Criar regras de opção de resposta a incidentes

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Crie as regras de opção de resposta do incidente que o usuário final ou analista pode usar ao responder a um incidente.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin — Criar, editar e excluir.
    • sn_dlir.analyst e sn_dlir.analyst_read — Exibição (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode configurar o tipo de resposta que um usuário final deve executar com base no tipo de incidente do DLP. A aplicação DLP Incident Response do sistema base fornece as seguintes opções de resposta para os usuários:
    • Avaliação concluída
    • Conteúdo excluído
    • Arquivo excluído
    • Arquivo criptografado
    • Conteúdo Mascarado
    • Relatar falso-positivo
    • Denunciar proprietário incorreto
    • Necessário para processo de negócios
    • Direitos revisados

    Por exemplo, digamos que um usuário final relate um incidente do DLP como um falso-positivo. O estado deste incidente é marcado automaticamente como fechado porque o estado de destino configurado por você é fechado.

    Procedimento

    1. Navegar até Todos > Administração da DLP > Regras de opção de resposta do incidente.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regras de opção de resposta do incidente
      Campo Descrição
      Nome Nome da opção de resposta do incidente.
      Ativo Opção para indicar se a opção de resposta do incidente está ativa.
      Ordem de execução Prioridade da opção de resposta do incidente. Este campo indica a ordem na qual as opções de resposta do incidente são executadas quando duas ou mais opções de resposta do incidente compartilham as condições de acionamento.

      A opção de resposta do incidente com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200 ou qualquer outro número.

      O padrão é 100.
      Descrição Descrição exclusiva para esta opção de resposta do incidente.
      Estado de destino padrão O estado de destino padrão que você configurou.
      Condição Condições no construtor de condições. Essas condições são baseadas na tabela de incidentes da DLP. Para criar uma condição para as opções de resposta do incidente, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU:
      • Se E for selecionado, todas as condições deverão ser atendidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Nota:
      As condições no Construtor de condições fazem distinção entre maiúsculas e minúsculas.
      O exemplo a seguir mostra a configuração de ação do usuário final para um endpoint. A condição requer que a origem da verificação seja um sistema de arquivos de endpoint que aciona esta configuração de ação do usuário final. O mapeamento mostra que o relatório de proprietário incorreto, o relatório de falso-positivo e o arquivo excluído são as opções de resposta disponíveis para o usuário final.
      Figura 1. Regra de opção de resposta do incidente
      A regra de opção de resposta a incidentes da lista que o usuário final pode executar.
    4. Na seção Mapeamentos de opção de resposta, clique em Novo.
    5. No formulário, preencha os campos.
      Tabela 2. Formulário Mapeamento de opção de resposta
      Regra de opção de resposta Nome da regra de opção de resposta do incidente. Por exemplo, SharePoint implica que a origem da verificação é o SharePoint. Você pode inserir o nome da resposta do incidente ou pesquisar usando a pesquisa.
      Opção de resposta Opção para selecionar a opção de resposta. Você pode inserir a opção de resposta ou pesquisar usando a pesquisa.
      Estado de destino O estado de destino do incidente da DLP depois que o usuário final seleciona a ação apropriada.
      Nota:
      1. O campo Estado de destino aparecerá somente quando você selecionar a Opção de resposta que é do Tipo: Básica. Para obter mais informações sobre como os tipos de estado de destino são configurados, consulte Configurar opção de resposta para seus incidentes da DLP.
      2. Quando uma opção de resposta do tipo: avançada for selecionada, você não poderá definir o estado de destino e ele ficará oculto. O Estado de destino será atribuído com base no estado personalizado configurado no subfluxo do Flow Designer.
      Mostrar opções de resposta para Opção para determinar as funções do usuário para mostrar as opções de resposta.

      Você pode escolher entre RevisoresAnalista, Usuário final e Analista escalado usando a opção de desbloqueio. Você tem permissão para escolher uma ou todas as funções.
      Figura 2. Ação de mapeamento de opção de resposta
      Página de mapeamento de opção de resposta em Regras de opção de resposta do incidente
    6. Clique em Enviar.