Criar uma regra de atribuição para seus Data Loss Prevention Incident Response incidentes

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Crie e ative as regras de atribuição. Em seguida, atribua os incidentes Data Loss Prevention Incident Response (IR do DLP) a grupos de usuários, usuários finais, gerentes ou usuário do incidente.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin — Criar, editar e excluir.
    • sn_dlir.analyst e sn_dlir.analyst_read — Exibir (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar regras de atribuição para atribuir incidentes de IR do DLP a grupos de usuários, usuários finais ou gerentes. A atribuição dos incidentes do DLP ocorre quando as condições na regra de atribuição são atendidas.

    Procedimento

    1. Navegar até Todos > Administração do DLP > Regras de atribuição.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de atribuição do DLP
      Campo Descrição
      Nome Nome da regra de atribuição.
      Ativo Opção para indicar se a regra de atribuição está ativa.
      Ordem de execução A prioridade da regra de atribuição. Este campo indica a ordem na qual as regras de atribuição são executadas quando duas ou mais regras compartilham as condições do gatilho.

      A regra de atribuição com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.

      O valor padrão é 100.
      Descrição Descrição exclusiva desta regra de atribuição.
      Condição Condições no construtor de condição. Essas condições são baseadas na tabela de incidentes do DLP. Para criar uma condição para a regra de atribuição, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU.
      • Se AND for selecionado, todas as condições deverão ser correspondidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Por exemplo, suponha que você crie uma regra de atribuição DLP para um endpoint. Você pode especificar que a origem da verificação de condição é um sistema de arquivos de endpoint que deve ser atendido antes de atribuir um incidente.

      Nota:
      As condições no construtor de condição fazem distinção entre maiúsculas e minúsculas.
      Atribuir a Atribuição a um dos seguintes:
      • Grupo de usuários
      • Usuário final
      • Gerente
      • Usuário do incidente
      A atribuição ocorre quando as condições no construtor de condição são atendidas.
      Grupo de usuários Opção para pesquisar e selecionar um grupo de usuários ao qual atribuir os incidentes do DLP. Este campo aparece quando o Grupo de usuários é selecionado no campo Atribuir a.
      Nota:
      Você só pode exibir e selecionar grupos que foram atribuídos à função sn_dlir.analyst.
      Usuário final Opção para atribuir o incidente DLP ao usuário final. A atribuição ocorre quando as condições no construtor de condição são atendidas.
      Atribuir usando campos de gerente Gerente do usuário final. Este campo aparece quando Gerente é selecionado no campo Atribuir a.

      Você pode atribuir os incidentes do DLP a um gerente específico selecionando um dos campos do gerente, como Sobrenome, E-mail, Cidade, Número do funcionário.
      Identificador de usuário O identificador de usuário do incidente. Este campo aparece quando Usuário do incidente é selecionado no campo Atribuir a. Você pode selecionar um identificador de usuário a partir do seguinte:
      • E-mail do proprietário dos dados
      • Destino
      • Arquivo criado por
      • Arquivo modificado por
      • Proprietário do arquivo
      • Nome de usuário do FTP
      • Remetente
      • Usuário personalizado do incidente
      Atributo personalizado Opção para especificar um atributo personalizado do incidente que tem a referência a um usuário. Este campo é exibido somente quando o Usuário personalizado do Incidente é selecionado no campo Identificador do usuário.
      Anexar avaliação Opção para indicar se você deseja anexar uma avaliação ao incidente.
      Estado da resposta da pré-avaliação Opção para selecionar o estado em que o incidente deve estar antes que o usuário final responda. Também pode ser um estado personalizado.

      O valor padrão é Avaliação pendente.
      Estado da resposta pós-avaliação Opção para selecionar em que estado o incidente DLP deve estar depois que o usuário responder.

      O valor padrão é Avaliação concluída.
      Avançado Opção avançada para identificar o usuário final. Este campo é exibido somente quando o Usuário personalizado do Incidente é selecionado no campo Identificador do usuário.

      Você pode usar o editor de script para personalizar e formatar os valores de campo durante a criação da regra de atribuição para identificar o usuário final. Em seguida, você escolhe a quem deseja atribuir o incidente DLP, que pode ser um usuário final ou o gerente do usuário final.

      Por exemplo, você pode usar o campo de endereço de e-mail para identificar o usuário final.
      O exemplo a seguir mostra uma regra de atribuição com o nome Atribuir incidente de prioridade "média" ao usuário final. O construtor de condição requer que a Origem de verificação seja Atribuir incidente de prioridade "média" ao usuário finale que o campo Atribuir a esteja definido como Usuário final. Em seguida, você pode pesquisar o "E-mail" do usuário final.
      Figura 1. Regra de atribuição do DLP
      Crie as regras de atribuição para seus Data Loss Prevention Incident Response incidentes
    4. Clique em Enviar.
      Você também tem a opção de selecionar uma ou mais regras de atribuição e reaplicá-las em todos os incidentes do DLP existentes.
    5. Para reaplicar uma regra de atribuição em todos os incidentes do DLP existentes, clique em Reaplicar.