DLP インシデントを統合するためのインシデント統合ルールの構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • インシデント統合ルールを構成して、類似した性質の複数のインシデントを 1 つの親インシデントの下に統合します。

    始める前に

    必要なロール:
    • sn_dlir.admin - 作成、編集、および削除
    • sn_dlir.analyst および sn_dlir.analyst_read - 表示 (読み取り専用)

    このタスクについて

    DLP 管理者は、同じ性質の DLP インシデントを 1 つの親インシデントの下に自動的に統合するように、これらのインシデント統合ルールを定義します。DLP インシデント統合ルールを使用すると、[統合期間 (Consolidation duration)] と [統合識別 (Consolidation identification)] に指定された構成に基づいて DLP インシデントを統合できます。

    手順

    1. 移動先 すべて > DLP 管理 > DLP インシデント統合ルール.
    2. [新規] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. [DLP アサインルール] フォーム
      フィールド 説明
      名前 インシデント統合ルールの名前。
      アクティブ インシデント統合ルールがアクティブかどうかを示すオプション。
      実行順序

      インシデント統合ルールの優先度。このフィールドは、2 つ以上のルールがトリガー条件を共有する場合にインシデント統合が実行される順序を示します。

      番号が最も小さいインシデント統合ルールの優先度が最も高くなります。操作の順序を設定するには、値を入力します。たとえば、100、200、300 などです。

      デフォルト値は 100 です。
      説明 インシデント統合ルールの一意の説明。
      条件 条件ビルダーの条件。ここの条件は DLP インシデントテーブルに基づいて決まります。インシデント統合ルールの条件を作成するには、いずれかのインシデントフィールドを選択します。

      条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。

      条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。

      2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

      たとえば、このインシデント統合ルールの条件を設定するには、条件として [統合ソース][次の値を含む][Symantec] を選択します。

      注:
      条件ビルダーの条件では、大文字と小文字が区別されます。
      統合期間 (Consolidation duration) インシデント統合の期間を設定するオプション。

      この期間のインシデントのうち、選択したフィールドの値が同じであるインシデントが、最初のインシデントの下に統合されます。このルールに一致する最初のインシデントが親インシデントになり、残りのインシデントが子インシデントになります。
      インシデントの統合基準フィールド (Consolidate incidents by) DLP インシデントフィールドを選択します。選択したフィールドに同じ値が含まれているインシデントが統合されます。

      少なくとも 1 つのフィールドを選択してください。少なくとも 1 つのフィールドを選択してください。

      次の例は、「Consolidate incidents for Symantec Integration」という名前のインシデント統合ルールを示しています。条件ビルダーでは、[統合ソース] を [Symantec] にする必要があります。[統合期間 (Consolidation duration)] オプションが 1 時間に設定され、[インシデントの統合基準フィールド (Consolidate incidents by)] で [ポリシー名] オプションが選択されています。

      Symantec DLP インシデントの取り込み時にこのルールが実行され、複数のインシデントのポリシー名が同一である場合に、最初にこのルールに一致したインシデントの下に、それ以降のインシデントが統合されます。

    4. [送信] をクリックします。
      統合ルールに基づいて統合されたインシデントは、DLP アナリストワークスペースの [子インシデント] リストで使用可能になります。