応答期日ルールの作成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • 応答期日ルールを設定して、アサインされた Data Loss Prevention Incident Response (DLP IR) インシデントに対してエンドユーザーに応答してもらいたい時間を決定します。

    始める前に

    必要なロール:
    • sn_dlir.admin - 作成、編集、および削除
    • sn_dlir.analyst および sn_dlir.analyst_read - 表示 (読み取り専用)。

    このタスクについて

    このモジュールを使用して、さまざまなタイプの DLP インシデントの応答期日ルールと、期日のカウントを開始するルールを定義できます。期日が経過すると、ユーザーは期限切れのインシデントについて通知されます。期限切れのインシデントを次のいずれかにエスカレートするオプションもあります。
    • マネージャー
    • インシデントからのカスタムユーザー
    • ユーザーグループ

    たとえば、期限切れのインシデントをマネージャーにエスカレートし、最大 3 つのレベルのエスカレーションを指定した場合です。第 1 レベルのマネージャーが最初に通知されます。インシデントが再び期限切れになった場合は、第 2 レベルのマネージャーに通知され、インシデントが引き続き期限切れの場合は第 3 レベルのマネージャーに通知されます。マネージャーに代理人がいる場合、マネージャーはエスカレーションまたは期限切れのインシデントを代理人にアサインすることができます。

    複数の応答期日ルールを作成することもできます

    手順

    1. 次のように移動する。 All (すべて) > DLP 管理 > 応答期日ルール.
    2. [New] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. [応答期日ルール] フォーム
      フィールド 説明
      名前 応答期日ルールの名前。
      アクティブ 応答期日ルールがアクティブかどうかを示すオプション。
      期限 (日数) 期限の日数。
      期日がカウントされた起点 期日の計算に使用する開始日。期日は、ユーザーがインシデントについて最初に通知を受けた日、またはインシデントのアサイン日から計算できます。
      期日前に通知 期日前に DLP インシデントについてエンドユーザーに通知するオプション。
      通知日 (期日までの日数) ルールによってエンドユーザーへの通知がトリガーされる日から期日までの日数。
      説明 この応答期日ルールの固有の説明。
      条件 条件ビルダーの条件。ここの条件は DLP インシデントテーブルに基づいて決まります。応答期日ルールの条件を作成するには、いずれかのインシデントフィールドを選択します。

      条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。

      条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。

      2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

      注:
      条件ビルダーの条件では大文字と小文字が区別されます。
      エスカレート 応答期日を過ぎた場合に DLP インシデントを誰かにエスカレーションするオプション。詳細については、「DLP インシデントにアクセスする複数ユーザーの追加」を参照してください。
      期限切れインシデントのエスカレーション先 インシデントをマネージャー、カスタムユーザー、ユーザーグループのうちの誰にエスカレーションするかを指定するオプション。

      このフィールドは、[エスカレーション] オプションが有効になっている場合にのみ表示されます。
      次を使用してアサイン マネージャーの識別方法を指定します。

      このフィールドは、[期限切れインシデントのエスカレーション先] フィールドで [マネージャー] が選択されている場合にのみ表示されます。
      最大エスカレーションレベル マネージャーおよびカスタムユーザーが設定できるエスカレーションレベルの最大数を定義するオプション。

      マネージャーまたはカスタムユーザーは、任意の数のエスカレーションレベルを定義できます。デフォルトでは、3 つのレベルのエスカレーションが提供されています。

      • マネージャーは、このフィールドの値を更新することで、任意の数のエスカレーションレベルを定義できます。
      • カスタムユーザーは、[+] アイコンを使用して、任意の数のエスカレーションレベルを定義できます。
      カスタム属性 ユーザーへの参照があるインシデントからカスタム属性を指定するオプション。

      このフィールドは、[期限切れインシデントのエスカレーション先] フィールドで [インシデントからのカスタムユーザー] が選択されている場合にのみ表示されます。
      ユーザーグループ DLP インシデントのエスカレーション先のユーザーグループを検索して選択するオプション。

      このフィールドは、[期限切れインシデントのエスカレーション先] フィールドで [ユーザーグループ] が選択されている場合にのみ表示されます。

      注:
      表示および選択できるのは、sn_dlir.analyst ロールがアサインされているグループのみです。
      次の例では、アサインされた Data Loss Prevention Incident Response (DLP) インシデントに対してエンドユーザーに応答してもらいたい時間を決定する応答期日を示します。エンドユーザーへの最初の通知後の応答期日は 2 日後です。条件ビルダーでは、応答期日の作成を続行するには、スキャンソースがエンドポイントファイルシステムと一致する必要があることが示されています。エスカレーションのオプションが選択されています。応答期日を過ぎると、インシデントがマネージャーにエスカレーションされます。
      図 : 1. 応答期日ルールの設定
      [応答期日ルール] リストビュー
    4. [送信] をクリックします。