Configurar regras de pesquisa de usuário final
Você pode criar e configurar regras de pesquisa de usuário final e atribuir os incidentes do DLP aos respectivos usuários finais com base nessas regras.
Antes de Iniciar
- sn_dlir.admin — Criar, editar e excluir.
- sn_dlir.analyst e sn_dlir.analyst_read — Exibir (somente leitura).
Por Que e Quando Desempenhar Esta Tarefa
O administrador do DLP define essas regras de pesquisa de usuário final para atribuir automaticamente os usuários finais a incidentes do DLP usando somente o campo de usuário final. A regra de pesquisa de usuário final do DLP permite que você atribua o usuário final em incidentes do DLP com base no identificador do usuário final, nos atributos personalizados ou no script.
Procedimento
-
No formulário, preencha os campos.
Tabela 1. Formulário Regra de pesquisa de usuário final do DLP Campo Descrição Nome Nome da regra de pesquisa de usuário final. Ativo Opção para indicar se a regra de pesquisa de usuário final está ativa. Ordem de execução A prioridade da regra de pesquisa do usuário final. Este campo indica a ordem na qual as regras de pesquisa de usuário final são executadas quando duas ou mais regras compartilham as condições de acionamento. A regra de pesquisa de usuário final com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.
O valor padrão é 100.
Descrição Descrição exclusiva da regra de pesquisa de usuário final. Condição Condições no construtor de condição. Essas condições são baseadas na tabela de incidentes do DLP. Para criar uma condição para a regra de pesquisa de usuário final, selecione qualquer um dos campos de incidente. Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.
Para adicionar mais condições, clique em E ou OU.- Se AND for selecionado, todas as condições deverão ser correspondidas.
- Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
Para definir uma segunda condição de filtro, clique em Novos critérios.
Por exemplo, você pode definir as condições para esta regra de pesquisa de usuário final selecionando a condição como Origem de integração, contém, Symantec.
Nota:As condições no construtor de condição fazem distinção entre maiúsculas e minúsculas.Pesquisar usuário final usando Opção para pesquisar usuário final usando o campo Incidente ou Script. Identificador de usuário final O identificador de usuário final do incidente do DLP. Este campo aparece quando o campo Incidente é selecionado no campo Pesquisar usuário final usando. Você pode selecionar um identificador de usuário final a partir do seguinte: - E-mail do proprietário dos dados
- Destino
- Arquivo criado por
- Arquivo modificado por
- Proprietário do arquivo
- Nome de usuário do FTP
- Remetente
- Usuário personalizado do incidente
Atributo personalizado Opção para especificar um atributo personalizado do incidente que tem a referência a um usuário. Este campo é exibido somente quando Usuário personalizado do incidente é selecionado no campo Identificador do usuário final. Script Você pode usar o editor de script para personalizar e formatar os valores de campo durante a criação da regra de pesquisa do usuário final. Por exemplo, você pode usar o campo de endereço de e-mail para identificar o usuário final. O exemplo a seguir mostra uma regra de pesquisa de usuário final com o nome "Symantec". O construtor de condição requer que a "Origem da integração" seja "Symantec". A opção Pesquisar usuário final usando está definida como "Campo de incidente" e a opção Identificador de usuário final está definida como "Arquivo modificado por".Figura 1. Regra de pesquisa de usuário final do DLP