Data Loss Prevention Incident Response Arbeitsbereich für Analysten

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 10 Minuten Lesedauer

    • Verwenden Sie den Analystenarbeitsbereich Data Loss Prevention Incident Response (DLP IR), um die DLP-Incidents anzuzeigen. Weisen Sie Endanwendern Incidents zur Lösung und weiteren Aufgaben zu.

    Der DLP-Arbeitsbereich besteht aus einer Homepage mit Dashboards, Listenansichten und Formularansichten, mit denen Sie DLP-Incidents überwachen können.

    Abbildung : 1. Übersichtsseite des DLP-Arbeitsbereichs
    Seite „Übersicht über DLP-Arbeitsbereich“.

    Überprüfen Sie Ihre DLP-Incidents, und weisen Sie sie zu

    Greifen Sie auf den Analystenarbeitsbereich Data Loss Prevention Incident Response (DLP IR) zu, um die DLP-Incidents zu überprüfen und sie zuzuweisen oder zu lösen. Sie können Trends für Incidents nach Schweregrad, Top-Angreifer, Incidents nach Scan-Quelle und Incidents nach Richtlinie verfolgen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.analyst: DLP-Incidents bearbeiten und anzeigen
    • sn_dlir.analyst_read und sn_dlir.read: DLP-Incidents anzeigen.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
      Die Listenseite „DLP-Arbeitsbereich – Meine Incidents-Vorgänge“ wird in einer neuen Registerkarte geöffnet.
    2. Klicken Sie auf das Symbol für die Startseite des DLP-Arbeitsbereichs, um die Homepage-Ansicht des Arbeitsbereichs anzuzeigen.
    3. Überprüfen Sie die Dashboard-Widgets, um Trends nach Incidents nach Schweregrad, Top-Angreifer, Incidents nach Scan-Quelle und Incidents nach Richtlinie zu identifizieren.
    4. Klicken Sie auf die entsprechenden Filter auf der -Homepage, um die Widgets nach ihren verschiedenen Kategorien anzuzeigen.
      Filter Beschreibung
      Offene Incidents Alle offenen Incidents anzeigen
      Überfällige kritische Incidents Zeigen Sie die Incidents mit dem Schweregrad „Kritisch“ an, die überfällig sind.
      Incidents, die Endanwendern zugewiesen sind Zeigen Sie die Incidents an, die Endanwendern zugewiesen sind.
    5. Sie können die DLP-Incidents auf zwei Arten überprüfen und zuweisen:
      1. Die erste Möglichkeit besteht darin, einen oder mehrere DLP-Incidents zu suchen und auszuwählen, die Sie überprüfen möchten, und auf das Kontrollkästchen neben den Incidents zu klicken.
      2. Wählen Sie die für Sie geeignete Option aus.
        Option Beschreibung
        Liste neu laden Mit dieser Option können Sie die Liste der DLP-Incidents aktualisieren, wenn Sie eine Aktualisierung vornehmen.
        Listenaktionen Liste der Aktionen, die Sie ausführen können. Die Auswahlmöglichkeiten lauten wie folgt:
        • Speichern unter
        • Spalten bearbeiten
        • Breiten zurücksetzen
        Hinweis:
        Wenn Sie über eine eigene anwenderdefinierte Liste verfügen, die im Abschnitt „ Meine Listen “ für Ihren Arbeitsbereich konfiguriert wurde, können Sie auch die folgenden zusätzlichen Listenaktionen ausführen:
        • Umbenennen
        • Speichern
        • Löschen
        URL für alle kopieren Option zum Kopieren der URLs aller DLP-Incidents.
        Filterbereich anzeigen Option zum Drilldown der erforderlichen Incidents mithilfe der Filteroption.
        1. Klicken Sie auf den Filter oben links auf der Seite, und wählen Sie Erweiterte Ansicht aus.
        2. Verwenden Sie einen vorhandenen Filter, oder erstellen Sie einen eigenen, indem Sie Bedingungen hinzufügen, die ein Feld, einen Operator und Werte enthalten.
        3. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER:
          • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
          • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
        4. Klicken Sie auf Aktualisieren.
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incidentzuweisen an : Option, um den Incident einem Analysten, Endanwender oder einer anderen Person zuzuweisen.
        • Anwender: Option, um zu bestimmen, welchem Anwender der Incident zugewiesen werden soll.
        • Incident-Status vor Anwenderantwort: Option, um zu bestimmen, in welchem Status sich der Incident befinden soll, bevor der Anwender antwortet. Er kann auch ein anwenderdefinierter Status sein.
        • Bewertunganhängen: Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage: Option zur Auswahl einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Benutzerantwort Option zum Auswählen des Status des DLP-Incidents, nachdem der Benutzer geantwortet hat.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option zur Reaktion auf Incidents auswählen. Wenn ein Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann er die Option „ Gelöschte Datei “ wählen, um manuell zu bestätigen, dass die Datei gelöscht wurde, und Kommentare anzugeben.

        Hier können Sie auch erweiterte Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern.
        Eskalation Aktion zum Eskalieren des incident. Sie können den Incident eskalieren, indem Sie den Benutzer auswählen, an den Sie ihn eskalieren möchten. Sie können auch zusätzliche Informationen im Feld Kommentare eingeben.
        Status aktualisieren Aktion zum Aktualisieren des Status des incident. Sie können den Status des incident aktualisieren, indem Sie einen der Status aus den Dropdown-Optionen auswählen. Er kann auch ein anwenderdefinierter Status sein.
        Schließen Aktion zum Schließen der Incidents. Wählen Sie den entsprechenden Abschlusscode aus der Dropdown-Liste aus, und fügen Sie Abschlusskommentare hinzu.
        Die Funktion zum Schließen in Data Loss Prevention Incident Response erfolgt sowohl asynchron als auch synchron über die Listenansicht.
        1. Synchroner Abschluss: Das synchrone Schließen von Incidents bedeutet, dass die Abschlussaktion sofort ausgeführt wird. Wenn Sie mehrere Incidents zum Schließen auswählen und die Incident-Anzahl kleiner oder gleich 100 ist, werden die Incidents in der Listenansicht der DLP-Incidents im Vordergrund geschlossen. Hier ist 100 der Standardwert.
        2. Asynchroner Abschluss: Dies bedeutet, dass die Abschlussanforderung übermittelt wird und die Anwendung die Anforderung im Hintergrund ausführt, wenn die Anzahl der ausgewählten Incidents größer als 100 ist.

          Sie müssen die Listenansicht der DLP-Incidents aktualisieren, um zu sehen, dass der Incident-Status aktualisiert wurde.

          Hinweis:
          • Die Anzahl der ausgewählten Incidents für den asynchronen oder synchronen Abschluss wird mit der Systemeigenschaft sn_dlir.closure_sync_count_limit konfiguriert.
          • Standardmäßig ist die Incident-Anzahl auf 100 festgelegt.
      3. Die zweite Möglichkeit besteht darin, auf einen bestimmten DLP-Incident zu klicken, um ihn zu öffnen.
        • Registerkarte „Details “: Zeigt die folgenden Abschnitte an:
          • Details: Sie können die Details des DLP-Incidents anzeigen, z. B. Incident-Nummer, Schweregrad, Dateiname usw. Sie haben auch die Möglichkeit, die Felder Schweregrad, Status, Endanwender und DLP-Analystengruppe jeweils zu ändern und zu speichern.
          • Verfassen: Um Kommentare zum DLP-Incident hinzuzufügen, die für alle sichtbar sind, geben Sie die Kommentare auf der Registerkarte Kommentare ein. Um Kommentare hinzuzufügen, die für bestimmte Personen sichtbar sind, geben Sie die Kommentare auf der Registerkarte Arbeitsnotizen (privat) ein.
          • Aktivität: Sie können die Details der verschiedenen Aktivitäten für den DLP-Incident anzeigen.
          • Anhänge: Wenn Sie Anhänge im Zusammenhang mit dem DLP-Incident haben, klicken Sie auf Durchsuchen, und wählen Sie den Anhang von Ihrem lokalen Laufwerk aus.
        • RegisterkarteZusätzliche Details : Zeigt alle zusätzlichen Informationen zum DLP-Incident an, einschließlich anwenderdefinierter Felder.
          Wichtig:
          • Anwenderdefinierte Felder für DLP-Incidents werden nur ab Version San Diego unterstützt.
          • Auf der Registerkarte „ Zusätzliche Details “ können Sie überprüfen, ob anwenderdefinierte Felder für einen bestimmten DLP-Incident erstellt wurden.
        • Registerkarte AnwenderdefinierteAttribute : Zeigt die Liste der anwenderdefinierten Attribute im Zusammenhang mit dem DLP-Incident an.
        • Andere Incidents von Endanwender: Zeigt den Incident desselben Endanwenders an. Sie können Incidents konsolidieren, indem Sie die Aktion Als untergeordneten Incident hinzufügen in dieser zugehörigen Liste ausführen.
        • Typder erkannten vertraulichen Informationen: Zeigt die erkannten vertraulichen Informationen des Incidents an.
          Hinweis:
          Diese zugehörige Liste ist nur für die DLP-Incidents sichtbar, die für Microsoft- oder Symantec-Integrationen erstellt wurden. Wenn der Benutzer im Microsoft- oder Symantec-Incident-Datensatz auf den erkannten Datensatz des vertraulichen Informationstyps zugreift, wird der hervorgehobene Übereinstimmungsinhalt in Bezug auf diese Integration angezeigt.
        • Untergeordnete Incidents: Zeigt die untergeordneten Incidents an, die manuell (durch Ausführen der Aktion „Als untergeordneten Incident hinzufügen“) oder aus den DLP-Konsolidierungsregeln erstellt wurden. Sie können die Verknüpfung des untergeordneten Incident aufheben, indem Sie in dieser zugehörigen Liste den Vorgang „Verknüpfung des untergeordneten Incident aufheben“ ausführen.
        • Geklonte Incidents: Zeigt die geklonten Incidents aus dem übergeordneten Incident an. Indem Sie auf die Aktion Incident klonen in der Formularansicht klicken, können Sie einen neuen geklonten Incident erstellen.
        • Registerkarte „Bewertungen “: Zeigt die Liste der Bewertungen an, die dem DLP-Incident zugewiesen sind.
      4. Wählen Sie die für Sie geeignete Option aus.
        Option Beschreibung
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incidentzuweisen an : Option, um den Incident einem Analysten, Endanwender oder einer anderen Person zuzuweisen.
        • Anwender: Option zum Auswählen des Anwenders, dem der Incident zugewiesen werden soll.
        • Incident-Status vor Anwenderantwort: Option zum Auswählen des Status des Incidents, bevor der Anwender antwortet. Er kann auch ein anwenderdefinierter Status sein.
        • Bewertunganhängen: Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage: Option zur Auswahl einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Anwenderantwort: Option zum Auswählen des Status des DLP-Incidents, nachdem der Anwender geantwortet hat.
        Genehmigung abbrechen Aktion zum Abbrechen der Genehmigungsanforderung.

        Diese Aktion ist für Analysten in der Formularansicht nur sichtbar, wenn sich der DLP-Incident im Status „Genehmigung ausstehend “ befindet. Verfügbare Optionen:

        • Incidentzuweisen an : Option, um den Incident niemandem, einem Analysten oder einer anderen Person zuzuweisen.
        • Anwender: Option zum Auswählen des Anwenders, dem der Incident zugewiesen werden soll.
        • Incident-Statusnach Abbruch: Option zum Auswählen des Status, in dem sich der Incident befinden soll, nachdem die Anforderung abgebrochen wurde.
        • Kommentare: Um zusätzliche Details für den Abbruch bereitzustellen.
        Bewertung zuweisen Aktion zum Anhängen einer Bewertung beim Zuweisen des Incidents. Die Auswahlmöglichkeiten sind wie folgt:
        • Bewertungsvorlage: Option zur Auswahl einer Bewertungsvorlage für den DLP-Incident.
        • Incident-Status nach Anwenderantwort: Option zum Auswählen des Status des DLP-Incidents, nachdem der Anwender geantwortet hat.
        Datei herunterladen Aktion zum Herunterladen der Datei oder E-Mail mit dem verstoßenden Inhalt. Diese Aktion kann für Incidents ausgeführt werden, die für Microsoft OneDrive, SharePoint Online oder Exchange Online erstellt wurden.
        Speichern Aktion zum Speichern der von Ihnen vorgenommenen Änderungen. Sie können die Felder Schweregrad, Status und Endanwender des DLP-Incidents ändern und speichern.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option zur Reaktion auf Incidents auswählen. Wenn ein Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann er die Option „ Gelöschte Datei “ wählen, um manuell zu bestätigen, dass die Datei gelöscht wurde, und Kommentare anzugeben.

        Hier können Sie auch die erweiterten Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern.
        Eskalation Aktion zum Eskalieren des incident. Sie können den Incident eskalieren, indem Sie den Benutzer auswählen, an den Sie ihn eskalieren möchten. Sie können auch zusätzliche Informationen im Feld Kommentare eingeben.
        Incident klonen Aktion zum Erstellen eines Klon-Incidents, wenn der Incident-Datensatz mehrere Anwender betrifft. Sie können die geklonten Incidents mehreren Stakeholdern zuweisen, z. B. Rechtsabteilung/IT.

        Nachdem Sie einen Klon-Incident-Datensatz erstellt haben, wird unter dem übergeordneten DLP-Incident eine neue Registerkarte Geklonte Incidents erstellt, und alle geklonten Incidents werden in dieser Ansicht aufgelistet.

        Hinweis:
        • Wenn der übergeordnete DLP-Incident-Datensatz geschlossen wird, werden alle geklonten Incident-Datensätze automatisch geschlossen.
        • Wenn ein DLP-Incident-Datensatz einen geklonten Incident enthält, kann er Endanwendern nicht zugewiesen werden. Die Datensätze für übergeordnete DLP-Incidents können nur von Anwendern mit der Rolle „Analyst“ verwaltet werden.
        • Sie haben auch die Option, den übergeordneten Status automatisch basierend auf dem Status der geklonten Incidents im Modul „Standardkonfiguration“ zu aktualisieren. Wenn beispielsweise alle geklonten Incidents in den Status Eskaliert verschoben werden, wird der übergeordnete Incident ebenfalls in den Status Eskaliert verschoben.
        Schließen Aktion zum Schließen des incident. Sie müssen den entsprechenden Abschlusscode aus der Dropdown-Liste auswählen und bei Bedarf Abschlusskommentare hinzufügen.
        Als falsch positiv schließen Aktion zum Schließen des incident als falsch positiv. Sie können auch zusätzliche Kommentare hinzufügen, bevor Sie den Incident schließen.
        Abbildung : 2. DLP-Arbeitsbereich für Analysten
        DLP-Analystenarbeitsbereich: Registerkarte „Details“.
    6. Sie können die Listenansicht auf der Homepage anzeigen, indem Sie oben links auf der Seite auf die Registerkarte Listen klicken.
      Die Kategorie Listen besteht aus den standardmäßigen und anwenderdefinierten Listenseiten für DLP-Incidents.
      • Registerkarte Listen: Standardlisten für DLP-Incidents. Im Folgenden finden Sie die Standardlisten:
        • Alle
        • Offen
        • Meine Incidents
        • Meiner Gruppe zugewiesen
        • Eskaliert
        • Überfällig
        • Ausstehende Bewertungen
        • Anwenderaktion ausstehend
        • Geklonte Incidents
        • Archivierte Incidents
      • Registerkarte Meine Listen: Zeigt alle Listen an, die Sie umbenannt haben, und alle Listen, die Sie erstellt haben.
      Das folgende Beispiel zeigt den DLP-Arbeitsbereich mit den Listenansichtskategorien. Die Option Listenansicht Alle ist ausgewählt.
      Abbildung : 3. Listenansicht des DLP-Arbeitsbereichs für Analysten
      Listenansicht des DLP-Arbeitsbereichs für Analysten

    Zeigen Sie archivierte DLP-Incidents an

    Verwenden Sie den DLP-Analystenarbeitsbereich, um die archivierten DLP-Incidents anzuzeigen

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.analyst: DLP-Incidents bearbeiten und anzeigen
    • sn_dlir.analyst_read und sn_dlir.read: DLP-Incidents anzeigen.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analystenan.
      Standardmäßig wird der Abschnitt Meine Incidents angezeigt.
    2. Klicken Sie auf Archivierte Incidents.
      Die Liste der archivierten DLP-Incidents wird angezeigt.
    3. Klicken Sie auf die Schaltfläche Incident -Anzahl anzeigen, um die Anzahl der archivierten Incidents anzuzeigen.
      Hinweis:
      • Standardmäßig wird die Anzahl der archivierten Incidents ausgeblendet, um die Ladezeit der Liste zu verbessern. Sie müssen auf die Schaltfläche Incident-Anzahl anzeigen klicken, um die Anzahl der Incidents anzuzeigen. Außerdem wird eine Informationsnachricht angezeigt, die die Anzahl der Incidents angibt.
      • Im Basissystem ist für archivierte Incidents die Systemeigenschaft „glide.ui.list.seismic.omit.count“ aktiviert, um die Anzahl der Incidents-Listen auszublenden.
    4. Wählen Sie einen oder mehrere DLP-Incidents aus, die Sie anzeigen möchten.
      Im DLP-Incident wird der Abschnitt mit den Incident-Details angezeigt.
      Hinweis:
      • Die Registerkarte Andere Incidents von Endanwendern enthält auch die archivierten Incidents.
      • „Inhalt abgleichen “ wird für alle archivierten Incidents unterstützt (die auch in allen Integrationen unterstützt werden), das Herunterladen von Dateien wird jedoch nur für Microsoft-Integrationen unterstützt.