인시던트 생성에 적용할 필터 정의

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • 수신 Microsoft DLP 이벤트를 필터링하는 필터 조건을 정의하고 설정합니다. 이러한 이벤트 중 인스턴스에서 ServiceNow 인시던트로 DLP IR 생성해야 할 이벤트를 제어합니다.

    시작하기 전에

    필요한 역할: sn_dlir.admin(생성, 편집 및 삭제)

    sn_dlir.analyst - 뷰(읽기 전용)

    이 태스크 정보

    이러한 필터링 유형은 Microsoft DLP 이벤트를 격리하여 생성하는 인시던트 수를 DLP IR 제한하는 데 도움이 됩니다. 필터링 기준이 설정되면 조건과 일치하는 이벤트만 DLP 인시던트로 생성됩니다.

    프로시저

    1. 조건을 기준으로 필터링 옵션을 선택합니다.
    2. 조건 작성기의 목록과 필드를 사용하여 필터 조건 필드의 필터를 설정합니다.

      DLP 인시던트가 생성되도록 들어오 Microsoft 는 DLP 이벤트가 충족해야 하는 조건을 정의합니다.

      필터 조건의 첫 번째 필드에 있는 옵션이 Microsoft DLP 이벤트에서 사용할 수 있는 필드와 일치합니다. 입력하는 기준은 대/소문자를 구분합니다. 정의한 기준이 이벤트 값과 일치하는지 확인합니다.

      인시던트 생성에 적용할 필터를 정의합니다.
    3. AND 또는 OR를 클릭하여 조건을 더 추가합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 조건을 일치시킬 수 있습니다.
    4. 계속을 클릭하고 컨텐츠 구성 일치 섹션으로 이동합니다.
      이전에는 UserID가 원본 사용자 필드에만 매핑되었지만 UserID 필드는 현재 엔드포인트 이벤트를 비롯한 모든 Purview 이벤트에 대한 조회 특성으로 사용할 수 있습니다.