätern ausgeführt werden, wenn zwei oder mehr Regeln die Auslösebedingungen gemeinsam nutzen.

      Die Regel zur Identifizierung von Wiederholungstätern mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200 oder eine andere Zahl. Der Standardwert ist 100.
      Kurzbeschreibung Eindeutige Beschreibung für diese Regel zur Identifizierung von Wiederholungstätern.
      Bedingung Bedingungen im Bedingungsgenerator, die auf der DLP-Incident-Tabelle basieren. Sie können eines der Incident-Felder auswählen, um die Auslöserbedingung für die Regel zur Identifizierung von Wiederholungstätern zu erstellen.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER:
      • Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      DLP-Felder Identifizieren Sie Wiederholungstäter basierend auf den erforderlichen DLP-Feldern. Klicken Sie auf das Schlosssymbol neben den DLP-Feldern, um die Liste der verfügbaren DLP-Felder anzuzeigen. Wählen Sie die DLP-Felder, die Sie verwenden möchten, aus der Spalte Verfügbar aus, und verschieben Sie sie in die Spalte Ausgewählt.

      Sie können beispielsweise die FelderDateiname und Dateibesitzer aus der Spalte Verfügbar auswählen und in die Spalte Ausgewählt verschieben. Anschließend können Sie die Wiederholungstäter anhand der Felder Dateiname und Dateibesitzer identifizieren.

      Wenn also ein Benutzer den Schwellenwert für Wiederholungstäter (Anzahl der Verstöße und Dauer) überschreitet und derselbe Benutzer mit den DLP-Feldern übereinstimmt, wird dieser bestimmte Benutzer als Wiederholungstäter identifiziert.
      Anzahl der Verstöße Definieren Sie den Schwellenwert für Wiederholungstäter. Nachdem der Benutzer dieselben Aktionen wiederholt und gegen die angegebene Anzahl von Verstößen verstoßen hat, wird der Benutzer als Wiederholungstäter identifiziert.
      Dauer (in Tagen) Definieren Sie den Schwellenwert für Wiederholungstäter in Tagen. Nachdem der Benutzer dieselben Aktionen wiederholt und die Schwellenwertdauer überschritten hat, wird der Benutzer als Wiederholungstäter identifiziert.
      Abbildung : 1. Identifizierung von Wiederholungstätern
      Konfigurieren Sie Regeln zur Identifizierung von Wiederholungstätern
    4. Klicken Sie auf Absenden.