Definieren Sie Filter, die auf die Incident-Erstellung angewendet werden sollen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Definieren und legen Sie Filterbedingungen fest, um die eingehenden Microsoft DLP-Events zu filtern. Legen Sie fest, welche dieser Ereignisse als DLP IR Incidents in Ihrer Instanz ServiceNow erstellt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.admin (Erstellen, Bearbeiten und Löschen)

    sn_dlir.analyst – Anzeigen (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Mit dieser Art der Filterung können Sie Microsoft DLP-Ereignisse isolieren, um die Anzahl der von Ihnen erstellten DLP IR Incidents zu begrenzen. Wenn die Filterkriterien festgelegt sind, werden nur Events, die den Bedingungen entsprechen, als DLP-Incidents erstellt.

    Prozedur

    1. Wählen Sie die Option Anhand von Bedingungen filtern aus.
    2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators die Filter im Feld Filterbedingungen fest.

      Definieren Sie die Kriterien, die ein eingehendes Microsoft DLP-Event erfüllen muss, damit ein DLP-Incident erstellt wird.

      Die Optionen im ersten Feld in den Filterbedingungen stimmen mit den Feldern überein, die im Microsoft DLP-Ereignis verfügbar sind. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden. Vergewissern Sie sich, dass die von Ihnen definierten Kriterien mit den Werten des Events übereinstimmen.

      Definieren Sie Filter, die auf die Incident-Erstellung angewendet werden sollen.
    3. Fügen Sie weitere Bedingungen hinzu, indem Sie auf UNDoder ODERklicken.
      • Wenn UNDausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ORausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.
    4. Klicken Sie auf Fortsetzen, und wechseln Sie zum Abschnitt „Konfiguration des Inhalts abgleichen“.