Definieren Sie Filter, die auf die Incident-Erstellung angewendet werden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Definieren und legen Sie Filterbedingungen fest, um die eingehenden Microsoft-DLP-Ereignisse zu filtern. Steuern Sie, welche dieser Ereignisse als DLP IR Incidents in Ihrer Instanz von ServiceNow erstellt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.admin (Erstellen, Bearbeiten und Löschen)

    sn_dlir.analyst – Ansicht (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Mit dieser Art der Filterung können Sie Microsoft-DLP-Ereignisse isolieren, um die Anzahl der von Ihnen erstellten DLP IR Incidents zu begrenzen. Wenn die Filterkriterien festgelegt sind, werden nur Ereignisse, die den Bedingungen entsprechen, als DLP-Incidents erstellt.

    Prozedur

    1. Wählen Sie die Option Basierend auf Bedingungen filtern aus.
    2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators die Filter im Feld Filterbedingungen fest.

      Definieren Sie die Kriterien, die ein eingehendes Microsoft DLP-Ereignis erfüllen muss, damit ein DLP-Incident erstellt wird.

      Die Optionen im ersten Feld der Filterbedingungen entsprechen den Feldern, die im Microsoft DLP-Ereignis verfügbar sind. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden. Vergewissern Sie sich, dass die von Ihnen definierten Kriterien mit den Werten des Ereignisses übereinstimmen.

      Definieren Sie Filter, die auf die Incident-Erstellung angewendet werden.
    3. Fügen Sie weitere Bedingungen hinzu, indem Sie auf ANDoder ORklicken.
      • Wenn ANDausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODERausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
    4. Klicken Sie auf „ Fortsetzen “, und wechseln Sie zum Abschnitt „Inhaltskonfiguration abgleichen“.