Definieren Sie Filter, die auf die Incident-Erstellung angewendet werden sollen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Definieren und legen Sie Filterbedingungen fest, um die eingehenden Symantec DLP-Incidents aufzuschlüsseln. Bestimmen Sie die Incidents, die als DLP-Incidents in ServiceNow®erstellt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Durch das Filtern können Sie DLP-Incidents isolieren und die Anzahl der von Ihnen erstellten DLP-Incidents begrenzen. Wenn zusätzliche Filterkriterien festgelegt werden, werden nur Incidents erstellt, die den Bedingungen entsprechen.

    Prozedur

    1. Aktivieren Sie das Kontrollkästchen API-basierter Filter für Incident- Erfassung, um die API-Filter anzuwenden und die Incidents abzurufen, die den Filterkriterien entsprechen.
    2. Fügen Sie die API-Filter hinzu.
      Das folgende Beispiel zeigt die API-Filter.
      {
                "operandOne": {
                    "name": "incidentStatusName"
                },
                "filterType": "string",
                "operator": "EQ",
                "operandTwoValues": [
                    "incident.status.New"
                ]
            }
      Hinweis:
      Weitere Informationen zu den API-Filtern in der Symantec-Integration finden Sie unter Incident-Listen: Parameter – Anforderungsobjektdetails.
    3. Klicken Sie auf Filter validieren, nachdem Sie die API-Filter angewendet haben.
      Hinweis:
      Wenn die Validierung nicht erfolgreich ist, wird eine Fehlermeldung angezeigt, die besagt, dass die Validierung fehlgeschlagen ist. Dies geschieht, wenn die Filter gemäß den Symantec-APIs nicht ordnungsgemäß eingegeben wurden.
      Abbildung : 1. Hinzufügen von API-Filtern
      Hinzufügen von API-basierten Filtern
    4. Aktivieren Sie das Kontrollkästchen Post Incident Ingestion Filter (Filter für Nach-Incident-Erfassung), um die Kriterien zu definieren, die ein eingehender Symantec-DLP-Incident erfüllen muss, damit ein DLP-Incident erstellt wird.
      Die Optionen im ersten Feld in den Filterbedingungen stimmen mit den Feldern überein, die im DLP-Incident verfügbar sind. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden. Vergewissern Sie sich, dass die von Ihnen definierten Kriterien mit den Werten des Incident übereinstimmen.
    5. Legen Sie im Bedingungsgenerator die Filter im Feld Filterbedingungen fest.
      Abschnitt „DLP Symantec-Filterung“.
    6. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UNDoder ODER.
      • Wenn UNDausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ORausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.

    Nächste Maßnahme

    Um den Zeitplan zu konfigurieren, klicken Sie auf Fortfahren.