Configurar regras de identificação de reincidentes

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Configure as regras de identificação de reincidentes para identificar usuários que repetem o mesmo problema várias vezes.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin — Criar, editar e excluir.
    • sn_dlir.analyst e sn_dlir.analyst_read — Exibir (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode identificar os reincidentes usando determinadas regras ou critérios. Data Loss Prevention Incident Response fornece campos que você pode usar para identificar infratores reincidentes.

    Procedimento

    1. Navegar até Todos > Administração do DLP > Regras de identificação de infrator reincidente.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de regras de identificação de infrator reincidente
      Campo Descrição
      Nome Nome da regra de identificação do infrator reincidente.
      Ordem de execução Prioridade das regras de identificação de reincidentes. Este campo indica a ordem na qual as regras de identificação do infrator reincidente são executadas quando duas ou mais regras compartilham as condições-gatilho.

      A regra de identificação do infrator reincidente com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200 ou qualquer outro número. O valor padrão é 100.
      Descrição resumida Descrição exclusiva desta regra de identificação de infrator reincidente.
      Condição Condições no construtor de condição que são baseadas na tabela de incidentes do DLP. Você pode selecionar qualquer um dos campos de incidente para criar a condição do gatilho para a regra de identificação de infrator reincidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU:
      • Se AND for selecionado, todas as condições deverão ser correspondidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Nota:
      As condições no construtor de condição fazem distinção entre maiúsculas e minúsculas.
      Campos do DLP Identifique os reincidentes com base nos campos DLP obrigatórios. Clique no ícone de cadeado ao lado dos Campos do DLP para exibir a lista de campos do DLP disponíveis. Selecione os campos do DLP que você deseja usar na coluna Disponível e mova-os para a coluna Selecionado.

      Por exemplo, você pode selecionar os camposNome do arquivo e Proprietário do arquivo na coluna Disponível e movê-los para a coluna Selecionado. Em seguida, você pode identificar os infratores reincidentes com base nos campos Nome do arquivo e Proprietário do arquivo.

      Portanto, se um usuário violar o limite do reincidente (número de violações e duração) e se o mesmo usuário corresponder aos campos do DLP, esse usuário específico será identificado como reincidente.
      Número de violações Defina o valor limite do infrator reincidente. Depois que o usuário repete as mesmas ações e viola o número especificado de violações, o usuário é identificado como reincidente.
      Duração (em dias) Defina o limite do infrator reincidente na forma de dias. Depois que o usuário repete as mesmas ações e viola a duração do limite, o usuário é identificado como um infrator reincidente.
      Figura 1. Identificar infratores reincidentes
      Configurar regras de identificação de reincidentes
    4. Clique em Enviar.