Erstellen Sie Optionsregeln für die Reaktion auf Incidents

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie die Optionsregeln für die Reaktion auf Incidents, die Endanwender oder Analysten bei der Reaktion auf einen Incident verwenden können.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, Bearbeiten und Löschen.
    • sn_dlir.analyst und sn_dlir.analyst_read: Ansicht (schreibgeschützt).

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Art der Antwort konfigurieren, die ein Endanwender basierend auf dem Typ des DLP-Incident ausführen soll. Die Anwendung „DLP Incident Response“ des Basissystems bietet für Benutzer folgende Antwortoptionen:
    • Bewertung abgeschlossen
    • Gelöschter Inhalt
    • Datei löschen
    • Verschlüsselte Datei
    • Maskierter Inhalt
    • Falsch positives Ergebnis melden
    • Falschen Besitzer melden
    • Erforderlich für Geschäftsprozess
    • Überprüfte Berechtigungen

    Angenommen, ein Endanwender meldet einen DLP-Incident als falsch positiv. Der Status für diesen Incident wird dann automatisch als geschlossen markiert, da der von Ihnen konfigurierte Zielstatus geschlossen ist.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Optionsregeln für die Reaktion auf Incidents.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Regeln für Reaktion auf Incidents“.
      Feld Beschreibung
      Name Name der Option zur Reaktion auf Incidents.
      Aktiv Option, um anzugeben, ob die Option zur Reaktion auf Incidents aktiv ist.
      Ausführungsreihenfolge Priorität der Option zur Reaktion auf Incidents. Dieses Feld gibt die Reihenfolge an, in der die Optionen zur Reaktion auf Incidents ausgeführt werden, wenn mindestens zwei Optionen zur Reaktion auf Incidents die auslösenden Bedingungen gemeinsam nutzen.

      Die Antwortoption auf Incidents mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200 oder eine beliebige andere Zahl.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für diese Option zur Reaktion auf Incidents.
      Standardzielstatus Der von Ihnen konfigurierte Standardzielstatus.
      Bedingung Bedingungen im Bedingungsgenerator Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Optionen zur Reaktion auf Incidents zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER:
      • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Das folgende Beispiel zeigt die Konfiguration der Endanwenderaktion für einen -Endpunkt. Die Bedingung erfordert, dass die Scan-Quelle ein Endpunkt-Dateisystem ist, das dann diese Endanwender-Aktionskonfiguration auslöst. Die Zuordnung zeigt, dass die Antwortoptionen, die dem Endanwender zur Verfügung stehen, „Falschen Besitzer melden“, „Falsch positiv melden“ und „Gelöschte Datei“ sind.
      Abbildung : 1. Optionsregel für die Reaktion auf Incidents
      Die Optionsregel zur Reaktion auf Incidents auflisten, die der Endanwender ausführen kann.
    4. Klicken Sie im Abschnitt „Zuordnungen der Antwortoptionen“ auf Neu.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular „Zuordnung der Antwortoptionen“.
      Regel für Antwortoption Name der Optionsregel für die Reaktion auf Incidents. SharePoint impliziert beispielsweise, dass die Scanquelle SharePoint ist. Sie können entweder den Namen der Incident-Antwort eingeben oder mithilfe der Suche suchen.
      Antwortoption Option zum Auswählen der Antwortoption. Sie können entweder die Antwortoption eingeben oder mithilfe der Suche suchen.
      Zielstatus Der Zielstatus des DLP-Incidents, nachdem der Endanwender die entsprechende Aktion ausgewählt hat.
      Hinweis:
      1. Das Feld Zielstatus wird nur angezeigt, wenn Sie Antwortoption vom Typ Standardauswählen. Weitere Informationen zur Konfiguration der Zielstatustypen finden Sie unter Konfigurieren Sie die Antwortoption für Ihre DLP-Incidents.
      2. Wenn eine Antwortoption vom Typ „Erweitert“ ausgewählt ist, können Sie den Zielstatus nicht festlegen und werden ausgeblendet. Der Zielstatus wird basierend auf dem anwenderdefinierten Status zugewiesen, der über den Flow Designer-Subflow konfiguriert wurde.
      Antwortoptionen anzeigen für Option zum Bestimmen der Anwenderrollen, für die die Antwortoptionen angezeigt werden sollen.

      Mit der Option zum Entsperren können Sie zwischen Analysten, Endanwendernund eskalierten Prüfern für Analysten auswählen. Sie können eine oder alle Rollen auswählen.
      Abbildung : 2. Antwortoptions-Zuordnungsaktion
      Zuordnungsseite für Antwortoption in Optionsregeln für die Reaktion auf Incidents
    6. Klicken Sie auf Absenden.