Erstellen Sie Incident-Konsolidierungsregeln

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie eine Incident-Konsolidierungsregel, um mehrere Incidents ähnlicher Art unter einem übergeordneten Incident zu konsolidieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.admin: Erstellen, Bearbeiten und Löschen
    • sn_dlir.analyst und sn_dlir.analyst_read – Ansicht (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Der DLP-Administrator definiert diese Incident-Konsolidierungsregeln, um die DLP-Incidents gleicher Art automatisch unter einem übergeordneten Incident zu konsolidieren. Mit der Konsolidierungsregel für DLP-Incidents können Sie die DLP-Incidents basierend auf der Konfiguration konsolidieren, die für Konsolidierungsdauer und Konsolidierungsidentifizierung angegeben ist.

    Hinweis:

    Wenn ein konsolidierter Incident erstellt wird, wird er zu einem untergeordneten Element des übergeordneten DLP-Incident. Wenn der Schweregrad des konsolidierten Incidents höher ist als der des übergeordneten Incidents, wird der Schweregrad des übergeordneten Incidents entsprechend dem Schweregrad des untergeordneten Incidents aktualisiert.

    Prozedur

    1. Navigieren zu Alle > DLP-Administration > Konsolidierungsregeln für DLP-Incidents.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „DLP-Zuweisungsregel“.
      Feld Beschreibung
      Name Name der Incident-Konsolidierungsregel.
      Aktiv Option, um anzugeben, ob die Incident-Konsolidierungsregel aktiv ist.
      Ausführungsreihenfolge

      Die Priorität der Konsolidierungsregel für Incidents. Dieses Feld gibt die Reihenfolge an, in der die Incident-Konsolidierungsregeln ausgeführt werden, wenn zwei oder mehr Regeln die Auslösebedingungen gemeinsam nutzen.

      Die Incident-Konsolidierungsregel mit der niedrigsten Nummer hat die höchste Priorität. Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300 usw.

      Der Standardwert ist 100.
      Beschreibung Eindeutige Beschreibung für die Incident-Konsolidierungsregel.
      Bedingung Bedingungen im Bedingungsgenerator Diese Bedingungen basieren auf der DLP-Incident-Tabelle. Um eine Bedingung für die Incident-Konsolidierungsregel zu erstellen, wählen Sie eines der Incident-Felder aus.

      Verwenden Sie die Listen und Felder des Bedingungsgenerators, um die Filter für die erste Zeile festzulegen.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER.
      • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

      Sie können beispielsweise die Bedingungen für diese Incident-Konsolidierungsregel festlegen, indem Sie die Bedingung Integrationsquelle, enthält, Symantecauswählen.

      Hinweis:
      Bei den Bedingungen im Bedingungsgenerator wird zwischen Groß- und Kleinschreibung unterschieden.
      Konsolidierungsdauer Option zum Festlegen der Dauer für die Incident-Konsolidierung.

      Incidents in diesem Zeitraum mit denselben Werten für die ausgewählten Felder werden unter dem ersten Incident konsolidiert. Der erste Incident, der dieser Regel entspricht, ist der übergeordnete Incident, und die restlichen Incidents sind untergeordnete Incidents.
      Incidents konsolidieren nach Wählen Sie das Feld „DLP-Incident“ aus, um die Incidents zu konsolidieren, wenn Sie denselben Wert im ausgewählten Feld für verschiedene Incidents haben.

      Wählen Sie mindestens ein Feld aus. Wählen Sie mindestens ein Feld aus.

      Das folgende Beispiel zeigt eine Incident-Konsolidierungsregel mit dem Namen Consolidate incidents for Symantec Integration (Incidents für Symantec-Integration konsolidieren). Der Bedingungsgenerator erfordert Symantec als Integrationsquelle. Die Option Bedingungsdauer ist auf 1 Stunde festgelegt, und die Option Richtlinienname ist für Incident konsolidieren bisausgewählt.

      Zum Zeitpunkt der Erfassung des Symantec-DLP-Incident wird diese Regel ausgeführt. Wenn mehrere Incidents denselben Richtliniennamen aufweisen, wird der Incident unter dem ersten erfassten Incident konsolidiert, der dieser Regel entspricht.

    4. Klicken Sie auf Absenden.
      Basierend auf der Konsolidierungsregel konsolidierte Incidents sind in der Liste „Untergeordnete Incidents“ im DLP-Arbeitsbereich für Analysten verfügbar.