Erstellen Sie Suchregeln für Endanwender
Sie können Suchregeln für Endanwender erstellen und konfigurieren und die DLP-Incidents basierend auf diesen Regeln den entsprechenden Endanwendern zuweisen.
Vorbereitungen
- sn_dlir.admin: Erstellen, Bearbeiten und Löschen.
- sn_dlir.analyst und sn_dlir.analyst_read: Ansicht (schreibgeschützt).
Warum und wann dieser Vorgang ausgeführt wird
Der DLP-Administrator definiert diese Suchregeln für Endanwender, um die Endanwender automatisch DLP-Incidents zuzuweisen, indem nur das Feld „Endanwender“ verwendet wird. Mit der DLP-Endanwender-Suchregel können Sie den Endanwender für DLP-Incidents basierend auf dem Endanwender-Identifier, anwenderdefinierten Attributen oder dem Skript zuweisen.
Prozedur
-
Füllen Sie die Felder des Formulars aus.
Tabelle : 1. Formular „DLP-Endanwender-Suchregel“. Feld Beschreibung Name Name für die Endanwender-Suchregel. Aktiv Option, um anzugeben, ob die Endanwender-Suchregel aktiv ist. Ausführungsreihenfolge Die Priorität der Endanwender-Suchregel. Dieses Feld gibt die Reihenfolge an, in der die Endanwender-Suchregeln ausgeführt werden, wenn zwei oder mehr Regeln die Auslösebedingungen gemeinsam nutzen. Die Endanwender-Suchregel mit der niedrigsten Nummer hat die höchste Priorität. Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300 usw.
Der Standardwert ist 100.
Beschreibung Eindeutige Beschreibung für die Endanwender-Suchregel. Bedingung Bedingungen im Bedingungsgenerator Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Endanwender-Suchregel zu erstellen, wählen Sie eines der Incident-Felder aus. Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.
Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER.- Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
- Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.
Sie können beispielsweise die Bedingungen für diese Endanwender-Suchregel festlegen, indem Sie die Bedingung Integrationsquelle, enthält, Symantecauswählen.
Hinweis:Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.Endanwender suchen mithilfe von Option zur Suche nach Endanwendern mithilfe des Incident-Felds oder Skripts Bezeichner des Endanwenders Der Endanwenderbezeichner des DLP-Incidents. Dieses Feld wird angezeigt, wenn das Feld Incident im Feld „ Endanwender suchen mithilfe von “ ausgewählt wird. Sie können einen der folgenden Endanwender-Bezeichner auswählen: - E-Mail des Datenbesitzers
- Ziel
- Datei erstellt von
- Datei geändert von
- Dateibesitzer
- FTP-Anwendername
- AbsenderHinweis:Die oben aufgeführten Endanwender-Bezeichner können mit der Systemeigenschaft
sn_dlir.assignment.fieldskonfiguriert werden. Weitere Informationen finden Sie unter Erweiterte Einstellungen konfigurieren. - Benutzerdefinierter Benutzer aus Incident
Anwenderdefiniertes Attribut Option zum Angeben eines anwenderdefinierten Attributs aus dem Incident, das den Verweis auf einen Benutzer enthält. Dieses Feld wird nur angezeigt, wenn im Feld Endanwender-Bezeichnerdie Option ausgewählt ist. Skript Sie können den Skript-Editor verwenden, um die Feldwerte während der Erstellung der Endanwender-Suchregel anzupassen und zu formatieren. Sie können beispielsweise das E-Mail-Adressfeld verwenden, um den Endanwender zu identifizieren. Das folgende Beispiel zeigt eine Endanwender-Suchregel mit dem Namen „Symantec“. Der Bedingungsgenerator erfordert, dass die „Integrationsquelle“ als „Symantec“ angegeben wird. Die Option „ Endanwender suchen mithilfe “ ist auf „Incident-Feld“ und die Option „Endanwender- Identifier “ auf „Datei geändert von“ festgelegt.Abbildung : 1. DLP-Endanwender-Suchregel