Criar regras de identificação de infratores reincidentes

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Crie regras de identificação de infratores reincidentes para identificar usuários que repetem o mesmo problema várias vezes.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin — Criar, editar e excluir.
    • sn_dlir.analyst e sn_dlir.analyst_read — Exibição (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode identificar infratores reincidentes usando determinadas regras ou critérios. Data Loss Prevention Incident Response fornece campos que você pode usar para identificar infratores reincidentes.

    Procedimento

    1. Navegar até Todos > Administração da DLP > Regras de identificação de infrator reincidente.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de regras de identificação de infrator reincidente
      Campo Descrição
      Nome Nome da regra de identificação de infrator reincidente.
      Ordem de execução Prioridade das regras de identificação de infratores reincidentes. Este campo indica a ordem na qual as regras de identificação de infratores reincidentes são executadas quando duas ou mais regras compartilham as condições de acionamento.

      A regra de identificação de infrator reincidente com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200 ou qualquer outro número. O valor padrão é 100.
      Descrição resumida Descrição exclusiva desta regra de identificação de infrator reincidente.
      Condição Condições no construtor de condições que se baseiam na tabela de incidentes da DLP. Você pode selecionar qualquer um dos campos de incidente para criar a condição do gatilho para a regra de identificação de infrator reincidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU:
      • Se E for selecionado, todas as condições deverão ser atendidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Nota:
      As condições no Construtor de condições fazem distinção entre maiúsculas e minúsculas.
      Campos da DLP Identifique os infratores reincidentes com base nos campos obrigatórios da DLP. Clique no ícone de cadeado ao lado dos Campos da DLP para exibir a lista de campos da DLP disponíveis. Selecione os campos da DLP que você deseja usar na coluna Disponível e mova-os para a coluna Selecionado.

      Por exemplo, você pode selecionar os camposNome do arquivo e Proprietário do arquivo na coluna Disponível e movê-los para a coluna Selecionado. Em seguida, você pode identificar os infratores reincidentes com base nos campos Nome do arquivo e Proprietário do arquivo.

      Portanto, se um usuário violar o limite de infrator reincidente (número de violações e duração) e se o mesmo usuário corresponder aos campos da DLP, esse usuário específico será identificado como reincidente.
      Número de violações Defina o valor limite do infrator reincidente. Depois que o usuário repete as mesmas ações e viola o número especificado de violações, o usuário é identificado como um infrator reincidente.
      Duração (em dias) Defina o limite do infrator reincidente na forma de dias. Depois que o usuário repete as mesmas ações e viola o limite de duração, o usuário é identificado como um infrator reincidente.
      Figura 1. Identificação de infratores reincidentes
      Configurar regras de identificação de infratores reincidentes
    4. Clique em Enviar.