상습 위반자 식별 규칙 구성
반복 위반자 식별 규칙을 구성하여 같은 문제를 여러 번 반복하는 사용자를 식별합니다.
시작하기 전에
필요한 역할:
- sn_dlir.admin - 생성, 편집 및 삭제합니다.
- sn_dlir.analyst 및 sn_dlir.analyst_read - 보기(읽기 전용)입니다.
이 태스크 정보
특정 규칙이나 기준을 사용하여 상습 위반자를 식별할 수 있습니다. Data Loss Prevention Incident Response 는 반복 위반자를 식별하는 데 사용할 수 있는 필드를 제공합니다.
프로시저
-
양식의 필드에 내용을 입력합니다.
표 1. 상습 위반자 식별 규칙 양식 필드 설명 이름 상습 위반자 식별 규칙의 이름입니다. 실행 순서 상습 위반자 식별 규칙의 우선순위입니다. 이 필드는 두 개 이상의 규칙이 트리거 조건을 공유할 때 반복 위반자 식별 규칙이 실행되는 순서를 나타냅니다. 번호가 가장 낮은 반복 위반자 식별 규칙의 우선순위가 가장 높습니다.
작업 순서를 설정하려면 값을 입력합니다. 예를 들어 100, 200 또는 기타 숫자입니다. 기본값은 100입니다.
간단한 설명 이 반복 위반자 식별 규칙에 대한 고유한 설명입니다. 조건 DLP 인시던트 테이블을 기반으로 하는 조건 작성기의 조건입니다. 인시던트 필드를 선택하여 상습 위반자 식별 규칙의 트리거 조건을 작성할 수 있습니다. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
조건을 더 추가하려면 AND 또는 OR를 클릭합니다.- AND를 선택하면 모든 조건이 일치해야 합니다.
- OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.
두 번째 필터 조건을 설정하려면 [새 기준]을 클릭합니다.
주:조건 작성기의 조건은 대/소문자를 구분합니다.DLP 필드 필수 DLP 필드를 기반으로 반복 위반자를 식별합니다. DLP 필드 옆에 있는 
아이콘을 클릭하여 사용 가능한 DLP 필드 목록을 봅니다. 사용 가능 열에서 사용할 DLP 필드를 선택하고 선택됨 열로 이동합니다.예를 들어, 사용 가능 열에서파일 이름 및 파일 소유자 필드를 선택하고 선택됨 열로 이동할 수 있습니다. 그런 다음 파일 이름 및 파일 소유자 필드를 기반으로 반복 위반자를 식별할 수 있습니다.
따라서 사용자가 상습 위반자 기준(위반 횟수 및 기간)을 위반하고 동일한 사용자가 DLP 필드와 일치하는 경우 해당 특정 사용자는 상습 위반자로 식별됩니다.
위반 건수 상습 위반자 임계치 제한 값을 정의합니다. 사용자가 동일한 작업을 반복하고 지정된 위반 횟수를 위반하면 해당 사용자는 상습 위반자로 식별됩니다. 기간(일) 반복 위반자 임계치 한도를 일 형식으로 정의합니다. 사용자가 동일한 작업을 반복하고 임계치 기간을 위반하면 해당 사용자는 상습 위반자로 식별됩니다. 그림 1. 상습 위반자 식별