Configure regras de consolidação de incidentes para consolidar seus incidentes DLP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Configure a regra de consolidação de incidentes para consolidar vários incidentes de natureza semelhante em um incidente primário.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin - criar, editar e excluir
    • sn_dlir.analyst e sn_dlir.analyst_read - Exibir (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    O administrador do DLP define essas regras de consolidação de incidentes para consolidar automaticamente os incidentes do DLP da mesma natureza em um incidente primário. A regra de consolidação de incidentes DLP permite consolidar os incidentes DLP com base na configuração fornecida para Duração da consolidação e Identificação de consolidação.

    Procedimento

    1. Navegar até Todos > Administração do DLP > Regras de consolidação de incidentes do DLP.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de atribuição do DLP
      Campo Descrição
      Nome Nome da regra de consolidação do incidente.
      Ativo Opção para indicar se a regra de consolidação do incidente está ativa.
      Ordem de execução

      A prioridade da regra de consolidação de incidentes. Este campo indica a ordem na qual as regras de consolidação de incidentes são executadas quando duas ou mais regras compartilham as condições de acionamento.

      A regra de consolidação de incidente com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.

      O valor padrão é 100.
      Descrição Descrição exclusiva da regra de consolidação do incidente.
      Condição Condições no construtor de condição. Essas condições são baseadas na tabela de incidentes do DLP. Para criar uma condição para a regra de consolidação de incidente, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU.
      • Se AND for selecionado, todas as condições deverão ser correspondidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Por exemplo, você pode definir as condições para esta regra de consolidação de incidente selecionando a condição como Origem de integração, contém, Symantec.

      Nota:
      As condições no construtor de condição fazem distinção entre maiúsculas e minúsculas.
      Duração da consolidação Opção para definir a duração da consolidação do incidente.

      Os incidentes neste período com os mesmos valores para os campos selecionados serão consolidados no primeiro incidente. O primeiro incidente correspondente a esta regra será o incidente primário e o restante dos incidentes serão incidentes secundários.
      Consolidar incidentes por Selecione o campo de incidente DLP para consolidar os incidentes quando tiverem o mesmo valor no campo selecionado para incidentes diferentes.

      Selecione pelo menos um campo. Selecione pelo menos um campo.

      O exemplo a seguir mostra uma regra de consolidação de incidentes com o nome Consolidar incidentes para integração da Symantec. O construtor de condição requer que a Origem de integração seja Symantec. A opção Duração da condição é definida como 1 hora e a opção Nome da política é selecionada para Consolidar incidente em.

      No momento da ingestão do incidente do Symantec DLP, esta regra será executada e, quando vários incidentes tiverem o mesmo nome de política, o incidente será consolidado no primeiro incidente ingerido correspondente a esta regra.

    4. Clique em Enviar.
      Os incidentes consolidados com base na regra de consolidação estarão disponíveis na lista Incidentes secundários no DLP Analyst Workspace.