Data Loss Prevention Incident Response Arbeitsbereich für Analysten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 13 Minuten Lesedauer

    • Verwenden Sie den Analystenarbeitsbereich Data Loss Prevention Incident Response (DLP IR), um die DLP-Incidents anzuzeigen. Weisen Sie Endanwendern Incidents zur Lösung und weiteren Aufgaben zu.

    Der DLP-Arbeitsbereich besteht aus einer Homepage mit Dashboards, Listenansichten und Formularansichten, mit denen Sie DLP-Incidents überwachen können.

    Abbildung : 1. Übersichtsseite des DLP-Arbeitsbereichs
    Seite „Übersicht über DLP-Arbeitsbereich“.

    Überprüfen Sie Ihre DLP-Incidents, und weisen Sie sie zu

    Greifen Sie auf den Analystenarbeitsbereich Data Loss Prevention Incident Response (DLP IR) zu, um die DLP-Incidents zu überprüfen und sie zuzuweisen oder zu lösen. Sie können Trends für Incidents nach Schweregrad, Top-Angreifer, Incidents nach Scan-Quelle und Incidents nach Richtlinie verfolgen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.analyst: DLP-Incidents bearbeiten und anzeigen
    • sn_dlir.analyst_read und sn_dlir.read: DLP-Incidents anzeigen.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analysten.
      Die Listenseite „DLP-Arbeitsbereich – Meine Incidents-Vorgänge“ wird in einer neuen Registerkarte geöffnet.
    2. Klicken Sie auf das Symbol für die Startseite des DLP-Arbeitsbereichs, um die Homepage-Ansicht des Arbeitsbereichs anzuzeigen.
    3. Überprüfen Sie die Dashboard-Widgets, um Trends nach Incidents nach Schweregrad, Top-Angreifer, Incidents nach Scan-Quelle und Incidents nach Richtlinie zu identifizieren.
    4. Klicken Sie auf die entsprechenden Filter auf der -Homepage, um die Widgets nach ihren verschiedenen Kategorien anzuzeigen.
      Filter Beschreibung
      Offene Incidents Alle offenen Incidents anzeigen
      Überfällige kritische Incidents Zeigen Sie die Incidents mit dem Schweregrad „Kritisch“ an, die überfällig sind.
      Incidents, die Endanwendern zugewiesen sind Zeigen Sie die Incidents an, die Endanwendern zugewiesen sind.
    5. Sie können die DLP-Incidents auf zwei Arten überprüfen und zuweisen:
      1. Die erste Möglichkeit besteht darin, einen oder mehrere DLP-Incidents zu suchen und auszuwählen, die Sie überprüfen möchten, und auf das Kontrollkästchen neben den Incidents zu klicken.
      2. Wählen Sie die für Sie geeignete Option aus.
        Option Beschreibung
        Liste neu laden Mit dieser Option können Sie die Liste der DLP-Incidents aktualisieren, wenn Sie eine Aktualisierung vornehmen.
        Listenaktionen Liste der Aktionen, die Sie ausführen können. Die Auswahlmöglichkeiten lauten wie folgt:
        • Speichern unter
        • Spalten bearbeiten
        • Breiten zurücksetzen
        Hinweis:
        Wenn Sie über eine eigene anwenderdefinierte Liste verfügen, die im Abschnitt „Meine Listen“ für Ihren Arbeitsbereich konfiguriert wurde, können Sie auch die folgenden zusätzlichen Listenaktionen ausführen:
        • Umbenennen
        • Speichern
        • Löschen
        URL für alle kopieren Option zum Kopieren der URLs aller DLP-Incidents.
        Filterbereich anzeigen Option zum Drilldown der erforderlichen Incidents mithilfe der Filteroption.
        1. Klicken Sie auf den Filter oben links auf der Seite, und wählen Sie Erweiterte Ansichtaus.
        2. Verwenden Sie einen vorhandenen Filter, oder erstellen Sie einen eigenen, indem Sie Bedingungen hinzufügen, die ein Feld, einen Operator und Werte enthalten.
        3. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER:
          • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
          • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
        4. Klicken Sie auf Aktualisieren.
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incident zuweisen an: Option, um den Incident einem Analysten, Endanwender oder einer anderen Person zuzuweisen.
        • Anwender: Option, um zu bestimmen, welchem Anwender der Incident zugewiesen werden soll.
        • Incident-Status vor Anwenderantwort: Option, um zu bestimmen, in welchem Status sich der Incident befinden soll, bevor der Anwender antwortet. Er kann auch ein anwenderdefinierter Status sein.
        • Bewertung anhängen: Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage: Option zur Auswahl einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Benutzerantwort Option zum Auswählen des Status des DLP-Incidents, nachdem der Benutzer geantwortet hat.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option zur Reaktion auf Incidents auswählen. Wenn ein Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann er die Option „Gelöschte Datei“ wählen, um manuell zu bestätigen, dass die Datei gelöscht wurde, und Kommentare anzugeben.

        Hier können Sie auch erweiterte Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern.
        Eskalation Aktion zum Eskalieren des incident. Sie können den Incident eskalieren, indem Sie den Benutzer auswählen, an den Sie ihn eskalieren möchten. Sie können auch zusätzliche Informationen im Feld Kommentare eingeben.
        Status aktualisieren Aktion zum Aktualisieren des Status des incident. Sie können den Status des incident aktualisieren, indem Sie einen der Status aus den Dropdown-Optionen auswählen. Er kann auch ein anwenderdefinierter Status sein.
        Schließen Aktion zum Schließen der Incidents. Wählen Sie den entsprechenden Abschlusscode aus der Dropdown-Liste aus, und fügen Sie Abschlusskommentare hinzu.
        Die Funktion zum Schließen in Data Loss Prevention Incident Response erfolgt sowohl asynchron als auch synchron über die Listenansicht.
        1. Synchroner Abschluss: Das synchrone Schließen von Incidents bedeutet, dass die Abschlussaktion sofort ausgeführt wird. Wenn Sie mehrere Incidents zum Schließen auswählen und die Incident-Anzahl kleiner oder gleich 100 ist, werden die Incidents in der Listenansicht der DLP-Incidents im Vordergrund geschlossen. Hier ist 100 der Standardwert.
        2. Asynchroner Abschluss: Dies bedeutet, dass die Abschlussanforderung übermittelt wird und die Anwendung die Anforderung im Hintergrund ausführt, wenn die Anzahl der ausgewählten Incidents größer als 100 ist.

          Sie müssen die Listenansicht der DLP-Incidents aktualisieren, um zu sehen, dass der Incident-Status aktualisiert wurde.

          Hinweis:
          • Die Anzahl der ausgewählten Incidents für den asynchronen oder synchronen Abschluss wird mit der Systemeigenschaft sn_dlir.closure_sync_count_limitkonfiguriert.
          • Standardmäßig ist die Incident-Anzahl auf 100 festgelegt.
      3. Die zweite Möglichkeit besteht darin, auf einen bestimmten DLP-Incident zu klicken, um ihn zu öffnen.
        • Registerkarte„Details “: Zeigt die folgenden Abschnitte an:
          • Details: Sie können die Details des DLP-Incidents anzeigen, z. B. Incident-Nummer, Schweregrad, Dateiname usw. Sie haben auch die Möglichkeit, die Felder Schweregrad, Status, Endanwender und DLP-Analystengruppe jeweils zu ändern und zu speichern.
          • Verfassen: Um Kommentare zum DLP-Incident hinzuzufügen, die für alle sichtbar sind, geben Sie die Kommentare auf der Registerkarte Kommentare ein. Um Kommentare hinzuzufügen, die für bestimmte Personen sichtbar sind, geben Sie die Kommentare auf der Registerkarte Arbeitsnotizen (privat) ein.
          • Aktivität: Sie können die Details der verschiedenen Aktivitäten für den DLP-Incident anzeigen.
          • Anhänge: Wenn Sie Anhänge im Zusammenhang mit dem DLP-Incident haben, klicken Sie auf Durchsuchen, und wählen Sie den Anhang von Ihrem lokalen Laufwerk aus.
        • RegisterkarteZusätzliche Details : Zeigt alle zusätzlichen Informationen zum DLP-Incident an, einschließlich anwenderdefinierter Felder.
          Wichtig:
          • Anwenderdefinierte Felder für DLP-Incidents werden nur ab Version San Diego unterstützt.
          • Auf der Registerkarte „Zusätzliche Details“ können Sie überprüfen, ob anwenderdefinierte Felder für einen bestimmten DLP-Incident erstellt wurden.
        • RegisterkarteAnwenderdefinierte Attribute : Zeigt die Liste der anwenderdefinierten Attribute im Zusammenhang mit dem DLP-Incident an.
        • Andere Incidents von Endanwender: Zeigt den Incident desselben Endanwenders an. Sie können Incidents konsolidieren, indem Sie die Aktion Als untergeordneten Incident hinzufügen in dieser zugehörigen Liste ausführen.
        • Typ der erkannten vertraulichen Informationen: Zeigt die erkannten vertraulichen Informationen des Incidents an.
          Hinweis:
          Diese zugehörige Liste ist nur für die DLP-Incidents sichtbar, die für Microsoft- oder Symantec-Integrationen erstellt wurden. Wenn der Benutzer im Microsoft- oder Symantec-Incident-Datensatz auf den erkannten Datensatz des vertraulichen Informationstyps zugreift, wird der hervorgehobene Übereinstimmungsinhalt in Bezug auf diese Integration angezeigt.
        • Untergeordnete Incidents: Zeigt die untergeordneten Incidents an, die manuell (durch Ausführen der Aktion „Als untergeordneten Incident hinzufügen“) oder aus den DLP-Konsolidierungsregeln erstellt wurden. Sie können die Verknüpfung des untergeordneten Incident aufheben, indem Sie in dieser zugehörigen Liste den Vorgang „Verknüpfung des untergeordneten Incident aufheben“ ausführen.
        • Geklonte Incidents: Zeigt die geklonten Incidents aus dem übergeordneten Incident an. Indem Sie auf die Aktion Incident klonen in der Formularansicht klicken, können Sie einen neuen geklonten Incident erstellen.
        • Registerkarte„Bewertungen “: Zeigt die Liste der Bewertungen an, die dem DLP-Incident zugewiesen sind.
      4. Wählen Sie die für Sie geeignete Option aus.
        Option Beschreibung
        Incident zuweisen Aktion, um zu bestimmen, wem der DLP-Incident zugewiesen werden soll. Die Auswahlmöglichkeiten lauten wie folgt:
        • Incident zuweisen an: Option, um den Incident einem Analysten, Endanwender oder einer anderen Person zuzuweisen.
        • Anwender: Option zum Auswählen des Anwenders, dem der Incident zugewiesen werden soll.
        • Incident-Status vor Anwenderantwort: Option zum Auswählen des Status des Incidents, bevor der Anwender antwortet. Er kann auch ein anwenderdefinierter Status sein.
        • Bewertung anhängen: Option, um anzugeben, ob Sie dem Incident eine Bewertung anhängen möchten. Wenn diese Option aktiviert ist, sind die folgenden Optionen verfügbar:
          • Bewertungsvorlage: Option zur Auswahl einer Bewertungsvorlage für den DLP-Incident.
          • Incident-Status nach Anwenderantwort: Option zum Auswählen des Status des DLP-Incidents, nachdem der Anwender geantwortet hat.
        Genehmigung aufheben Aktion zum Abbrechen der Genehmigungsanforderung.

        Diese Aktion ist für Analysten in der Formularansicht nur sichtbar, wenn sich der DLP-Incident im Status „Genehmigung ausstehend “ befindet. Verfügbare Optionen:

        • Incident zuweisen an: Option, um den Incident niemandem, einem Analysten oder einer anderen Person zuzuweisen.
        • Anwender: Option zum Auswählen des Anwenders, dem der Incident zugewiesen werden soll.
        • Incident-Status nach Abbruch: Option zum Auswählen des Status, in dem sich der Incident befinden soll, nachdem die Anforderung abgebrochen wurde.
        • Kommentare: Um zusätzliche Details für den Abbruch bereitzustellen.
        Bewertung zuweisen Aktion zum Anhängen einer Bewertung beim Zuweisen des Incidents. Die Auswahlmöglichkeiten sind wie folgt:
        • Bewertungsvorlage: Option zur Auswahl einer Bewertungsvorlage für den DLP-Incident.
        • Incident-Status nach Anwenderantwort: Option zum Auswählen des Status des DLP-Incidents, nachdem der Anwender geantwortet hat.
        Datei herunterladen Aktion zum Herunterladen der Datei oder E-Mail mit dem verstoßenden Inhalt. Diese Aktion kann für Incidents ausgeführt werden, die für Microsoft OneDrive, SharePoint Online oder Exchange Online erstellt wurden.
        Speichern Aktion zum Speichern der von Ihnen vorgenommenen Änderungen. Sie können die Felder Schweregrad, Status und Endanwender des DLP-Incidents ändern und speichern.
        Beantworten Reagieren Sie auf einen Incident, indem Sie eine Option zur Reaktion auf Incidents auswählen. Wenn ein Anwender beispielsweise eine Datei löscht, die gegen eine DLP-Richtlinie verstößt, kann er die Option „Gelöschte Datei“ wählen, um manuell zu bestätigen, dass die Datei gelöscht wurde, und Kommentare anzugeben.

        Hier können Sie auch die erweiterten Antwortoptionen auswählen. Beispiel: E-Mail-Freigabe aus Quarantäne anfordern.
        Eskalation Aktion zum Eskalieren des incident. Sie können den Incident eskalieren, indem Sie den Benutzer auswählen, an den Sie ihn eskalieren möchten. Sie können auch zusätzliche Informationen im Feld Kommentare eingeben.
        Incident klonen Aktion zum Erstellen eines Klon-Incidents, wenn der Incident-Datensatz mehrere Anwender betrifft. Sie können die geklonten Incidents mehreren Stakeholdern zuweisen, z. B. Rechtsabteilung/IT.

        Nachdem Sie einen Klon-Incident-Datensatz erstellt haben, wird unter dem übergeordneten DLP-Incident eine neue Registerkarte Geklonte Incidents erstellt, und alle geklonten Incidents werden in dieser Ansicht aufgelistet.

        Hinweis:
        • Wenn der übergeordnete DLP-Incident-Datensatz geschlossen wird, werden alle geklonten Incident-Datensätze automatisch geschlossen.
        • Wenn ein DLP-Incident-Datensatz einen geklonten Incident enthält, kann er Endanwendern nicht zugewiesen werden. Die Datensätze für übergeordnete DLP-Incidents können nur von Anwendern mit der Rolle „Analyst“ verwaltet werden.
        • Sie haben auch die Option, den übergeordneten Status automatisch basierend auf dem Status der geklonten Incidents im Modul „Standardkonfiguration“ zu aktualisieren. Wenn beispielsweise alle geklonten Incidents in den Status Eskaliert verschoben werden, wird der übergeordnete Incident ebenfalls in den Status Eskaliert verschoben.
        Schließen Aktion zum Schließen des incident. Sie müssen den entsprechenden Abschlusscode aus der Dropdown-Liste auswählen und bei Bedarf Abschlusskommentare hinzufügen.
        Als falsch positiv schließen Aktion zum Schließen des incident als falsch positiv. Sie können auch zusätzliche Kommentare hinzufügen, bevor Sie den Incident schließen.
        Abbildung : 2. DLP-Arbeitsbereich für Analysten
        DLP-Analystenarbeitsbereich: Registerkarte „Details“.
    6. Sie können die Listenansicht auf der Homepage anzeigen, indem Sie oben links auf der Seite auf die Registerkarte Listen klicken.
      Die Kategorie Listen besteht aus den standardmäßigen und anwenderdefinierten Listenseiten für DLP-Incidents.
      • Registerkarte Listen: Standardlisten für DLP-Incidents. Im Folgenden finden Sie die Standardlisten:
        • Alle
        • Öffnen
        • Meine Incidents
        • Meiner Gruppe zugewiesen
        • Eskaliert
        • Überfällig
        • Ausstehende Bewertungen
        • Anwenderaktion ausstehend
        • Geklonte Incidents
        • Archivierte Incidents
      • Registerkarte Meine Listen: Zeigt alle Listen an, die Sie umbenannt haben, und alle Listen, die Sie erstellt haben.
      Das folgende Beispiel zeigt den DLP-Arbeitsbereich mit den Listenansichtskategorien. Die Option Listenansicht Alle ist ausgewählt.
      Abbildung : 3. Listenansicht des DLP-Arbeitsbereichs für Analysten
      Listenansicht des DLP-Arbeitsbereichs für Analysten

    Zeigen Sie eine Vorschau der Nachweisdateien an

    Zeigen Sie eine Vorschau der Nachweisdateien Data Loss Prevention Incident Response im DLP-IR-Arbeitsbereich für Analysten an.

    Vorbereitungen

    Wichtig:
    Bei Verwendung der Aktion Nachweisdateien im DLP-Analystenarbeitsbereich werden die Nachweisdateien vorübergehend in einem unverschlüsselten Format in der ServiceNow-Datenbank gespeichert. Wenn Sie die Nachweisdateien nicht speichern möchten, deaktivieren Sie die Vorschaufunktion für Nachweisdateien. Weitere Informationen finden Sie unter Erweiterte Einstellungen konfigurieren.

    Erforderliche Rolle: sn_dlir.analyst

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analysten.
    2. Öffnen Sie einen DLP-Incident-Datensatz.
    3. Wählen Sie das Symbol für Nachweisdateien ( Symbol für Nachweisdateien.), das in der kontextbezogenen Sidebar verfügbar ist.
    4. Wählen Sie auf der Registerkarte Nachweisdateien die Karte Nachweisdatei, um eine Vorschau der Nachweisdateien im Dokument-Viewer anzuzeigen.
      Zeigen Sie eine Vorschau der Nachweisdateien an.

      Die Vorschaufunktion ist für jeden Dateityp unterschiedlich, wie in der folgenden Tabelle aufgeführt.

      Dateiformat Dateierweiterung
      Image .bmp, .gif, .ico, .jpeg, .jpg, .png, .svg und .webp

      Bilddateien werden im Dokument-Viewer-Modus geöffnet.
      MicrosoftMicrosoft Azure Event Hubs Office-Dateien .doc, .docx, .ppt, .pptx, .xls und .xlsx

      Office-Dateien werden im Dokument-Viewer-Modus geöffnet.
      Textdateien .txt

      Textdateien werden im Texteditor-Modus geöffnet.
      Mail-Dateien .eml
      Hinweis:
      Die Dateigröße muss weniger als 5 MB betragen. Sie müssen die Datei zuerst herunterladen, um eine Vorschau des Inhalts anzuzeigen.
      PDF-Dateien PDF-Datei
      • Geben Sie ein Stichwort ein, um das Dokument zu durchsuchen.
      • Vergrößern und Verkleinern von Funktionen zum Anpassen der Ansicht für bessere Lesbarkeit.
      • Rotieren Sie die Seite im oder gegen den Uhrzeigersinn, um den Inhalt deutlicher anzuzeigen.
      Hinweis:

      Binärdateien werden nicht gerendert und müssen heruntergeladen werden, um eine Vorschau ihres Inhalts anzuzeigen. Die Funktion zur Vorschau der Nachweisdatei funktioniert auch für archivierte Incidents.

    Playbook für Data Loss Prevention Incident Response

    Ein Data Loss Prevention Incident Response Playbook ist eine Schritt-für-Schritt-Anleitung zum Behandeln und Minimieren von Datenverlust-Incidents. Dazu können nicht autorisierte Offenlegungen, Datenverluste oder Verstöße gegen vertrauliche Informationen gehören, die die Sicherheit Ihres Unternehmens gefährden können.

    Die folgende Abbildung zeigt die Beispiel-Playbooks, die für DLP IR verfügbar sind.

    Abbildung : 4. Beispiel-Playbooks für DLP Incident Response
    Playbooks für DLP Incident Response

    In der folgenden Tabelle sind die Aktivitäten und Phasen aufgeführt, die beim Erstellen eines Playbooks ausgeführt werden. Weitere Informationen finden Sie unter Fügen Sie ein DLP-Playbook hinzu:

    Aktivität Beschreibung
    Erkennung Identifizieren und bestätigen Sie nicht autorisierten Zugriff oder Offenlegung vertraulicher Daten.
    Aufnahme Isolieren Sie betroffene Systeme oder Anwender, um weiteren Datenverlust oder nicht autorisierten Zugriff zu verhindern.
    Ermittlung Untersuchen Sie den Verstoß, um zu verstehen, wie er entstanden ist, welche Daten betroffen waren und welche möglichen Auswirkungen er hatte.
    Benachrichtigung Benachrichtigen Sie interne Teams, externe Stakeholder und Aufsichtsbehörden, wenn dies per Gesetz oder Richtlinie erforderlich ist.
    Korrektur Wenden Sie Korrekturmaßnahmen an, um Schwachstellen zu beheben, Richtlinien zu aktualisieren und zukünftige Verstöße zu verhindern.
    Wiederherstellung Stellen Sie Systeme aus sicheren Sicherungen wieder her, und validieren Sie die Integrität von Daten nach einem Incident.
    Überprüfung nach Incident Analysieren Sie den Incident, um die Ursachen zu identifizieren, die Sicherheitskontrollen zu verbessern und Richtlinien zu stärken.

    Die folgende Abbildung zeigt den Workflow der Aktivitäten und Phasen, die an der Playbook-Erstellung beteiligt sind.

    Abbildung : 5. Playbook-Design-Workflow
    Playbook-Design-Workflow
    Hinweis:
    Dies ist das Beispiel-Playbook für die Verletzung sensibler Daten. Je nach Playbook-Typ kann sich der Workflow ändern.

    Fügen Sie ein DLP-Playbook hinzu

    Fügen Sie im Analystenarbeitsbereich Data Loss Prevention Incident Response ein Playbook hinzu, das als Leitfaden für die Behebung und Minimierung von Datenverlust-Incidents dienen kann, die die Sicherheit Ihres Unternehmens gefährden können.

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.analyst: Hinzufügen oder Anzeigen von Playbooks im DLP-Arbeitsbereich.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analysten.
    2. Öffnen Sie auf der Seite „DLP-Analystenarbeitsbereich – Meine Incidents“ einen beliebigen DLP-Incident.
    3. Navigieren Sie zur Registerkarte Playbooks.
    4. Wählen Sie im Menü ( Symbol „Weitere Aktionen“ ) die Option Playbooks hinzufügen und anschließend ein Playbook aus dem Dropdown-Menü aus.
    5. Wählen Sie Playbooks hinzufügen aus.
    6. Wählen Sie jede Spur aus, um die Aufgaben zu erkunden, die dieses Playbook ausführt.
      Abbildung : 6. Beispiel für ein DLP-Playbook
      Fügen Sie ein DLP-Playbook hinzu.

    Brechen Sie ein DLP-Playbook ab

    Brechen Sie ein Data Loss Prevention Incident Response Playbook ab, um einen Business Flow zu stoppen, wenn es nicht mehr gültig ist.

    Vorbereitungen

    Hinweis:
    Playbooks werden automatisch abgebrochen, wenn der zugehörige DLP-Incident geschlossen wird.

    Erforderliche Rolle: sn_dlir.admin.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analysten.
    2. Öffnen Sie einen beliebigen DLP-Incident.
    3. Navigieren Sie zur Registerkarte Playbooks.
    4. Wählen Sie im Header des Playbooks, das Sie abbrechen möchten, das Symbol ( Symbol für weitere Aktionen.) und dann Playbook abbrechen aus.
    5. Geben Sie einen Grund für den Abbruch des Playbooks an.
    6. Wählen Sie Playbook abbrechen aus.

    Ergebnisse

    Unter dem Header des Playbooks wird ein Banner angezeigt, das bestätigt, dass das Playbook abgebrochen wurde.

    Zeigen Sie archivierte DLP-Incidents an

    Verwenden Sie den DLP-Analystenarbeitsbereich, um die archivierten DLP-Incidents anzuzeigen

    Vorbereitungen

    Erforderliche Rolle:
    • sn_dlir.analyst: DLP-Incidents bearbeiten und anzeigen
    • sn_dlir.analyst_read und sn_dlir.read: DLP-Incidents anzeigen.

    Prozedur

    1. Navigieren zu Alle > DLP-Incident-Management > DLP-Arbeitsbereich für Analysten.
      Standardmäßig wird der Abschnitt Meine Incidents angezeigt.
    2. Klicken Sie auf Archivierte Incidents.
      Die Liste der archivierten DLP-Incidents wird angezeigt.
    3. Klicken Sie auf die Schaltfläche Incident-Anzahl anzeigen, um die Anzahl der archivierten Incidents anzuzeigen.
      Hinweis:
      • Standardmäßig wird die Anzahl der archivierten Incidents ausgeblendet, um die Ladezeit der Liste zu verbessern. Sie müssen auf die Schaltfläche Incident-Anzahl anzeigen klicken, um die Anzahl der Incidents anzuzeigen. Außerdem wird eine Informationsnachricht angezeigt, die die Anzahl der Incidents angibt.
      • Im Basissystem ist für archivierte Incidents die Systemeigenschaft „glide.ui.list.seismic.omit.count“ aktiviert, um die Anzahl der Incidents-Listen auszublenden.
    4. Wählen Sie einen oder mehrere DLP-Incidents aus, die Sie anzeigen möchten.
      Im DLP-Incident wird der Abschnitt mit den Incident-Details angezeigt.
      Hinweis:
      • Die Registerkarte Andere Incidents von Endanwendern enthält auch die archivierten Incidents.
      • „Inhalt abgleichen“ wird für alle archivierten Incidents unterstützt (die auch in allen Integrationen unterstützt werden), das Herunterladen von Dateien wird jedoch nur für Microsoft-Integrationen unterstützt.