Data Loss Prevention Incident Response Espaço do analista

Gestão de Segurança de Washington DC

Release

washingtondc

ft:locale

pt-BR

ft:publication_title

Gestão de Segurança de Washington DC

ft:clusterId

security

bundleId

security

workflow

Technology

Data Loss Prevention Incident Response Espaço do analista

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

10 min. de leitura

Use o espaço do analista Data Loss Prevention Incident Response (DLP IR) para exibir os incidentes do DLP. Atribua os incidentes aos usuários finais para resolução e muito mais.

O espaço do DLP consiste em uma página inicial com painéis, exibições de lista e exibições de formulário que permitem monitorar incidentes do DLP.

Página de visão geral do espaço do DLP. — Figura 1. Página de visão geral do espaço do DLP

Revisar e atribuir seus incidentes do DLP

Acesse o Espaço do analista Data Loss Prevention Incident Response (DLP IR) para revisar os incidentes do DLP e atribuí-los ou resolvê-los. Você pode rastrear tendências de incidentes por severidade, principais infratores, incidentes por origem de verificação e incidentes por política.

Antes de Iniciar

Função necessária:

sn_dlir.analyst — Edite e exiba incidentes do DLP.
sn_dlir.analyst_read e sn_dlir.read — Exibir incidentes do DLP.

Procedimento

Navegar até Todos > Gestão de incidentes do DLP > Espaço do analista do DLP.
A página da lista de operações Meus incidentes do espaço do DLP é aberta em uma nova guia.
Clique no ícone inicial do espaço do DLP para exibir a página inicial do espaço.
Analise os widgets do painel para identificar tendências por incidentes por gravidade, principais infratores, incidentes por origem de verificação e incidentes por política.

Clique nos filtros apropriados na página inicial para exibir os widgets por suas várias categorias.


Filtros	Descrição
Incidentes abertos	Exibir todos os incidentes em aberto.
Incidentes críticos atrasados	Exiba os incidentes que têm o rótulo de severidade crítica e que estão atrasados.
Incidentes atribuídos a usuários finais	Exiba os incidentes atribuídos aos usuários finais.

Você pode revisar e atribuir os incidentes do DLP de duas maneiras:

A primeira maneira é localizar e selecionar um ou mais incidentes do DLP que você deseja revisar e clicar na caixa de seleção ao lado dos incidentes.

Escolha a opção apropriada para você.


Opção	Descrição
Atualizar lista	Opção para atualizar a lista de incidentes do DLP ao fazer uma atualização.
Ações de Lista	Lista de ações que você pode executar. Estas são as opções: Salvar como Editar colunas Redefinir larguras Nota: Quando você tiver sua própria lista personalizada criada na seção Minhas listas configurada para o seu espaço, também poderá executar as ações de lista adicionais abaixo: Renomear Salvar Excluir
Copiar URL para Todos	Opção para copiar os URLs de todos os incidentes do DLP.
Mostrar painel de filtros	Opção para detalhar os incidentes necessários usando a opção de filtro. Clique no filtro na parte superior esquerda da página e selecione Exibição avançada. Use um filtro existente ou crie o seu próprio adicionando condições que contenham um campo, operador e valores. Para adicionar mais condições, clique em E ou OU: Se AND for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida. Clique em Atualizar.
Atribuir Incidente	Ação para determinar a quem atribuir o incidente DLP. Estas são as opções: Atribuir incidente a: opção para atribuir o incidente a um analista, usuário final ou outra pessoa. Usuário: opção para determinar a qual usuário o incidente deve ser atribuído. Resposta pré-usuário doestado do incidente : opção para determinar em que estado o incidente deve estar antes que o usuário responda. Também pode ser um estado personalizado. Anexar avaliação: opção para indicar se você deseja anexar uma avaliação ao incidente. Se habilitada, as opções abaixo estarão disponíveis: Modelo de avaliação: opção para selecionar um modelo de avaliação para o incidente do DLP. Estado do incidente após a resposta do usuário Opção para selecionar o estado em que o incidente do DLP deve estar depois que o usuário responder.
Responder	Responda a um incidente selecionando uma opção de resposta do incidente. Por exemplo, se o usuário excluir um arquivo que viola uma política DLP, o usuário pode escolher a opção Arquivo excluído para enviar a confirmação manual de que o arquivo foi excluído e fornecer comentários. Aqui, você também pode selecionar opções de resposta avançadas. Por exemplo, Solicitar liberação de e-mail da quarentena.
Escalar	Ação para escalar o incidente. Você pode escalar o incidente selecionando o usuário para o qual deseja escaloná-lo. Você também pode obter informações adicionais no campo Comentários.
Atualizar Estado	Ação para atualizar o estado do incidente. Você pode atualizar o estado do incidente selecionando um dos estados nas opções suspensas. Também pode ser um estado personalizado.
Fechar	Ação para fechar o incidente. Você também pode adicionar comentários adicionais antes de fechar o incidente.

A segunda maneira é clicar em um incidente DLP específico para abri-lo.
- GuiaDetalhes : exibe as seguintes seções:
  - Detalhes: você pode exibir os detalhes do incidente do DLP, como número do incidente, gravidade, nome do arquivo e assim por diante. Você também pode modificar os campos Severidade, Estado, Usuário final e Grupo de analistas do DLP, respectivamente, e salvá-los.
  - Redigir: para adicionar comentários sobre o incidente do DLP que fiquem visíveis para todos, insira os comentários na guia Comentários. Para adicionar comentários que são visíveis para determinadas pessoas, insira os comentários na guia Anotações de trabalho (privadas).
  - Atividade: você pode exibir os detalhes das diferentes atividades no incidente do DLP.
  - Anexos: se você tiver anexos relacionados ao incidente do DLP, clique em Procurar e selecione o anexo na sua unidade local.
- GuiaDetalhes adicionais : exibe todas as informações adicionais sobre o incidente do DLP, incluindo campos personalizados.
  Importante:
  Campos personalizados para incidentes do DLP são compatíveis somente com a versão San Diego ou posterior.
  
  Você pode usar a guia Detalhes adicionais para ver se algum campo personalizado foi criado para um incidente DLP específico ou não.
- GuiaAtributos personalizados : exibe a lista de atributos personalizados relacionados ao incidente do DLP.
- Outros incidentes do usuário final: exibe o incidente do mesmo usuário final. É possível consolidar incidentes executando a ação Adicionar como incidente secundário desta lista relacionada.
- Tipo deinformação confidencial detectada : exibe as informações confidenciais detectadas do incidente.
  Nota:
  Essa lista relacionada fica visível somente para os incidentes do DLP criados para integrações da Microsoft ou da Symantec. No registro de incidente da Microsoft ou da Symantec, sempre que o usuário acessar o registro de tipo de informação confidencial detectado, o conteúdo de correspondência realçado em relação a essa integração será exibido.
- Incidentes secundários: exibe os incidentes secundários criados manualmente (executando a ação "Adicionar como incidente secundário") ou a partir das regras de consolidação do DLP. É possível desvincular o incidente secundário executando "Desvincular incidente secundário" nesta lista relacionada.
- Incidentes clonados: exibe os incidentes clonados do incidente primário. Ao clicar na ação Clonar incidente da exibição do formulário, você pode criar um novo incidente clonado.
- GuiaAvaliações : exibe a lista de avaliações atribuídas ao incidente do DLP.

Escolha a opção apropriada para você.


Opção	Descrição
Atribuir Incidente	Ação para determinar a quem atribuir o incidente DLP. Estas são as opções: Atribuir incidente a: opção para atribuir o incidente a um analista, usuário final ou outra pessoa. Usuário: opção para selecionar o usuário ao qual o incidente deve ser atribuído. Resposta pré-usuário doestado do incidente : opção para selecionar o estado em que o incidente deve estar antes que o usuário responda. Também pode ser um estado personalizado. Anexar avaliação: opção para indicar se você deseja anexar uma avaliação ao incidente. Se habilitada, as opções abaixo estarão disponíveis: Modelo de avaliação: opção para selecionar um modelo de avaliação para o incidente do DLP. Estado do incidente após a resposta do usuário: opção para selecionar o estado em que o incidente DLP deve estar depois que o usuário responder.
Cancelar aprovação	Ação para cancelar a solicitação de aprovação. Esta ação ficará visível para os analistas na exibição do formulário somente quando o incidente do DLP estiver no estado Aprovação pendente. As opções disponíveis são: Atribuir incidente a: opção para atribuir o incidente a ninguém, a um analista ou a outra pessoa. Usuário: opção para selecionar o usuário ao qual o incidente deve ser atribuído. Estado pós-cancelamento do incidente: opção para selecionar o estado em que o incidente deve estar após o cancelamento da solicitação. Comentários: para fornecer detalhes adicionais para o cancelamento.
Designar Avaliação	Ação para anexar uma avaliação ao atribuir o incidente. As opções são as seguintes: Modelo de avaliação: opção para selecionar um modelo de avaliação para o incidente do DLP. Estado do incidente após a resposta do usuário: opção para selecionar o estado em que o incidente DLP deve estar depois que o usuário responder.
Baixar arquivo	Ação para baixar o arquivo ou e-mail que tem o conteúdo violador. Esta ação pode ser realizada para incidentes criados para Microsoft OneDrive, SharePoint Online ou Exchange Online.
Salvar	Ação para salvar as mudanças feitas. Você tem a opção de modificar os campos Severidade, Estado e Usuário final do incidente DLP e salvá-los.
Responder	Responda a um incidente selecionando uma opção de resposta do incidente. Por exemplo, se o usuário excluir um arquivo que viola uma política DLP, o usuário pode escolher a opção Arquivo excluído para enviar a confirmação manual de que o arquivo foi excluído e fornecer comentários. Aqui, você também pode selecionar as opções de resposta avançadas. Por exemplo: Solicitar liberação de e-mail da quarentena.
Escalar	Ação para escalar o incidente. Você pode escalar o incidente selecionando o usuário para o qual deseja escaloná-lo. Você também pode obter informações adicionais no campo Comentários.
Clonar incidente	Ação para criar um incidente de clone se o registro do incidente afetar vários usuários. Você pode atribuir os incidentes clonados a várias partes interessadas, como jurídico/TI. Depois de criar um registro de incidente de clone, uma nova guia Incidentes clonados é criada no incidente DLP primário e todos os incidentes clonados são listados nesta exibição. Nota: Se o registro de incidente do DLP primário for fechado, todos os registros de incidentes clonados serão fechados automaticamente. Se um registro de incidente do DLP contiver um incidente clonado, ele não poderá ser atribuído aos usuários finais. Os registros de incidentes do DLP primário podem ser gerenciados somente por usuários com a função de analista. Você também tem a opção de atualizar automaticamente o estado primário com base no estado dos incidentes clonados no módulo Configuração padrão. Por exemplo, se todos os incidentes clonados forem movidos para o estado Escalado, o incidente primário também será movido para o estado Escalado.
Fechar	Ação para fechar o incidente. Você também pode adicionar comentários adicionais antes de fechar o incidente.
Fechar como falso positivo	Ação para fechar o incidente como falso-positivo. Você também pode adicionar comentários adicionais antes de fechar o incidente.

Exibição de detalhes do Espaço do analista do DLP — Figura 2. Espaço do analista do DLP

Você pode ver a exibição de lista na página inicial, indo para o canto superior esquerdo da página e clicando na guia Listas.
A categoria Listas consiste nas páginas de lista padrão e personalizadas para incidentes do DLP.
- Guia Listas: listas padrão para incidentes do DLP. Estas são as listas padrão:
  - Todos
  - Em aberto
  - Meus Incidentes
  - Atribuído ao meu grupo
  - Escalado
  - Atrasado
  - Avaliações pendentes
  - Ação do usuário pendente
  - Incidentes clonados
  - Incidentes arquivados
- Guia Minhas listas: exibe todas as listas que você renomeou e todas as que você criou.
O exemplo a seguir mostra o espaço do DLP com as categorias de exibição de lista. A opção de exibição de lista Todos é selecionada.
Figura 3. Exibição de listas do espaço do analista do DLP

Exibir incidentes DLP arquivados

Use o espaço do analista do DLP para exibir os incidentes do DLP arquivados

Antes de Iniciar

Função necessária:

sn_dlir.analyst — Edite e exiba incidentes do DLP.
sn_dlir.analyst_read e sn_dlir.read — Exibir incidentes do DLP.

Procedimento

Navegar até Todos > Gestão de incidentes do DLP > Espaço do analista do DLP.
Por padrão, a seção Meus incidentes é exibida.
Clique em Incidentes arquivados.
A lista de incidentes DLP arquivados é exibida.
Clique no botão Mostrar contagem de incidentes para exibir a contagem de incidentes arquivados.
Nota:
- Por padrão, a contagem de incidentes arquivados está oculta para melhorar o tempo de carregamento da lista. Você deve clicar no botão Mostrar contagem de incidentes para exibir a contagem de incidentes. Além disso, é exibida uma mensagem informativa que mostra a contagem de incidentes.
- A propriedade do sistema glide.ui.list.seismic.omit.count está habilitada no sistema de base para os incidentes arquivados para ocultar a contagem da lista de incidentes.
Selecione um ou mais incidentes do DLP que você deseja exibir.
O incidente do DLP exibe a seção de detalhes do incidente.
Nota:
- A guia Outros incidentes de usuários finais também incluirá os incidentes arquivados.
- Corresponder conteúdo é compatível com todos os incidentes arquivados (que também serão compatíveis com todas as integrações), mas o download do arquivo é compatível somente com integrações da Microsoft.