Criar regras de consolidação de incidentes

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Crie uma regra de consolidação de incidentes para consolidar vários incidentes de natureza semelhante em um incidente primário.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin - Criar, editar e excluir
    • sn_dlir.analyst e sn_dlir.analyst_read - Exibir (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    O administrador da DLP define essas regras de consolidação de incidentes para consolidar automaticamente os incidentes da DLP da mesma natureza em um incidente primário. A regra de consolidação de incidentes da DLP permite consolidar os incidentes da DLP com base na configuração fornecida para Duração da consolidação e Identificação da consolidação.

    Nota:

    Quando um incidente consolidado é criado, ele se torna um secundário do incidente primário da DLP. Se a gravidade do incidente consolidado for maior do que a do incidente primário, a severidade do incidente primário será atualizada para corresponder ao incidente secundário.

    Procedimento

    1. Navegar até Tudo > Administração da DLP > Regras de consolidação de incidentes da DLP.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de atribuição da DLP
      Campo Descrição
      Nome Nome da regra de consolidação de incidentes.
      Ativo Opção para indicar se a regra de consolidação de incidentes está ativa.
      Ordem de execução

      A prioridade da regra de consolidação de incidentes. Este campo indica a ordem na qual as regras de consolidação de incidentes são executadas quando duas ou mais regras compartilham as condições de acionamento.

      A regra de consolidação de incidentes com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.

      O valor padrão é 100.
      Descrição Descrição exclusiva da regra de consolidação de incidentes.
      Condição Condições no construtor de condições. Essas condições são baseadas na tabela de incidentes da DLP. Para criar uma condição para a regra de consolidação de incidentes, selecione qualquer um dos campos de incidentes.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU.
      • Se E for selecionado, todas as condições deverão ser atendidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Por exemplo, você pode definir as condições para esta regra de consolidação de incidentes selecionando a condição como Origem da integração, contém, Symantec.

      Nota:
      As condições no Construtor de condições fazem distinção entre maiúsculas e minúsculas.
      Duração da consolidação Opção para definir a duração da consolidação do incidente.

      Os incidentes neste período com os mesmos valores para os campos selecionados serão consolidados no primeiro incidente. O primeiro incidente correspondente a esta regra será o incidente primário e o restante dos incidentes serão incidentes secundários.
      Consolidar incidentes por Selecione o campo de incidente da DLP para consolidar os incidentes quando houver o mesmo valor no campo selecionado para diferentes incidentes.

      Selecione pelo menos um campo. Selecione pelo menos um campo.

      O exemplo a seguir mostra uma regra de consolidação de incidentes com o nome Consolidar incidentes para integração da Symantec. O construtor de condições requer que a origem da integração seja Symantec. A opção Duração da condição está definida como 1 hora e a opção Nome da política está selecionada para Consolidar incidente até.

      No momento da ingestão do incidente do Symantec DLP, esta regra será executada e, quando vários incidentes tiverem o mesmo nome de política, o incidente será consolidado no primeiro incidente ingerido correspondente a esta regra.

    4. Clique em Enviar.
      Os incidentes consolidados com base na regra de consolidação estarão disponíveis na lista de incidentes secundários no Espaço do analista da DLP.