Konfigurieren Sie Incident-Konsolidierungsregeln, um Ihre DLP-Incidents zu konsolidieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Konfigurieren Sie die Incident-Konsolidierungsregel, um mehrere Incidents ähnlicher Art unter einem übergeordneten Incident zu konsolidieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin – Erstellen, Bearbeiten und Löschen
    • sn_dlir.analyst und sn_dlir.analyst_read – Anzeigen (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Der DLP-Administrator definiert diese Incident-Konsolidierungsregeln, um DLP-Incidents gleicher Art automatisch unter einem übergeordneten Incident zu konsolidieren. Mit der Konsolidierungsregel für DLP-Incidents können Sie die DLP-Incidents basierend auf der für Konsolidierungsdauer und Konsolidierungsidentifizierung angegebenen Konfiguration konsolidieren.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > DLP-Incident-Konsolidierungsregeln.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „DLP-Zuweisungsregel“.
      Feld Beschreibung
      Name Name für die Incident-Konsolidierungsregel.
      Aktiv Option, um anzugeben, ob die Incident-Konsolidierungsregel aktiv ist.
      Ausführungsbefehl

      Die Priorität der Incident-Konsolidierungsregel. Dieses Feld gibt die Reihenfolge an, in der die Incident-Konsolidierungsregeln ausgeführt werden, wenn zwei oder mehr Regeln die Auslösebedingungen gemeinsam nutzen.

      Die Incident-Konsolidierungsregel mit der niedrigsten Nummer hat die höchste Priorität. Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300 usw.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für die Incident-Konsolidierungsregel.
      Bedingung Bedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Incident-Konsolidierungsregel zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER.
      • Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

      Sie können beispielsweise die Bedingungen für diese Incident-Konsolidierungsregel festlegen, indem Sie die Bedingung als Integration Source, enthält, Symantecauswählen.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Konsolidierungsdauer Option zum Festlegen der Dauer für die Incident-Konsolidierung.

      Incidents in diesem Zeitraum mit denselben Werten für die ausgewählten Felder werden unter dem ersten Incident konsolidiert. Der erste Incident, der dieser Regel entspricht, ist der übergeordnete Incident, die restlichen Incidents sind untergeordnete Incidents.
      Konsolidieren Sie Incidents nach Wählen Sie das DLP-Incident-Feld aus, um die Incidents zu konsolidieren, wenn im ausgewählten Feld für verschiedene Incidents derselbe Wert vorhanden ist.

      Wählen Sie mindestens ein Feld aus. Wählen Sie mindestens ein Feld aus.

      Das folgende Beispiel zeigt eine Incident-Konsolidierungsregel mit dem Namen Incidents für Symantec-Integration konsolidieren. Der Bedingungsgenerator erfordert die Integrationsquelle als Symantec. Die Option Bedingungsdauer ist auf 1 Stunde festgelegt, und die Option Richtlinienname ist für Incident konsolidieren nachausgewählt.

      Zum Zeitpunkt der Symantec DLP-Incident-Erfassung wird diese Regel ausgeführt. Wenn mehrere Incidents denselben Richtliniennamen haben, wird der Incident unter dem ersten erfassten Incident konsolidiert, der dieser Regel entspricht.

    4. Klicken Sie auf Absenden.
      Incidents, die basierend auf der Konsolidierungsregel konsolidiert wurden, sind in der Liste der untergeordneten Incidents im DLP-Analystenarbeitsbereich verfügbar.