Data Loss Prevention Incident Response Arbeitsbereich für Analysten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 9 Minuten Lesedauer

    • Verwenden Sie den Analyst Workspace Data Loss Prevention Incident Response (DLP IR), um die DLP-Incidents anzuzeigen. Weisen Sie die Incidents Endbenutzern zur Lösung usw. zu.

    Der DLP-Arbeitsbereich besteht aus einer Homepage mit Dashboards, Listenansichten und Formularansichten, mit denen Sie DLP-Incidents überwachen können.

    Abbildung : 1. Übersichtsseite des DLP-Arbeitsbereichs
    DLP-Arbeitsbereich – Seite „Übersicht“.

    Überprüfen und weisen Sie Ihre DLP-Incidents zu

    Greifen Sie auf den Analyst Workspace Data Loss Prevention Incident Response (DLP IR) zu, um die DLP-Incidents zu überprüfen und zuzuweisen oder zu lösen. Sie können Trends für Incidents nach Schweregrad, häufigsten Straftätern, Incidents nach Scan-Quelle und Incidents nach Richtlinie nachverfolgen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.analyst – DLP-Incidents bearbeiten und anzeigen.
    • sn_dlir.analyst_read und sn_dlir.read – DLP-Incidents anzeigen.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Analyst-Arbeitsbereich.
      Die Listenseite „Meine Incidents“ des DLP-Arbeitsbereichs wird auf einer neuen Registerkarte geöffnet.
    2. Klicken Sie auf das Homepage-Symbol des DLP-Arbeitsbereichs, um die Homepage-Ansicht des Arbeitsbereichs anzuzeigen.
    3. Überprüfen Sie die Dashboard-Widgets, um Trends nach Incidents nach Schweregrad, häufigsten Straftätern, Incidents nach Scan-Quelle und Incidents nach Richtlinie zu identifizieren.
    4. Klicken Sie auf der Homepage auf die entsprechenden Filter, um die Widgets nach ihren verschiedenen Kategorien anzuzeigen.
      Filter Beschreibung
      Offene Incidents Zeigen Sie alle offenen Incidents an.
      Überfällige kritische Incidents Zeigen Sie die Incidents an, die den Schweregrad „Kritisch“ aufweisen und überfällig sind.
      Incidents, die Endbenutzern zugewiesen sind Zeigen Sie die Incidents an, die Endbenutzern zugewiesen sind.
    5. Sie können die DLP-Incidents auf zwei Arten überprüfen und zuweisen:
      1. Die erste Möglichkeit besteht darin, einen oder mehrere DLP-Incidents zu suchen und auszuwählen, die Sie überprüfen möchten, und auf das Kontrollkästchen neben den Incidents zu klicken.
      2. Wählen Sie die für Sie geeignete Option aus.
        Option Beschreibung
        Liste neu laden Option zum Aktualisieren der Liste der DLP-Incidents, wenn Sie eine Aktualisierung vornehmen.
        Listenaktionen Liste der Aktionen, die Sie ausführen können. Die Auswahlmöglichkeiten lauten wie folgt:
        • Speichern unter
        • Spalten bearbeiten
        • Breiten zurücksetzen
        Hinweis:
        Wenn Sie eine eigene benutzerdefinierte Liste haben, die im Abschnitt „ Meine Listen “ für Ihren Arbeitsbereich erstellt wird, können Sie auch die folgenden zusätzlichen Listenaktionen ausführen:
        • Umbenennen
        • Speichern
        • Löschen
        URL kopieren für Alle Option zum Kopieren der URLs aller DLP-Incidents.
        Filterbereich anzeigen Option, um die erforderlichen Incidents mithilfe der Filteroption aufzuschlüsseln.
        1. Klicken Sie oben links auf der Seite auf den Filter und wählen Sie Erweiterte Ansicht aus.
        2. Verwenden Sie einen vorhandenen Filter, oder erstellen Sie einen eigenen, indem Sie Bedingungen hinzufügen, die ein Feld, einen Operator und Werte enthalten.
        3. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER:
          • Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
          • Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.
        4. Klicken Sie auf Aktualisieren.
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incidentzuweisen an: Option, um den Incident einem Analysten, Endbenutzer oder einer anderen Person zuzuweisen.
        • Benutzer: Option, um zu bestimmen, welchem Benutzer der Incident zugewiesen werden soll.
        • Incident-Status Vorbenutzerantwort: Option, um zu bestimmen, in welchem Status sich der Incident befinden soll, bevor der Benutzer antwortet. Es kann sich auch um einen benutzerdefinierten Status handeln.
        • Bewertunganhängen: Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage: Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Benutzerantwort Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Benutzer reagiert hat.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option zur Reaktion auf Incidents auswählen. Wenn ein Benutzer beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann der Benutzer die Option Gelöschte Datei wählen, um manuell zu bestätigen, dass die Datei gelöscht wurde, und Kommentare angeben.

        Hier können Sie auch erweiterte Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern.
        Eskalation Aktion zum Eskalieren des Incident. Sie können den Incident eskalieren, indem Sie den Benutzer auswählen, an den er eskaliert werden soll. Sie können auch zusätzliche Informationen im Feld Kommentare eingeben.
        Status aktualisieren Aktion zum Aktualisieren des Status des Incident. Sie können den Status des Incident aktualisieren, indem Sie einen der Status aus den Dropdown-Optionen auswählen. Es kann sich auch um einen benutzerdefinierten Status handeln.
        Schließen Aktion zum Schließen des Incident. Sie können auch zusätzliche Kommentare hinzufügen, bevor Sie den Incident schließen.
      3. Die zweite Möglichkeit besteht darin, auf einen bestimmten DLP-Incident zu klicken, um ihn zu öffnen.
        • Registerkarte „Details “: Zeigt die folgenden Abschnitte an:
          • Details: Sie können die Details des DLP-Incident anzeigen, z. B. Incident-Nummer, Schweregrad, Dateiname usw. Sie haben auch die Möglichkeit, die Felder Schweregrad, Status, Endbenutzer und DLP-Analystengruppe zu ändern und zu speichern.
          • Verfassen: Um Kommentare zum DLP-Incident hinzuzufügen, die für alle sichtbar sind, geben Sie die Kommentare auf der Registerkarte Kommentare ein. Um Kommentare hinzuzufügen, die für bestimmte Personen sichtbar sind, geben Sie die Kommentare auf der Registerkarte Arbeitsnotizen (privat) ein.
          • Aktivität: Sie können die Details der verschiedenen Aktivitäten im DLP-Incident anzeigen.
          • Anhänge: Wenn Sie Anhänge im Zusammenhang mit dem DLP-Incident haben, klicken Sie auf Durchsuchen, und wählen Sie den Anhang auf Ihrem lokalen Laufwerk aus.
        • RegisterkarteZusätzliche Details : Zeigt alle zusätzlichen Informationen zum DLP-Incident an, einschließlich benutzerdefinierter Felder.
          Wichtig:
          • Benutzerdefinierte Felder für DLP-Incidents werden nur ab der Version San Diego unterstützt.
          • Sie können die Registerkarte Zusätzliche Details verwenden, um festzustellen, ob benutzerdefinierte Felder für einen bestimmten DLP-Incident erstellt wurden.
        • RegisterkarteBenutzerdefinierte Attribute : Zeigt die Liste der benutzerdefinierten Attribute an, die sich auf den DLP-Incident beziehen.
        • Andere Incidents vom Endbenutzer: Zeigt den Incident desselben Endbenutzers an. Sie können Incidents konsolidieren, indem Sie die Aktion Als untergeordneten Incident hinzufügen aus dieser zugehörigen Liste ausführen.
        • Typder erkannten vertraulichen Informationen: Zeigt die erkannten vertraulichen Informationen des Incident an.
          Hinweis:
          Diese zugehörige Liste ist nur für die DLP-Incidents sichtbar, die für Microsoft- oder Symantec-Integrationen erstellt wurden. Im Incident-Datensatz von Microsoft oder Symantec wird immer dann, wenn der Benutzer auf den Datensatz des erkannten vertraulichen Informationstyps zugreift, der hervorgehobene Übereinstimmungsinhalt in Bezug auf diese Integration angezeigt.
        • Untergeordnete Incidents: Zeigt die untergeordneten Incidents an, die manuell (durch Ausführen der Aktion „Als untergeordneten Incident hinzufügen“ ) oder aus den DLP-Konsolidierungsregeln erstellt wurden. Sie können die Verknüpfung des Nachfolge-Incident aufheben, indem Sie in dieser zugehörigen Liste „Verknüpfung des Nachfolge-Incident aufheben“ ausführen.
        • Geklonte Incidents: Zeigt die geklonten Incidents aus dem übergeordneten Incident an. Durch Klicken auf die Aktion Incident klonen der Formularansicht können Sie einen neuen geklonten Incident erstellen.
        • Registerkarte „Bewertungen “: Zeigt die Liste der Bewertungen an, die dem DLP-Incident zugewiesen sind.
      4. Wählen Sie die für Sie geeignete Option aus.
        Option Beschreibung
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incidentzuweisen an: Option, um den Incident einem Analysten, Endbenutzer oder einer anderen Person zuzuweisen.
        • Benutzer: Option zum Auswählen des Benutzers, dem der Incident zugewiesen werden soll.
        • Incident-Status Vorbenutzerantwort: Option zum Auswählen des Status, in dem sich der Incident befinden soll, bevor der Benutzer antwortet. Es kann sich auch um einen benutzerdefinierten Status handeln.
        • Bewertunganhängen: Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage: Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Benutzerantwort: Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Benutzer geantwortet hat.
        Genehmigung abbrechen Aktion zum Abbrechen der Genehmigungsanforderung.

        Diese Aktion ist für Analysten in der Formularansicht nur sichtbar, wenn sich der DLP-Incident im Status „Genehmigung ausstehend “ befindet. Verfügbare Optionen:

        • Incidentzuweisen an: Option, um den Incident niemandem, einem Analysten oder einer anderen Person zuzuweisen.
        • Benutzer: Option zum Auswählen des Benutzers, dem der Incident zugewiesen werden soll.
        • Incident-Statusnach Abbruch: Option zum Auswählen des Status, in dem sich der Incident nach Abbruch der Anforderung befinden soll.
        • Kommentare: Zur Bereitstellung zusätzlicher Details für die Stornierung.
        Bewertung zuweisen Aktion zum Anfügen einer Bewertung bei der Zuweisung des Incident. Auswahlmöglichkeiten:
        • Bewertungsvorlage: Option zum Auswählen einer Bewertungsvorlage für den DLP-Incident.
        • Incident-Status nach Benutzerantwort: Option zum Auswählen des Status, in dem sich der DLP-Incident befinden soll, nachdem der Benutzer geantwortet hat.
        Datei herunterladen Aktion zum Herunterladen der Datei oder E-Mail mit dem Verstoßinhalt. Diese Aktion kann für Incidents ausgeführt werden, die für Microsoft OneDrive, SharePoint Online oder Exchange Online erstellt wurden.
        Speichern Aktion zum Speichern der von Ihnen vorgenommenen Änderungen. Sie haben die Möglichkeit, die Felder Schweregrad, Status und Endbenutzer des DLP-Incident zu ändern und zu speichern.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option zur Reaktion auf Incidents auswählen. Wenn ein Benutzer beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann der Benutzer die Option Gelöschte Datei wählen, um manuell zu bestätigen, dass die Datei gelöscht wurde, und Kommentare angeben.

        Hier können Sie auch die erweiterten Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern.
        Eskalation Aktion zum Eskalieren des Incident. Sie können den Incident eskalieren, indem Sie den Benutzer auswählen, an den er eskaliert werden soll. Sie können auch zusätzliche Informationen im Feld Kommentare eingeben.
        Klonen Sie den Incident Aktion zum Erstellen eines Klon-Incident, wenn der Incident-Datensatz mehrere Benutzer betrifft. Sie können die geklonten Incidents mehreren Stakeholdern zuweisen, z. B. Rechtsabteilung/IT.

        Nachdem Sie einen geklonten Incident-Datensatz erstellt haben, wird unter dem übergeordneten DLP-Incident eine neue Registerkarte „ Geklonte Incidents “ erstellt, und alle geklonten Incidents werden in dieser Ansicht aufgelistet.

        Hinweis:
        • Wenn der übergeordnete DLP-Incident-Datensatz geschlossen wird, werden alle geklonten Incident-Datensätze automatisch geschlossen.
        • Wenn ein DLP-Incident-Datensatz einen geklonten Incident enthält, kann dieser nicht Endbenutzern zugewiesen werden. Die übergeordneten DLP-Incident-Datensätze können nur von Benutzern mit der Rolle „Analyst“ verwaltet werden.
        • Sie haben auch die Möglichkeit, den übergeordneten Status basierend auf dem Status der geklonten Incidents im Modul „Standardkonfiguration“ automatisch zu aktualisieren. Wenn beispielsweise alle geklonten Incidents in den Status „Eskaliert“ verschoben werden, wird auch der übergeordnete Incident in den Status „Eskaliert“ verschoben.
        Schließen Aktion zum Schließen des Incident. Sie können auch zusätzliche Kommentare hinzufügen, bevor Sie den Incident schließen.
        Als falsch positiv schließen Aktion, um den Incident als falsch positiv zu schließen. Sie können auch zusätzliche Kommentare hinzufügen, bevor Sie den Incident schließen.
        Abbildung : 2. DLP-Analyst-Arbeitsbereich
        Detailansicht des DLP-Analystenarbeitsbereichs
    6. Sie können die Listenansicht auf der Homepage anzeigen, indem Sie oben links auf der Seite auf die Registerkarte Listen klicken.
      Die Kategorie „Listen“ besteht aus den standardmäßigen und benutzerdefinierten Listenseiten für DLP-Incidents.
      • Registerkarte „ Listen: Standardlisten für DLP-Incidents. Im Folgenden sind die Standardlisten aufgeführt:
        • Alle
        • Offen
        • Meine Incidents
        • Meiner Gruppe zugewiesen
        • Eskaliert
        • Überfällig
        • Ausstehende Bewertungen
        • Anwenderaktion ausstehend
        • Geklonte Incidents
        • Archivierte Incidents
      • Registerkarte Meine Listen: Zeigt alle Listen an, die Sie umbenannt haben, und alle Listen, die Sie erstellt haben.
      Das folgende Beispiel zeigt den DLP-Arbeitsbereich mit den Listenansichtskategorien. Die Option Alle Listenansicht ist ausgewählt.
      Abbildung : 3. DLP Analyst Workspace Listenansicht
      DLP Analyst Workspace Listenansicht

    Zeigen Sie archivierte DLP-Incidents an

    Verwenden Sie den DLP-Analysten-Arbeitsbereich, um die archivierten DLP-Incidents anzuzeigen

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.analyst – DLP-Incidents bearbeiten und anzeigen.
    • sn_dlir.analyst_read und sn_dlir.read – DLP-Incidents anzeigen.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Analyst-Arbeitsbereich.
      Standardmäßig wird der Abschnitt Meine Incidents angezeigt.
    2. Klicken Sie auf Archivierte Incidents.
      Die Liste der archivierten DLP-Incidents wird angezeigt.
    3. Klicken Sie auf die Schaltfläche Incident -Anzahl anzeigen, um die Anzahl der archivierten Incidents anzuzeigen.
      Hinweis:
      • Standardmäßig ist die Anzahl der archivierten Incidents ausgeblendet, um die Ladezeit der Liste zu verbessern. Sie müssen auf die Schaltfläche Incident-Anzahl anzeigen klicken, um die Anzahl der Incidents anzuzeigen. Außerdem wird eine Informationsmeldung mit der Anzahl der Incidents angezeigt.
      • Die Systemeigenschaft glide.ui.list.seismic.omit.count ist im Basissystem für die archivierten Incidents aktiviert, um die Anzahl der Incidents-Listen auszublenden.
    4. Wählen Sie einen oder mehrere DLP-Incidents aus, die Sie anzeigen möchten.
      Der DLP-Incident zeigt den Abschnitt mit Incident-Details an.
      Hinweis:
      • Die Registerkarte Andere Incidents von Endbenutzern enthält auch die archivierten Incidents.
      • „Inhalt abgleichen “ wird für alle archivierten Incidents unterstützt (was auch in allen Integrationen unterstützt wird), „Datei herunterladen“ wird jedoch nur für Microsoft-Integrationen unterstützt.