Configurar as regras de data de vencimento da resposta para seus incidentes do DLP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Configure as regras de prazo da resposta para determinar o tempo que você deseja conceder aos usuários finais para responder aos incidentes atribuídos Data Loss Prevention Incident Response (IR do DLP).

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin — Criar, editar e excluir.
    • sn_dlir.analyst e sn_dlir.analyst_read — Exibir (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar este módulo para definir as regras de data de vencimento da resposta para os diferentes tipos de incidentes do DLP e as regras para iniciar a contagem da data de vencimento. Depois que a data de vencimento expirar, os usuários serão notificados sobre o incidente atrasado. Você também tem a opção de escalonar o incidente atrasado para um dos seguintes:
    • Gerente
    • Usuário personalizado do incidente
    • Grupo de usuários

    Por exemplo, quando você escala o incidente atrasado para um gerente e especificou no máximo três níveis de escalação. O primeiro nível de gerente é notificado primeiro. Se o incidente estiver atrasado novamente, o segundo nível de gerente será notificado, seguido pelo terceiro nível se o incidente ainda estiver atrasado. Se o gerente tiver um delegado, ele terá a opção de atribuir a escalação ou o incidente atrasado ao delegado.

    Você também tem a capacidade de criar várias regras de prazo de resposta.

    Procedimento

    1. Navegar até Todos > Administração do DLP > Regras do prazo da resposta.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra do prazo da resposta
      Campo Descrição
      Nome Nome da regra de prazo da resposta.
      Ativo Opção para indicar se a regra de prazo da resposta está ativa.
      Vencimento em (dias) Número de dias de vencimento.
      Data de vencimento contada a partir de Data de início usada para calcular a data de vencimento. A data de vencimento pode ser calculada a partir da primeira vez em que o usuário foi notificado sobre o incidente ou a partir da data de atribuição do incidente.
      Notificar antes do prazo Opção para notificar o usuário final sobre o incidente do DLP antes da data de vencimento.
      Notificar em (dias antes do prazo) Número de dias antes do prazo em que a regra aciona uma notificação para o usuário final.
      Descrição Descrição exclusiva para esta regra de data de vencimento da resposta.
      Condição Condições no construtor de condição. Essas condições são baseadas na tabela de incidentes do DLP. Para criar uma condição para a regra de prazo da resposta, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU.
      • Se AND for selecionado, todas as condições deverão ser correspondidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Nota:
      As condições no construtor de condição fazem distinção entre maiúsculas e minúsculas.
      Escalar Opção para escalonar o incidente DLP para alguém se a data de vencimento da resposta tiver sido violada. Para obter mais informações, consulte Adicionar vários usuários para acessar incidentes do DLP
      Escalar incidente atrasado para Opção para especificar se o incidente deve ser escalonado para um gerente, um usuário personalizado ou um grupo de usuários.

      Este campo é exibido somente quando a opção Escalar está habilitada.
      Atribuir usando Especifique como um gerente deve ser identificado.

      Este campo é exibido somente quando Gerente é selecionado no campo Escalar incidente atrasado para.
      Níveis máximos de escalação Opção para definir o número máximo de níveis de escalação para um gerente e um usuário personalizado.

      Como gerente ou usuário personalizado, você pode definir qualquer número de níveis de escalação. Por padrão, são fornecidos três níveis de escalação.

      • Como gerente, você pode definir qualquer número de níveis de escalação atualizando o valor neste campo.
      • Como usuário personalizado, você pode usar o ícone + para definir qualquer número de níveis de escalação.
      Atributo personalizado Opção para especificar um atributo personalizado do incidente que tem a referência a um usuário.

      Este campo é exibido somente quando Usuário personalizado do incidente é selecionado no campo Escalar incidente atrasado para.
      Grupo de usuários Opção para pesquisar e selecionar um grupo de usuários para o qual escalar incidentes do DLP.

      Este campo é exibido somente quando o grupo de usuários é selecionado no campo Escalar incidente atrasado para.

      Nota:
      Você só pode exibir e selecionar grupos que foram atribuídos à função sn_dlir.analyst.
      O exemplo a seguir mostra a regra de prazo da resposta para determinar quanto tempo você deseja conceder aos usuários finais para responder aos incidentes Data Loss Prevention Incident Response (DLP) atribuídos. Depois que o usuário final for notificado pela primeira vez, o prazo da resposta será em dois dias. O construtor de condições mostra que a origem da verificação deve corresponder ao sistema de arquivos do endpoint para prosseguir com a criação da data de vencimento da resposta. A opção de escalação está selecionada. O incidente é escalado para o gerente se a data de vencimento da resposta for violada.
      Figura 1. Configurar as regras de data de vencimento da resposta
      Exibição de lista de Regras de dados com vencimento da resposta
    4. Clique em Enviar.