Data Loss Prevention Incident Response Espaço do analista

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 15 min. de leitura

    • Use o espaço do analista Data Loss Prevention Incident Response (DLP IR) para exibir os incidentes da DLP. Atribua os incidentes a usuários finais para resolução e muito mais.

    O espaço da DLP consiste em uma página inicial com painéis, exibições de lista e exibições de formulário que permitem monitorar incidentes da DLP.

    Figura 1. Página de visão geral do espaço da DLP
    Página de visão geral do espaço da DLP.

    Revisar e atribuir seus incidentes da DLP

    Acesse o espaço do analista Data Loss Prevention Incident Response (DLP IR) para que você possa revisar os incidentes da DLP e atribuí-los ou resolvê-los. Você pode rastrear tendências em incidentes por gravidade, principais infratores, incidentes por origem de verificação e incidentes por política.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.analyst — Editar e exibir incidentes da DLP.
    • sn_dlir.analyst_read e sn_dlir.read — Exibir incidentes da DLP.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista da DLP.
      A página da lista de operações Meus incidentes do espaço da DLP é aberta em uma nova guia.
    2. Clique no ícone da página inicial do espaço da DLP para exibir a exibição da página inicial do espaço.
    3. Revise os widgets do painel para identificar tendências por incidentes por gravidade, principais infratores, incidentes por origem de verificação e incidentes por política.
    4. Clique nos filtros apropriados na página inicial para exibir os widgets por suas várias categorias.
      Filtros Descrição
      Incidentes em aberto Exibir todos os incidentes em aberto.
      Incidentes críticos atrasados Exiba os incidentes que têm o rótulo de gravidade crítica e que estão atrasados.
      Incidentes atribuídos a usuários finais Exibir os incidentes atribuídos a usuários finais.
    5. Você pode revisar e atribuir os incidentes da DLP de duas maneiras:
      1. A primeira maneira é localizar e selecionar um ou mais incidentes do DLP que você deseja revisar e clicar na caixa de seleção ao lado dos incidentes.
      2. Escolha a opção apropriada para você.
        Opção Descrição
        Atualizar lista Opção para atualizar a lista de incidentes do DLP ao fazer uma atualização.
        Ações de lista Lista de ações que você pode executar. Estas são as opções:
        • Salvar como
        • Editar colunas
        • Redefinir larguras
        Nota:
        Quando você tiver sua própria lista personalizada, criada na seção Minhas listas configurada para o seu espaço, também poderá executar as ações de lista adicionais abaixo:
        • Renomear
        • Salvar
        • Excluir
        Copiar URL para todos Opção para copiar os URLs de todos os incidentes do DLP.
        Mostrar painel do filtro Opção para detalhar os incidentes necessários usando a opção de filtro.
        1. Clique no filtro no canto superior esquerdo da página e selecione Exibição avançada.
        2. Use um filtro existente ou crie o seu próprio adicionando condições que contenham um campo, operador e valores.
        3. Para adicionar mais condições, clique em E ou OU:
          • Se E for selecionado, todas as condições deverão ser atendidas.
          • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
        4. Clique em Atualizar.
        Atribuir Incidente Ação para determinar a quem atribuir o incidente da DLP. Estas são as opções:
        • Atribuir incidente a: opção para atribuir o incidente a um analista, usuário final ou outra pessoa.
        • Usuário: opção para determinar a qual usuário o incidente deve ser atribuído.
        • Pré-resposta do usuário do estado do incidente: opção para determinar em que estado o incidente deve estar antes que o usuário responda. Também pode ser um estado personalizado.
        • Anexar avaliação: opção para indicar se você deseja anexar uma avaliação ao incidente. Se habilitada, as opções abaixo estarão disponíveis:
          • Modelo de avaliação: opção para selecionar um modelo de avaliação para o incidente da DLP.
          • Pós-resposta do usuário do estado do incidente Opção para selecionar em qual estado o incidente da DLP deve estar depois que o usuário responder.
        Responder Responda a um incidente selecionando uma opção de resposta do incidente. Por exemplo, se o usuário excluir um arquivo que viola uma política da DLP, o usuário poderá escolher a opção Arquivo excluído para enviar a confirmação manual de que o arquivo foi excluído e fornecer comentários.

        A partir daqui, você também pode selecionar opções de resposta avançadas. Por exemplo, Solicitar liberação de e-mail da quarentena.
        Escalar Ação para escalar o incidente. Você pode escalar o incidente selecionando o usuário para o qual deseja escaloná-lo. Você também pode obter informações adicionais no campo Comentários.
        Atualizar Estado Ação para atualizar o estado do incidente. Você pode atualizar o estado do incidente selecionando um dos estados nas opções suspensas. Também pode ser um estado personalizado.
        Encerrar Ação para fechar os incidentes. Selecione o Código de fechamento correspondente na lista suspensa e adicione comentários de fechamento.
        O recurso Fechar em Data Loss Prevention Incident Response é feito de forma assíncrona e síncrona na exibição de lista.
        1. Fechamento síncrono: ao fechar incidentes de forma síncrona, isso significa que a ação de fechamento é executada imediatamente. Quando você seleciona vários incidentes para fechamento e se a contagem de incidentes for menor ou igual a 100, os incidentes serão fechados em primeiro plano na exibição de lista de incidentes da DLP. Aqui, 100 é o valor padrão.
        2. Fechamento assíncrono: isso significa que a solicitação de fechamento é enviada e a aplicação executa a solicitação em segundo plano se a contagem de incidentes selecionados for maior que 100.

          Você precisa atualizar a exibição de lista de incidentes da DLP para ver o status atualizado dos incidentes.

          Nota:
          • A contagem de incidentes selecionados para fechamento assíncrono ou síncrono é configurada usando a propriedade do sistema sn_dlir.closure_sync_count_limit.
          • Por padrão, a contagem de incidentes é definida como 100.
      3. A segunda maneira é clicar em um incidente do DLP específico para abri-lo.
        • GuiaDetalhes : exibe as seguintes seções:
          • Detalhes: você pode exibir os detalhes do incidente da DLP, como número do incidente, gravidade, nome do arquivo e assim por diante. Você também tem a capacidade de modificar os campos Gravidade, Estado, Usuário final e Grupo de analistas da DLP, respectivamente, e salvá-los.
          • Compor: para adicionar comentários sobre o incidente do DLP que estão visíveis para todos, insira os comentários na guia Comentários. Para adicionar comentários que ficam visíveis para determinadas pessoas, insira os comentários na guia Anotações de trabalho (privado).
          • Atividade: você pode exibir os detalhes das diferentes atividades no incidente da DLP.
          • Anexos: se você tiver anexos relacionados ao incidente do DLP, clique em Procurar e selecione o anexo na sua unidade local.
        • GuiaDetalhes adicionais : exibe todas as informações adicionais sobre o incidente da DLP, incluindo campos personalizados.
          Importante:
          • Campos personalizados para incidentes do DLP são compatíveis somente com a versão San Diego ou posterior.
          • Você pode usar a guia Detalhes adicionais para ver se algum campo personalizado foi criado para um incidente específico da DLP ou não.
        • GuiaAtributos personalizados : exibe a lista de atributos personalizados relacionados ao incidente da DLP.
        • Outros incidentes do usuário final: exibe o incidente do mesmo usuário final. É possível consolidar incidentes executando a ação Adicionar como incidente secundário a partir desta lista relacionada.
        • Tipo de informação confidencial detectada: exibe as informações confidenciais detectadas do incidente.
          Nota:
          Esta lista relacionada está visível somente para os incidentes do DLP criados para integrações da Microsoft ou da Symantec. No registro de incidentes da Microsoft ou da Symantec, sempre que o usuário acessa o registro de tipo de informação confidencial detectado, o conteúdo de correspondência realçado em relação a essa integração é exibido.
        • Incidentes secundários: exibe os incidentes secundários criados manualmente (executando a ação "Adicionar como incidente secundário") ou a partir das regras de consolidação da DLP. É possível desvincular o incidente secundário executando "Desvincular incidente secundário" nesta lista relacionada.
        • Incidentes clonados: exibe os incidentes clonados do incidente primário. Ao clicar na ação Clonar incidente da exibição do formulário, você pode criar um novo incidente clonado.
        • GuiaAvaliações : exibe a lista de avaliações atribuídas ao incidente da DLP.
      4. Escolha a opção apropriada para você.
        Opção Descrição
        Atribuir Incidente Ação para determinar a quem atribuir o incidente da DLP. Estas são as opções:
        • Atribuir incidente a: opção para atribuir o incidente a um analista, usuário final ou outra pessoa.
        • Usuário: opção para selecionar o usuário ao qual o incidente deve ser atribuído.
        • Pré-resposta do usuário do estado do incidente: opção para selecionar em qual estado o incidente deve estar antes que o usuário responda. Também pode ser um estado personalizado.
        • Anexar avaliação: opção para indicar se você deseja anexar uma avaliação ao incidente. Se habilitada, as opções abaixo estarão disponíveis:
          • Modelo de avaliação: opção para selecionar um modelo de avaliação para o incidente da DLP.
          • Pós-resposta do usuário do estado do incidente: opção para selecionar em qual estado o incidente da DLP deve estar depois que o usuário responder.
        Cancelar aprovação Ação para cancelar a solicitação de aprovação.

        Esta ação ficará visível para os analistas na exibição do formulário somente quando o incidente da DLP estiver no estado Aprovação pendente. As opções disponíveis são:

        • Atribuir incidente a: opção para atribuir o incidente a ninguém, a um analista ou a outra pessoa.
        • Usuário: opção para selecionar o usuário ao qual o incidente deve ser atribuído.
        • Estado pós-cancelamento do incidente: opção para selecionar em qual estado o incidente deve estar após o cancelamento da solicitação.
        • Comentários: para fornecer detalhes adicionais para o cancelamento.
        Designar Avaliação Ação para anexar uma avaliação ao atribuir o incidente. As opções são as seguintes:
        • Modelo de avaliação: opção para selecionar um modelo de avaliação para o incidente da DLP.
        • Pós-resposta do usuário do estado do incidente: opção para selecionar em qual estado o incidente da DLP deve estar depois que o usuário responder.
        Baixar arquivo Ação para baixar o arquivo ou e-mail que tem o conteúdo violado. Esta ação pode ser realizada para incidentes criados para o Microsoft OneDrive, SharePoint Online ou Exchange Online.
        Salvar Ação para salvar as mudanças feitas. Você tem a opção de modificar os campos Gravidade, Estado e Usuário final do incidente da DLP e salvá-los.
        Responder Responda a um incidente selecionando uma opção de resposta do incidente. Por exemplo, se o usuário excluir um arquivo que viola uma política da DLP, o usuário poderá escolher a opção Arquivo excluído para enviar a confirmação manual de que o arquivo foi excluído e fornecer comentários.

        A partir daqui, você também pode selecionar as opções de resposta avançadas. Por exemplo: Solicitar liberação de e-mail da quarentena.
        Escalar Ação para escalar o incidente. Você pode escalar o incidente selecionando o usuário para o qual deseja escaloná-lo. Você também pode obter informações adicionais no campo Comentários.
        Clonar incidente Ação para criar um incidente de clone se o registro do incidente afetar vários usuários. Você pode atribuir os incidentes clonados a várias partes interessadas, como jurídico/TI.

        Depois de criar um registro de incidente de clone, uma nova guia Incidentes clonados é criada no incidente primário da DLP e todos os incidentes clonados são listados nesta exibição.

        Nota:
        • Se o registro de incidente da DLP primária for encerrado, todos os registros de incidentes clonados serão encerrados automaticamente.
        • Se um registro de incidente da DLP contiver um incidente clonado, ele não poderá ser atribuído a usuários finais. Os registros de incidentes da DLP primária podem ser gerenciados somente por usuários com a função de analista.
        • Você também tem a opção de atualizar automaticamente o estado primário com base no estado dos incidentes clonados no módulo Configuração padrão. Por exemplo, se todos os incidentes clonados forem movidos para o estado Escalado, o incidente primário também será movido para o estado Escalado.
        Encerrar Ação para fechar o incidente. Você deve selecionar o Código de fechamento correspondente na lista suspensa e adicionar comentários de fechamento, se necessário.
        Fechar como falso-positivo Ação para fechar o incidente como falso-positivo. Você também pode adicionar comentários adicionais antes de fechar o incidente.
        Figura 2. Espaço do analista da DLP
        Espaço do analista da DLP: guia Detalhes
    6. Você pode ver a exibição de lista na página inicial, acessando o canto superior esquerdo da página e clicando na guia Listas.
      A categoria Listas consiste nas páginas de lista padrão e personalizadas para incidentes do DLP.
      • Guia Listas: listas padrão para incidentes da DLP. Estas são as listas padrão:
        • Tudo
        • Aberto
        • Meus Incidentes
        • Atribuído ao meu grupo​
        • Escalado
        • Em atraso
        • Avaliações pendentes
        • Ação do usuário pendente
        • Incidentes clonados
        • Incidentes arquivados
      • Guia Minhas listas: exibe todas as listas que você renomeou e todas as que criou.
      O exemplo a seguir mostra o espaço da DLP com as categorias de exibição de lista. A opção Todas as exibições de lista está selecionada.
      Figura 3. Exibição de listas do Espaço do analista da DLP
      Exibição de listas do Espaço do analista da DLP

    Visualizar arquivos de evidências

    Visualize Data Loss Prevention Incident Response arquivos de evidências no espaço do analista de IR da DLP.

    Antes de Iniciar

    Importante:
    Ao usar a ação Arquivos de evidências no espaço do analista da DLP, os arquivos de evidências são armazenados temporariamente no banco de dados da ServiceNow em um formato não criptografado. Se você não quiser armazenar os arquivos de evidências, desabilite o recurso de visualização Arquivos de evidências. Para obter mais informações, consulte Definir configurações avançadas.

    Função necessária: sn_dlir.analyst

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista da DLP.
    2. Abra um registro de incidente da DLP.
    3. Selecione o ícone Arquivos de evidências ( ícone Arquivos de evidências), que está disponível na barra lateral contextual.
    4. Na guia Arquivos de evidências, selecione o cartão Arquivo de evidências para visualizar os arquivos de evidências no visualizador de documentos.
      Visualizar arquivos de evidências.

      O recurso de visualização é diferente para cada tipo de arquivo, conforme listado na tabela a seguir.

      Formato do arquivo Extensão de arquivo
      Imagem .bmp, .gif, .ico, .jpeg, .jpg, .png, .svg e .webp.

      Os arquivos de imagem são abertos no modo visualizador de documentos.
      Microsoft Arquivos do Office .doc, .docx, .ppt, .pptx, .xls e .xlsx

      Os arquivos do Office são abertos no modo visualizador de documentos.
      Arquivos de texto .txt

      Arquivos de texto são abertos no modo de editor de texto.
      Arquivos de e-mail .eml
      Nota:
      O tamanho do arquivo deve ser inferior a 5 MB. Você deve primeiro baixar o arquivo para visualizar seu conteúdo.
      Arquivos PDF .pdf
      • Insira uma palavra-chave para pesquisar o documento.
      • Recursos de ampliação e redução para ajustar a exibição para melhorar a legibilidade.
      • Gire a página no sentido horário ou anti-horário para exibir o conteúdo com mais clareza.
      Nota:

      Arquivos binários não serão renderizados e precisam ser baixados para visualizar seu conteúdo. O recurso de visualizar arquivo de evidências também funciona para incidentes arquivados.

    Playbook para Data Loss Prevention Incident Response

    Um Data Loss Prevention Incident Response Playbook é um guia passo a passo para lidar e reduzir incidentes de perda de dados, que podem incluir exposições não autorizadas, vazamentos ou violações de informações confidenciais que podem comprometer a segurança da sua organização.

    A imagem a seguir mostra os playbooks de amostra disponíveis para DLP IR.

    Figura 4. Playbooks de amostra para resposta a incidentes da DLP
    Playbooks para resposta a incidentes da DLP

    A tabela a seguir lista as atividades e fases envolvidas na criação de um playbook. Para obter mais informações, consulte Adicionar um Playbook da DLP:

    Atividade Descrição
    Detecção Identifique e confirme o acesso não autorizado ou a exposição de dados confidenciais.
    Contenção Isole os sistemas ou usuários afetados para evitar mais vazamentos de dados ou acesso não autorizado.
    Investigação Investigue a violação para entender como ela ocorreu, quais dados foram afetados e o possível impacto.
    Notificação Notifique as equipes internas, as partes interessadas externas e os órgãos reguladores conforme exigido por lei ou política.
    Correção Aplique medidas corretivas para lidar com vulnerabilidades, atualizar políticas e evitar violações futuras.
    Recuperação Restaure sistemas de backups seguros e valide a integridade dos dados pós-incidente.
    Análise pós-incidente Analise o incidente para identificar as causas raízes, melhorar os controles de segurança e fortalecer as políticas.

    A figura a seguir mostra o fluxo de trabalho de atividades e fases envolvidas na criação do playbook.

    Figura 5. Fluxo de trabalho de design do playbook
    Fluxo de trabalho de design do playbook
    Nota:
    Este é o playbook de exemplo para Violação de dados confidenciais. Com base no tipo de playbook, o fluxo de trabalho pode mudar.

    Adicionar um Playbook da DLP

    Adicione um playbook no espaço do analista Data Loss Prevention Incident Response, que pode atuar como um guia para abordar e atenuar incidentes de perda de dados que podem comprometer a segurança da sua organização.

    Antes de Iniciar

    Função necessária: sn_dlir.analyst - Adicione ou exiba playbooks no espaço da DLP.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista da DLP.
    2. Na página Espaço do analista da DLP - Meus incidentes, abra qualquer incidente da DLP.
    3. Navegue até a guia Playbooks.
    4. No menu ( ícone Mais ações), selecione Adicionar Playbooks e selecione um playbook no menu suspenso.
    5. Selecione Adicionar Playbooks.
    6. Selecione cada raia para explorar as tarefas que este playbook executa.
      Figura 6. Amostra de playbook da DLP
      Adicione um Playbook da DLP.

    Cancelar um Playbook da DLP

    Cancele um Playbook Data Loss Prevention Incident Response para interromper um fluxo de negócios quando ele não for mais válido.

    Antes de Iniciar

    Nota:
    Os playbooks são cancelados automaticamente quando o incidente do DLP associado é encerrado.

    Função necessária: sn_dlir.admin.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista da DLP.
    2. Abra qualquer incidente da DLP.
    3. Navegue até a guia Playbooks.
    4. No cabeçalho do Playbook que você deseja cancelar, selecione o ícone ( Ícone Mais ações.) e escolha Cancelar Playbook.
    5. Forneça um motivo para o cancelamento do playbook.
    6. Selecione Cancelar playbook.

    Resultado

    Uma faixa aparece abaixo do cabeçalho do Playbook confirmando que o Playbook foi cancelado.

    Exibir incidentes arquivados da DLP

    Use o espaço do analista da DLP para exibir os incidentes arquivados da DLP

    Antes de Iniciar

    Função necessária:
    • sn_dlir.analyst — Editar e exibir incidentes da DLP.
    • sn_dlir.analyst_read e sn_dlir.read — Exibir incidentes da DLP.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista da DLP.
      Por padrão, a seção Meus incidentes é exibida.
    2. Clique em Incidentes arquivados.
      A lista de incidentes arquivados da DLP é exibida.
    3. Clique no botão Mostrar contagem de incidentes para exibir a contagem de incidentes arquivados.
      Nota:
      • Por padrão, a contagem de incidentes arquivados está oculta para melhorar o tempo de carregamento da lista. Você deve clicar no botão Mostrar contagem de incidentes para exibir a contagem de incidentes. Além disso, uma mensagem informativa é exibida mostrando a contagem de incidentes.
      • A propriedade do sistema glide.ui.list.seismic.omit.count está habilitada no sistema de base para os incidentes arquivados para ocultar a contagem da lista de incidentes.
    4. Selecione um ou mais incidentes do DLP que você deseja exibir.
      O incidente da DLP exibe a seção de detalhes do incidente.
      Nota:
      • A guia Outros incidentes de usuários finais também incluirá os incidentes arquivados.
      • A opção Corresponder conteúdo é compatível com todos os incidentes arquivados (que também serão compatíveis com todas as integrações), mas o download do arquivo é compatível somente com integrações da Microsoft.