Data Loss Prevention Incident Response Espaço do analista

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 15 min. de leitura

    • Use o. Data Loss Prevention Incident Response(IR de DLP) Espaço do analista para exibir os incidentes de DLP. Atribua os incidentes aos usuários finais para resolução e muito mais.

    O espaço de DLP consiste em uma página inicial com painéis, exibições de lista e exibições de formulário que permitem monitorar incidentes de DLP.

    Figura 1. Página de visão geral do Espaço de DLP
    Página de visão geral do espaço de DLP.

    Revise e atribua seus incidentes de DLP

    Acesse o. Data Loss Prevention Incident Response(IR de DLP) Espaço do analista para que você possa revisar os incidentes de DLP e atribuí-los ou resolvê-los. Você pode rastrear tendências em incidentes por gravidade, principais infratores, incidentes por origem de verificação e incidentes por política.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.analyst - Editar e exibir incidentes de DLP.
    • sn_dlir.analyst_read e sn_dlir.read - Exibir incidentes de DLP.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista de DLP.
      A página da lista de operações Meus incidentes do Espaço de DLP é aberta em uma nova guia.
    2. Clique em Espaço de DLP ícone página inicial para exibir a exibição da página inicial do espaço.
    3. Revise os widgets do painel para identificar tendências por incidentes por gravidade, principais infratores, incidentes por origem de verificação e incidentes por política.
    4. Clique nos filtros apropriados na página inicial para exibir os widgets por suas várias categorias.
      Filtros Descrição
      Incidentes em aberto Exibir todos os incidentes em aberto.
      Incidentes críticos atrasados Exiba os incidentes que têm o rótulo de gravidade crítica e que estão atrasados.
      Incidentes atribuídos a usuários finais Exiba os incidentes atribuídos aos usuários finais.
    5. Você pode revisar e atribuir os incidentes de DLP usando duas maneiras:
      1. A primeira maneira é localizar e selecionar um ou mais incidentes de DLP que você deseja revisar e clicar na caixa de seleção ao lado dos incidentes.
      2. Escolha a opção apropriada para você.
        Opção Descrição
        Atualizar lista Opção para atualizar a lista de incidentes de DLP quando você faz uma atualização.
        Ações de lista Lista de ações que você pode executar. Estas são as opções:
        • Salvar como
        • Editar colunas
        • Redefinir larguras
        Nota:
        Quando você tem sua própria lista personalizada que é criada em Minhas listas configurado para o seu espaço, você também poderá executar as ações de lista adicionais abaixo:
        • Renomear
        • Salvar
        • Excluir
        URL de cópia para todos Opção para copiar os URLs de todos os incidentes de DLP.
        Mostrar painel do filtro Opção para detalhar os incidentes necessários usando a opção de filtro.
        1. Clique no filtro no canto superior esquerdo da página e selecione Exibição avançada .
        2. Use um filtro existente ou crie o seu próprio adicionando condições que contenham um campo, operador e valores.
        3. Para adicionar mais condições, clique em E. ou OU :
          • Se E. está selecionado, todas as condições devem ser correspondidas.
          • Se OU é selecionado, qualquer condição pode ser correspondida.
        4. Clique em Atualizar.
        Atribuir Incidente Ação para determinar a quem atribuir o incidente de DLP. Estas são as opções:
        • Atribuir incidente a. : Opção para atribuir o incidente a um analista, usuário final ou outra pessoa.
        • Usuário : Opção para determinar a qual usuário o incidente deve ser atribuído.
        • Resposta do pré-usuário do estado do incidente : Opção para determinar em qual estado o incidente deve estar antes de o usuário responder. Também pode ser um estado personalizado.
        • Anexar avaliação : Opção para indicar se você deseja anexar uma avaliação ao incidente. Se habilitado, as opções abaixo estarão disponíveis:
          • Modelo de avaliação : Opção para selecionar um modelo de avaliação para o incidente de DLP.
          • Pós-resposta do usuário do estado do incidente Opção para selecionar em qual estado o incidente de DLP deve estar depois que o usuário responder.
        Responder Responda a um incidente selecionando uma opção de resposta a incidente. Por exemplo, o usuário exclui um arquivo que viola uma política de DLP, o usuário pode escolher a opção Arquivo excluído para enviar confirmação manual de que o arquivo foi excluído e fornecer comentários.

        Aqui, você também pode selecionar opções de resposta avançadas. Por exemplo, Solicitar liberação de e-mail da quarentena .
        Escalar Ação para escalar o incidente. Você pode escalar o incidente selecionando o usuário para o qual deseja escalá-lo. Você também pode obter informações adicionais no campo Comentários.
        Atualizar Estado Ação para atualizar o estado do incidente. Você pode atualizar o estado do incidente selecionando um dos estados nas opções suspensas. Também pode ser um estado personalizado.
        Fechar Ação para encerrar os incidentes. Selecione o correspondente Código de fechamento na lista suspensa e adicione comentários de fechamento.
        . Fechar recurso em Data Loss Prevention Incident Responseé feito de forma assíncrona e síncrona na exibição de lista.
        1. Fechamento síncrono: Ao fechar incidentes de forma síncrona, significa que a ação de fechamento é executada imediatamente. Quando você selecionar vários incidentes para fechamento e se a contagem de incidentes for menor ou igual a 100, os incidentes serão encerrados em primeiro plano na exibição da lista Incidentes de DLP. Aqui 100 é o valor padrão.
        2. Fechamento assíncrono: Isso implica que a solicitação de fechamento é enviada e a aplicação executa a solicitação em segundo plano se a contagem de incidentes selecionados for maior que 100.

          Você precisa atualizar a exibição da lista de incidentes de DLP para ver o status atualizado dos incidentes.

          Nota:
          • A contagem de incidentes selecionados para fechamento assíncrono ou síncrono é configurada usando a propriedade do sistema sn_dlir.closure_sync_count_limit .
          • Por padrão, a contagem de incidentes é definida como 100.
      3. A segunda maneira é clicar em um incidente de DLP específico para abri-lo.
        • Detalhes Guia: Exibe as seguintes seções:
          • Detalhes : Você pode exibir os detalhes do incidente de DLP, como Número do incidente, Severidade, Nome do arquivo e assim por diante. Você também pode modificar os campos de gravidade, estado, usuário final e grupo de Analista de DLP, respectivamente, e salvá-los.
          • Componha : Para adicionar comentários sobre o incidente de DLP visíveis para todos, insira os comentários na guia Comentários. Para adicionar comentários visíveis para determinadas pessoas, insira os comentários na guia Anotações de trabalho (Privado).
          • Atividade : Você pode exibir os detalhes das diferentes atividades no incidente de DLP.
          • Anexos : Se você tiver anexos relacionados ao incidente de DLP, clique em Procurar e selecione o anexo na unidade local.
        • Detalhes adicionais Guia: Exibe todas as informações adicionais sobre o incidente de DLP, incluindo campos personalizados.
          Importante:
          • Os campos personalizados para incidentes de DLP são compatíveis somente com a versão de San Diego ou posterior.
          • Você pode usar o. Detalhes adicionais Para ver se algum campo personalizado foi criado para um determinado incidente de DLP ou não.
        • Atributos personalizados Guia: Exibe a lista de atributos personalizados relacionados ao incidente de DLP.
        • Outros incidentes do usuário final : Exibe o incidente do mesmo usuário final. É possível consolidar incidentes executando o. Adicionar como incidente secundário ação desta lista relacionada.
        • Tipo de informação confidencial detectado : Exibe as informações confidenciais detectadas pelo incidente.
          Nota:
          Esta lista relacionada está visível somente para os incidentes de DLP criados para integrações da Microsoft ou Symantec. No registro de incidente da Microsoft ou Symantec, sempre que o usuário acessar o registro de tipo de informações confidenciais detectadas, o conteúdo de correspondência realçado em relação a essa integração será exibido.
        • Incidentes secundários : Exibe os incidentes secundários criados manualmente (executando a ação "Adicionar como incidente secundário") ou a partir das regras de consolidação de DLP. É possível desvincular o incidente secundário executando "Desvincular incidente secundário" desta lista relacionada.
        • Incidentes clonados : Exibe os incidentes clonados do incidente primário. Clicando em Incidente de clone ação da exibição de formulário, você pode criar um novo incidente clonado.
        • Avaliações Guia: Exibe a lista de avaliações atribuídas ao incidente de DLP.
      4. Escolha a opção apropriada para você.
        Opção Descrição
        Atribuir Incidente Ação para determinar a quem atribuir o incidente de DLP. Estas são as opções:
        • Atribuir incidente a. : Opção para atribuir o incidente a um analista, usuário final ou outra pessoa.
        • Usuário : Opção para selecionar a qual usuário o incidente deve ser atribuído.
        • Resposta do pré-usuário do estado do incidente : Opção para selecionar em qual estado o incidente deve estar antes de o usuário responder. Também pode ser um estado personalizado.
        • Anexar avaliação : Opção para indicar se você deseja anexar uma avaliação ao incidente. Se habilitado, as opções abaixo estarão disponíveis:
          • Modelo de avaliação : Opção para selecionar um modelo de avaliação para o incidente de DLP.
          • Pós-resposta do usuário do estado do incidente : Opção para selecionar em qual estado o incidente de DLP deve estar depois que o usuário responder.
        Cancelar aprovação Ação para cancelar a solicitação de aprovação.

        Esta ação ficará visível para os analistas na exibição do formulário somente quando o incidente de DLP estiver em Aprovação pendente estado. As opções disponíveis são:

        • Atribuir incidente a. : Opção para atribuir o incidente a ninguém, a um analista ou a outra pessoa.
        • Usuário : Opção para selecionar a qual usuário o incidente deve ser atribuído.
        • Estado do incidente pós-cancelamento : Opção para selecionar em qual estado o incidente deve estar depois de cancelar a solicitação.
        • Comentários : Para fornecer detalhes adicionais para cancelamento.
        Designar Avaliação Ação para anexar uma avaliação ao atribuir o incidente. As opções são as seguintes:
        • Modelo de avaliação : Opção para selecionar um modelo de avaliação para o incidente de DLP.
        • Pós-resposta do usuário do estado do incidente : Opção para selecionar em qual estado o incidente de DLP deve estar depois que o usuário responder.
        Baixar arquivo Ação para baixar o arquivo ou e-mail que tem o conteúdo violando. Esta ação pode ser executada para incidentes criados para o Microsoft OneDrive, SharePoint Online ou Exchange Online.
        Salvar Ação para salvar todas as mudanças feitas. Você tem a opção de modificar os campos Severidade, Estado e Usuário final do incidente de DLP e salvá-los.
        Responder Responda a um incidente selecionando uma opção de resposta a incidente. Por exemplo, o usuário exclui um arquivo que viola uma política de DLP, o usuário pode escolher a opção Arquivo excluído para enviar confirmação manual de que o arquivo foi excluído e fornecer comentários.

        Aqui, você também pode selecionar as opções de resposta avançadas. Por exemplo: Solicitar liberação de e-mail da quarentena .
        Escalar Ação para escalar o incidente. Você pode escalar o incidente selecionando o usuário para o qual deseja escalá-lo. Você também pode obter informações adicionais no campo Comentários.
        Clonar incidente Ação para criar um incidente de clone se o registro de incidente afetar vários usuários. Você pode atribuir os incidentes clonados a várias partes interessadas, como jurídico/TI.

        Depois de criar um registro de incidente de clone, um novo Incidentes clonados A guia é criada no incidente de DLP primário e todos os incidentes clonados são listados nesta exibição.

        Nota:
        • Se o registro de incidente de DLP primário for encerrado, todos os registros de incidente clonados serão encerrados automaticamente.
        • Se um registro de incidente de DLP contiver um incidente clonado, ele não poderá ser atribuído aos usuários finais. Os registros de incidentes de DLP primários podem ser gerenciados somente por usuários com a função de analista.
        • Você também tem a opção de atualizar automaticamente o estado primário com base no estado dos incidentes clonados no módulo Configuração padrão. Por exemplo, se todos os incidentes clonados forem movidos para o estado escalado, o incidente primário também será movido para o estado escalado.
        Fechar Ação para encerrar o incidente. Você deve selecionar o correspondente Código de fechamento na lista suspensa e adicione comentários de fechamento, se necessário.
        Fechar como falso positivo Ação para encerrar o incidente como falso positivo. Você também pode adicionar comentários adicionais antes de encerrar o incidente.
        Figura 2. Espaço do analista de DLP
        Espaço do analista de DLP: Guia Detalhes
    6. Você pode ver a exibição de lista na página inicial indo para o canto superior esquerdo da página e clicando em Listas .
      A categoria Listas consiste nas páginas de lista padrão e personalizadas para incidentes de DLP.
      • Listas . : Listas padrão para incidentes de DLP. A seguir estão as listas padrão:
        • Tudo
        • Abertos(as)
        • Meus Incidentes
        • Atribuído ao meu grupo​
        • Escalado
        • Atrasados(as)
        • Avaliações pendentes
        • Ação do usuário pendente
        • Incidentes clonados
        • Incidentes arquivados
      • Minhas listas . : Exibe todas as listas que você renomeou e todas as listas que você criou.
      O exemplo a seguir mostra o espaço de DLP com as categorias de exibição de lista. . Todos a opção de exibição de lista está selecionada.
      Figura 3. Exibição de listas do Espaço do analista de DLP
      Exibição de listas do Espaço do analista de DLP

    Visualizar arquivos de evidência

    Visualização Data Loss Prevention Incident ResponseArquivos de evidências no espaço Analista de IR do DLP.

    Antes de Iniciar

    Importante:
    Ao usar a ação Arquivos de evidências no espaço do analista de DLP, os arquivos de evidências são armazenados temporariamente no banco de dados da ServiceNow em um formato não criptografado. Se você não quiser armazenar os arquivos de evidências, desative o recurso de visualização de arquivos de evidências. Para obter mais informações, consulte Definir configurações avançadas.

    Função necessária: sn_dlir.analista

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista de DLP.
    2. Abra um registro de incidente de DLP.
    3. Selecione o ícone Arquivos de evidências ( Ícone de arquivos de evidência.), que está disponível na barra lateral contextual.
    4. Em Arquivos de evidência , selecione Arquivo de evidência cartão para visualizar os arquivos de evidências no visualizador de documentos.
      Visualizar arquivos de evidência.

      O recurso de visualização é diferente para cada tipo de arquivo, conforme listado na tabela a seguir.

      Formato do arquivo Extensão de arquivo
      Imagem .bmp, .gif, .ico, .jpeg, .jpg, .png, .svg e .webp.

      Arquivos de imagem abertos no modo de visualizador de documentos.
      Microsoft Arquivos do Office .doc, .docx, .ppt, .pptx, .xls, e .xlsx

      Os arquivos do Office são abertos no modo de visualizador de documentos.
      Arquivos de texto .txt

      Os arquivos de texto são abertos no modo editor de texto.
      Arquivos de e-mail .eml
      Nota:
      O tamanho do arquivo deve ser inferior a 5 MB. Primeiro, você deve baixar o arquivo para visualizar seu conteúdo.
      Arquivos PDF .pdf
      • Insira uma palavra-chave para pesquisar o documento.
      • Zoom-in e zoom-out recursos para ajustar a exibição para melhor legibilidade.
      • Gire a página no sentido horário ou anti-horário para exibir o conteúdo com mais clareza.
      Nota:

      Os arquivos binários não serão renderizados e precisam ser baixados para visualizar o conteúdo. O recurso de arquivo de evidências de visualização também funciona para incidentes arquivados.

    Playbook para Data Loss Prevention Incident Response

    R Data Loss Prevention Incident ResponseO playbook é um guia passo a passo para lidar com e mitigar incidentes de perda de dados, que podem incluir exposições não autorizadas, vazamentos ou violações de informações confidenciais que podem comprometer a segurança da sua organização.

    A imagem a seguir mostra os playbooks de amostra disponíveis para IR de DLP.

    Figura 4. Playbooks de amostra para resposta a incidentes de DLP
    Playbooks para resposta a incidentes de DLP

    A tabela a seguir lista as atividades e fases envolvidas na criação de um playbook. Para obter mais informações, consulte Adicione um playbook de DLP:

    Atividade Descrição
    Detecção Identifique e confirme o acesso não autorizado ou a exposição de dados confidenciais.
    Contenção Isole sistemas ou usuários afetados para evitar vazamento de dados ou acesso não autorizado.
    Investigação Investigue a violação para entender como ela ocorreu, quais dados foram afetados e o possível impacto.
    Notificação Notifique equipes internas, partes interessadas externas e órgãos regulatórios conforme exigido por lei ou política.
    Correção Aplique medidas corretivas para lidar com vulnerabilidades, atualizar políticas e evitar violações futuras.
    Recuperação Restaure sistemas a partir de backups seguros e valide a integridade dos dados pós-incidente.
    Revisão pós-incidente Analise o incidente para identificar as causas raiz, melhorar os controles de segurança e fortalecer as políticas.

    A figura a seguir mostra o fluxo de trabalho de atividades e fases envolvidas na criação do playbook.

    Figura 5. Fluxo de trabalho de design do playbook
    Fluxo de trabalho de design do playbook
    Nota:
    Este é o playbook de amostra para Violação de dados confidenciais. Com base no tipo de playbook, o fluxo de trabalho pode mudar.

    Adicione um playbook de DLP

    Adicione um playbook no Data Loss Prevention Incident Responseespaço do analista que pode atuar como um guia para lidar e mitigar incidentes de perda de dados que podem comprometer a segurança da sua organização.

    Antes de Iniciar

    Função necessária: sn_dlir.analista - Adicionar ou exibir playbooks no espaço de DLP.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista de DLP.
    2. Na página Espaço do analista de DLP - Meus incidentes, abra qualquer incidente de DLP.
    3. Navegue até Playbooks .
    4. Em ( Ícone Mais ações.), selecione Adicione playbooks e selecione um playbook no menu suspenso.
    5. Selecione Adicione playbooks .
    6. Selecione cada raia para explorar as tarefas que este playbook executa.
      Figura 6. Playbook de DLP de amostra
      Adicione um playbook de DLP.

    Cancelar um playbook de DLP

    Cancelar um Data Loss Prevention Incident ResponsePlaybook para interromper um fluxo de negócios quando ele não for mais válido.

    Antes de Iniciar

    Nota:
    Os playbooks são cancelados automaticamente quando o incidente de DLP associado é encerrado.

    Função necessária: sn_dlir.admin.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista de DLP.
    2. Abra qualquer incidente de DLP.
    3. Navegue até Playbooks .
    4. No cabeçalho do playbook que você deseja cancelar, selecione ( Ícone Mais ações.) e selecione Cancelar playbook .
    5. Forneça um motivo para cancelar o playbook.
    6. Selecione Cancelar playbook .

    Resultado

    Uma faixa aparece abaixo do cabeçalho do playbook confirmando que o playbook foi cancelado.

    Exibir incidentes de DLP arquivados

    Use o espaço Analista de DLP para exibir os incidentes de DLP arquivados

    Antes de Iniciar

    Função necessária:
    • sn_dlir.analyst - Editar e exibir incidentes de DLP.
    • sn_dlir.analyst_read e sn_dlir.read - Exibir incidentes de DLP.

    Procedimento

    1. Navegar até Tudo > Gestão de incidentes da DLP > Espaço do analista de DLP.
      Por padrão, a seção Meus incidentes é exibida.
    2. Clique em Incidentes arquivados .
      A lista de incidentes de DLP arquivados é exibida.
    3. Clique em Mostrar contagem de incidentes botão para exibir a contagem de incidentes arquivados.
      Nota:
      • Por padrão, a contagem de incidentes arquivados fica oculta para melhorar o tempo de carregamento da lista. Você deve clicar em Mostrar contagem de incidentes botão para exibir a contagem de incidentes. Além disso, é exibida uma mensagem informativa que mostra a contagem de incidentes.
      • A propriedade do sistema glide.ui.list.seismic.omit.count está habilitada no sistema base para os incidentes arquivados ocultarem a contagem da lista de incidentes.
    4. Selecione um ou mais incidentes de DLP que você deseja exibir.
      O incidente de DLP exibe a seção de detalhes do incidente.
      Nota:
      • . Outros incidentes de usuários finais também incluirá os incidentes arquivados.
      • Corresponder conteúdo é compatível com todos os incidentes arquivados (que também serão compatíveis com todas as integrações), mas Arquivo de download É compatível somente com integrações da Microsoft.