응답 기한 규칙 생성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기3분

    • 응답 기한 규칙을 설정하여 최종 사용자에게 할당 Data Loss Prevention Incident Response 된(DLP IR) 인시던트에 응답하는 데 제공할 시간을 결정합니다.

    시작하기 전에

    필요한 역할:
    • sn_dlir.admin - 생성, 편집 및 삭제.
    • sn_dlir.analyst 및 sn_dlir.analyst_read - 보기(읽기 전용)입니다.

    이 태스크 정보

    이 모듈을 사용하여 다양한 유형의 DLP 인시던트에 대한 응답 기한 규칙과 기한 계산을 시작하는 규칙을 정의할 수 있습니다. 기한이 만료되면 사용자는 기한이 지난 인시던트에 대한 알림을 받습니다. 기한이 지난 인시던트를 다음 중 하나로 에스컬레이션하는 옵션도 제공됩니다.
    • 관리자
    • 인시던트의 사용자 지정 사용자
    • 사용자 그룹

    예를 들어 기한이 지난 인시던트를 관리자에게 에스컬레이션하고 최대 3개의 에스컬레이션 수준을 지정한 경우입니다. 첫 번째 수준의 관리자가 먼저 알림을 받습니다. 인시던트가 다시 기한이 지나면 두 번째 수준 관리자에게 알림이 전송되고, 인시던트가 아직 기한이 지났으면 세 번째 수준에 알림이 전송됩니다. 관리자에게 대리인이 있는 경우 관리자는 에스컬레이션 또는 지연 인시던트를 위임자에게 할당할 수 있습니다.

    여러 응답 기한 규칙을 생성할 수 있는 기능도 제공됩니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 관리 > 응답 기한 날짜 규칙.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 응답 기한 날짜 규칙 양식
      필드 설명
      이름 응답 기한 규칙의 이름입니다.
      활성 응답 기한 규칙이 활성 상태인지 여부를 나타내는 옵션입니다.
      기한(일) 기한 일수입니다.
      기한 계산 시작 기한 계산에 사용되는 시작 날짜입니다. 기한은 사용자에게 인시던트에 대해 처음 알린 시간 또는 인시던트 할당 날짜부터 계산할 수 있습니다.
      기한 전에 알림 기한 전에 DLP 인시던트에 대해 최종 사용자에게 알리는 옵션입니다.
      다음에 알림(기한 전 날짜) 규칙에서 최종 사용자에 대한 알림을 트리거하는 기한 전 일 수입니다.
      설명 이 응답 기한 규칙에 대한 고유한 설명입니다.
      조건 조건 작성기의 조건입니다. 이러한 조건은 DLP 인시던트 테이블을 기반으로 합니다. 응답 기한 규칙에 대한 조건을 작성하려면 인시던트 필드 중 하나를 선택합니다.

      조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.

      조건을 더 추가하려면 AND 또는 OR를 클릭합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.

      두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.

      주:
      조건 작성기의 조건은 대/소문자를 구분합니다.
      에스컬레이션 응답 기한을 위반한 경우 DLP 인시던트를 다른 사람에게 에스컬레이션하는 옵션입니다. 자세한 내용은 DLP 인시던트에 액세스하려면 여러 사용자 추가 문서를 참조하십시오.
      기한이 지난 인시던트를 다음으로 에스컬레이션 인시던트를 관리자, 사용자 지정 사용자 또는 사용자 그룹으로 에스컬레이션할지 지정하는 옵션입니다.

      이 필드는 에스컬레이션 옵션이 활성화된 경우에만 나타납니다.
      할당 사용 관리자를 식별하는 방법을 지정합니다.

      이 필드는 기한이 지난 인시던트를 다음으로 에스컬레이션 필드에서 관리자를 선택한 경우에만 나타납니다.
      최대 에스컬레이션 수준 관리자 및 사용자 지정 사용자에 대한 최대 에스컬레이션 수준 수를 정의하는 옵션입니다.

      관리자 또는 사용자 지정 사용자는 원하는 수의 에스컬레이션 수준을 정의할 수 있습니다. 기본적으로 세 가지 수준의 에스컬레이션이 제공됩니다.

      • 관리자는 이 필드의 값을 업데이트하여 에스컬레이션 수준을 원하는 수만큼 정의할 수 있습니다.
      • 사용자 지정 사용자는 + 아이콘을 사용하여 에스컬레이션 수준을 원하는 수만큼 정의할 수 있습니다.
      사용자 지정 속성 사용자에 대한 참조가 있는 인시던트에서 사용자 지정 속성을 지정하는 옵션입니다.

      이 필드는 기한이 지난 인시던트를 다음으로 에스컬레이션 필드에서 인시던트의 사용자 지정 사용자를 선택한 경우에만 나타납니다.
      사용자 그룹 DLP 인시던트를 에스컬레이션할 사용자 그룹을 검색하고 선택하는 옵션입니다.

      이 필드는 기한이 지난 인시던트를 다음으로 에스컬레이션 필드에서 사용자 그룹을 선택한 경우에만 나타납니다.

      주:
      sn_dlir.analyst 역할이 할당된 그룹만 보고 선택할 수 있습니다.
      다음 예에서는 최종 사용자에게 할당 Data Loss Prevention Incident Response 된(DLP) 인시던트에 응답하는 데 제공할 시간을 결정하는 응답 기한 규칙을 보여줍니다. 최종 사용자에게 처음 알림을 보낸 후 응답 기한은 2일 후입니다. 조건 작성기에는 응답 기한 생성을 진행하려면 스캔 소스가 엔드포인트 파일 시스템과 일치해야 함을 보여줍니다. 에스컬레이션 옵션이 선택됩니다. 응답 기한을 위반할 경우 인시던트가 관리자에게 에스컬레이션됩니다.
      그림 1. 응답 기한 규칙 설정
      응답 기한 데이터 규칙 목록 뷰
    4. 제출을 클릭합니다.