Erstellen Sie Regeln zur Identifizierung von Wiederholungsvergehen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Erstellen Sie Identifizierungsregeln für Wiederholungsvergehen, um Benutzer zu identifizieren, die dasselbe Problem mehrmals wiederholen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, Bearbeiten und Löschen.
    • sn_dlir.analyst und sn_dlir.analyst_read: Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Wiederholungsfälle anhand bestimmter Regeln oder Kriterien identifizieren. Data Loss Prevention Incident Response stellt Felder bereit, mit denen Sie Wiederholungstäter identifizieren können.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Wiederholen Sie die Regeln zur Identifizierung von Straftäternan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Regeln zur Identifizierung von Wiederholungsvergehen“.
      Feld Beschreibung
      Name Name der Regel zur Identifizierung von Wiederholungsvergehen.
      Ausführungsreihenfolge Priorität der Regeln zur Identifizierung von Wiederholungsvergehen. Dieses Feld gibt die Reihenfolge an, in der die Regeln zur Identifizierung von Wiederholungsvergehen ausgeführt werden, wenn zwei oder mehr Regeln die Auslösebedingungen gemeinsam nutzen.

      Die Regel zur Identifizierung von Wiederholungsvergehen mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200 oder eine beliebige andere Zahl. Der Standardwert ist 100.
      Kurzbeschreibung Eindeutige Beschreibung für diese Regel zur Identifizierung von Wiederholungsvergehen.
      Bedingung Bedingungen im Bedingungsgenerator, die auf der DLP-Incident-Tabelle basieren. Sie können jedes der Incident-Felder auswählen, um die Auslöserbedingung für die Regel zur Identifizierung von Wiederholungsvergehen zu erstellen.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER:
      • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      DLP-Felder Identifizieren Sie Wiederholungstäter basierend auf den erforderlichen DLP-Feldern. Klicken Sie auf das Sperrsymbol neben den DLP-Feldern, um die Liste der verfügbaren DLP-Felder anzuzeigen. Wählen Sie die DLP-Felder, die Sie verwenden möchten, aus der Spalte Verfügbar aus, und verschieben Sie sie in die Spalte Ausgewählt.

      Sie können beispielsweise die FelderDateiname und Dateibesitzer aus der Spalte Verfügbar auswählen und in die Spalte Ausgewählt verschieben. Anschließend können Sie die Wiederholungstäter anhand der Felder Dateiname und Dateibesitzer identifizieren.

      Wenn also ein Anwender gegen den Schwellenwert für Wiederholungsvergehen (Anzahl der Verstöße und Dauer) verstößt und wenn derselbe Anwender mit den DLP-Feldern übereinstimmt, wird dieser bestimmte Anwender als Wiederholungsvergehender identifiziert.
      Anzahl der Verstöße Definieren Sie den Schwellenwert für Wiederholungsvergehen. Nachdem der Benutzer dieselben Aktionen wiederholt und gegen die angegebene Anzahl von Verstößen verstößt, wird der Benutzer als Wiederholungstäter identifiziert.
      Dauer (in Tagen) Definieren Sie den Schwellenwert für Wiederholungsvergehen in Tagen. Nachdem der Benutzer dieselben Aktionen wiederholt und gegen die Schwellenwertdauer verstößt, wird er als Wiederholungstäter identifiziert.
      Abbildung : 1. Identifizieren von Wiederholungstatern
      Konfigurieren Sie Regeln zur Identifizierung von Wiederholungstätern
    4. Klicken Sie auf Absenden.