インシデント作成の際に適用するフィルターの定義

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • 受信した Microsoft DLP イベントをフィルタリングするためのフィルター条件を定義して設定します。受信したイベントのうちのどれを ServiceNow インスタンスで DLP IR インシデントとして作成すべきかを制御します。

    始める前に

    必要なロール:sn_dlir.admin (作成、編集、削除)

    sn_dlir.analyst - 表示 (読み取り専用)

    このタスクについて

    このタイプのフィルタリングは、Microsoft DLP イベントを切り分けて、作成する DLP IR インシデントの数を制限する際に役立ちます。フィルタリング基準が設定されている場合は、その条件に一致するイベントのみが DLP インシデントとして作成されます。

    手順

    1. [条件に基づいてフィルター] オプションを選択します。
    2. 条件ビルダーのリストとフィールドを使用して、[フィルター条件] フィールドにフィルターを設定します。

      DLP インシデントを作成するために、受信される Microsoft DLP イベントが満たすべき条件を定義します。

      [フィルター条件] の最初のフィールドのオプションは、Microsoft DLP イベントで使用可能なフィールドと一致します。入力する基準は大文字と小文字を区別します。定義した基準がイベントの値と一致していることを確認します。

      インシデント作成の際に適用するフィルターを定義します。
    3. [AND] または [OR] をクリックして条件を追加します。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
    4. [続行] をクリックし、[一致コンテンツの構成 (Match Content Configuration)] セクションに移動します。
      以前は、UserID は [ソースユーザー] フィールドにのみマッピングされていましたが、現在、[UserID] フィールドはエンドポイントイベントを含むすべての Purview イベントのルックアップ属性として使用できます。