Criar regras de consolidação de incidentes

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Crie regra de consolidação de incidentes para consolidar vários incidentes de natureza semelhante em um incidente primário.

    Antes de Iniciar

    Função necessária:
    • sn_dLIR.admin - Criar, editar e excluir
    • sn_DLIR.analyst e sn_dLIR.analyst_read - Exibir (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    O administrador do DLP define essas regras de consolidação de incidentes para consolidar automaticamente os incidentes do DLP da mesma natureza em um incidente primário. A regra de consolidação de incidentes do DLP permite consolidar os incidentes do DLP com base na configuração fornecida para Duração da consolidação e Identificação da consolidação.

    Nota:

    Quando um incidente consolidado é criado, ele se torna secundário do incidente DLP primário. Se a gravidade do incidente consolidado for maior do que a do primário, a gravidade do incidente primário será atualizada para corresponder ao incidente secundário.

    Procedimento

    1. Navegar até Tudo > Administração da DLP > Regras de consolidação de incidentes da DLP.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de atribuição do DLP
      Campo Descrição
      Nome Nome da regra de consolidação do incidente.
      Ativo Opção para indicar se a regra de consolidação do incidente está ativa.
      Ordem de execução

      A prioridade da regra de consolidação do incidente. Este campo indica a ordem na qual as regras de consolidação de incidentes são executadas quando duas ou mais regras compartilham as condições de acionamento.

      A regra de consolidação de incidentes com o número mais baixo tem a prioridade mais alta. Para definir a ordem da operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.

      O valor padrão é 100.
      Descrição Descrição exclusiva da regra de consolidação do incidente.
      Condição Condições no Construtor de condições. Essas condições são baseadas na tabela de incidentes do DLP. Para criar uma condição para a regra de consolidação de incidente, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros para a primeira linha.

      Para adicionar mais condições, clique em E. ou OU .
      • Se E. selecionado, todas as condições devem ser correspondidas.
      • Se OU está selecionado, qualquer condição pode ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios .

      Por exemplo, você pode definir as condições para esta regra de consolidação de incidente selecionando a condição como Origem de integração , contém , Symantec .

      Nota:
      As condições no Construtor de condições diferenciam maiúsculas de minúsculas.
      Duração da consolidação Opção para definir a duração da consolidação do incidente.

      Os incidentes neste período com os mesmos valores para os campos selecionados serão consolidados no primeiro incidente. O primeiro incidente correspondente a esta regra será o incidente primário e o restante dos incidentes serão incidentes secundários.
      Consolidar incidentes por Selecione o campo Incidente do DLP para consolidar os incidentes quando tiver o mesmo valor no campo selecionado para incidentes diferentes.

      Selecione pelo menos um campo. Selecione pelo menos um campo.

      O exemplo a seguir mostra uma regra de consolidação de incidentes com o nome Consolidar incidentes para integração da Symantec. O Construtor de condições requer a Origem de integração como Symantec. . Duração da condição A opção está definida como 1 hora e a opção Nome da política está selecionada para Consolidar incidente por .

      No momento da ingestão de incidentes do Symantec DLP, esta regra será executada e, quando vários incidentes tiverem o mesmo nome de política, o incidente será consolidado no primeiro incidente ingerido correspondente a esta regra.

    4. Clique em Enviar.
      Os incidentes consolidados com base na regra de consolidação estarão disponíveis na lista Incidentes secundários no Espaço do analista do DLP.