DLP 인시던트에 대한 응답 기한 규칙 설정

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 응답 기한 규칙을 설정하여 최종 사용자에게 할당 Data Loss Prevention Incident Response 된(DLP IR) 인시던트에 응답할 시간을 결정합니다.

    시작하기 전에

    필요한 역할:
    • sn_dlir.admin - 생성, 편집 및 삭제합니다.
    • sn_dlir.analyst 및 sn_dlir.analyst_read - 보기(읽기 전용)입니다.

    이 태스크 정보

    이 모듈을 사용하여 다양한 유형의 DLP 인시던트에 대한 응답 기한 규칙 및 기한 계산을 시작하는 규칙을 정의할 수 있습니다. 기한이 만료된 후에는 사용자에게 지연된 인시던트에 대한 알림이 전송됩니다. 지연된 인시던트를 다음 중 하나로 에스컬레이션하는 옵션도 제공됩니다.
    • 관리자
    • 인시던트의 사용자 지정 사용자
    • 사용자 그룹

    예를 들어 지연된 인시던트를 관리자에게 에스컬레이션하고 최대 3개의 에스컬레이션 수준을 지정한 경우입니다. 관리자의 첫 번째 수준이 먼저 알림을 받습니다. 인시던트가 다시 기한이 지난 경우 두 번째 수준의 관리자에게 알림이 전송되고, 인시던트가 아직 기한이 지난 경우 세 번째 관리자에게 알림이 전송됩니다. 관리자에게 대리인이 있는 경우 관리자는 에스컬레이션 또는 지연 인시던트를 대리인에게 할당할 수 있습니다.

    복수의 응답 기한 규칙을 작성할 수 있는 기능도 제공됩니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 관리 > 응답 기한 규칙레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 응답 기한 규칙 양식
      필드 설명
      이름 응답 기한 규칙의 이름입니다.
      활성 응답 기한 규칙이 활성 상태인지 여부를 나타내는 옵션입니다.
      기한(일) 기한 일수입니다.
      기한 계산 시작 날짜 기한 계산에 사용되는 시작 날짜입니다. 기한은 사용자에게 인시던트에 대해 처음 알린 시간 또는 인시던트 할당 날짜로부터 계산할 수 있습니다.
      기한 전에 알림 기한 전에 DLP 인시던트에 대해 최종 사용자에게 알리는 옵션입니다.
      알림 날짜(마감일 이전 며칠 전) 규칙에 따라 최종 사용자에게 알림을 트리거하는 기한 전 일 수입니다.
      설명 이 응답 기한 규칙에 대한 고유한 설명입니다.
      조건 조건 작성기의 조건입니다. 이러한 조건은 DLP 인시던트 테이블을 기반으로 합니다. 응답 기한 규칙에 대한 조건을 작성하려면 인시던트 필드 중 하나를 선택합니다.

      조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.

      조건을 더 추가하려면 AND 또는 OR를 클릭합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.

      두 번째 필터 조건을 설정하려면 [새 기준]을 클릭합니다.

      주:
      조건 작성기의 조건은 대/소문자를 구분합니다.
      에스컬레이션 응답 기한을 위반한 경우 DLP 인시던트를 다른 사람에게 에스컬레이션하는 옵션입니다. 자세한 내용은 DLP 인시던트에 액세스하려면 여러 사용자 추가 문서를 참조하십시오.
      기한이 지난 인시던트를 다음으로 에스컬레이션 인시던트를 관리자, 사용자 지정 사용자 또는 사용자 그룹으로 에스컬레이션할지 지정하는 옵션입니다.

      이 필드는 에스컬레이션 옵션이 활성화된 경우에만 나타납니다.
      할당 사용 관리자를 식별하는 방법을 지정합니다.

      이 필드는 지연된 인시던트 에스컬레이션 대상 필드에서 관리자를 선택한 경우에만 표시됩니다.
      최대 에스컬레이션 수준 관리자 및 사용자 지정 사용자의 최대 에스컬레이션 수준 수를 정의하는 옵션입니다.

      관리자 또는 사용자 지정 사용자는 여러 에스컬레이션 수준을 정의할 수 있습니다. 기본적으로 세 가지 수준의 에스컬레이션이 제공됩니다.

      • 관리자는 이 필드의 값을 업데이트하여 원하는 수의 에스컬레이션 수준을 정의할 수 있습니다.
      • 사용자 지정 사용자는 + 아이콘을 사용하여 에스컬레이션 수준의 수를 정의할 수 있습니다.
      사용자 지정 속성 사용자에 대한 참조가 있는 인시던트의 사용자 지정 속성을 지정하는 옵션입니다.

      이 필드는 지연된 인시던트 에스컬레이션 대상 필드에서 인시던트의 사용자 지정 사용자를 선택한 경우에만 표시됩니다.
      사용자 그룹 DLP 인시던트를 에스컬레이션할 사용자 그룹을 검색하고 선택하는 옵션입니다.

      이 필드는 지연된 인시던트 에스컬레이션 대상 필드에서 사용자 그룹을 선택한 경우에만 나타납니다.

      주:
      sn_dlir.analyst 역할이 할당된 그룹만 보고 선택할 수 있습니다.
      다음 예는 최종 사용자가 할당 Data Loss Prevention Incident Response 된(DLP) 인시던트에 응답할 수 있는 시간을 결정하는 응답 기한 규칙을 보여줍니다. 최종 사용자에게 먼저 알림을 보내면 응답 기한이 2일 후가 됩니다. 조건 작성기에서는 응답 기한 생성을 진행하기 위해 스캔 소스가 엔드포인트 파일 시스템과 일치해야 함을 보여줍니다. 에스컬레이션 옵션이 선택됩니다. 응답 기한을 위반하면 인시던트가 관리자에게 에스컬레이션됩니다.
      그림 1. 응답 기한 규칙 설정
      응답 기한 데이터 규칙 목록 뷰
    4. 제출을 클릭합니다.