Criar regras de atribuição

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Use esta seção para criar regras de atribuição. Em seguida, atribua os incidentes Data Loss Prevention Incident Response (DLP IR) a grupos de usuários, usuários finais, gerentes ou usuários do incidente.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin — Criar, editar e excluir.
    • sn_dlir.analyst e sn_dlir.analyst_read — Exibição (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar regras de atribuição para atribuir incidentes de IR da DLP a grupos de usuários, usuários finais ou gerentes. A atribuição dos incidentes do DLP ocorre quando as condições na regra de atribuição são atendidas.

    Procedimento

    1. Navegar até Todos > Administração da DLP > Regras de atribuição.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de atribuição da DLP
      Campo Descrição
      Nome Nome da regra de atribuição.
      Ativo Opção para indicar se a regra de atribuição está ativa.
      Ordem de execução A prioridade da regra de atribuição. Este campo indica a ordem na qual as regras de atribuição são executadas quando duas ou mais regras compartilham as condições de acionamento.

      A regra de atribuição com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.

      O valor padrão é 100.
      Descrição Descrição exclusiva desta regra de atribuição.
      Condição Condições no construtor de condições. Essas condições são baseadas na tabela de incidentes da DLP. Para criar uma condição para a regra de atribuição, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU.
      • Se E for selecionado, todas as condições deverão ser atendidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Por exemplo, suponha que você crie uma regra de atribuição de DLP para um endpoint. Você pode especificar que a origem da verificação de condição é um sistema de arquivos de endpoint que deve ser atendido antes de atribuir um incidente.

      Nota:
      As condições no Construtor de condições fazem distinção entre maiúsculas e minúsculas.
      Atribuir a Atribuição a um dos seguintes:
      • Grupo de usuários
      • Usuário final
      • Gerente
      • Usuário do incidente
      A atribuição ocorre quando as condições no Construtor de condições são atendidas.
      Grupo de usuários Opção para pesquisar e selecionar um grupo de usuários ao qual os incidentes da DLP serão atribuídos. Este campo aparece quando o Grupo de usuários é selecionado no campo Atribuir a.
      Nota:
      Você só pode exibir e selecionar grupos que foram atribuídos com a função sn_dlir.analyst.
      Usuário final Opção para atribuir o incidente da DLP ao usuário final. A atribuição ocorre quando as condições no Construtor de condições são atendidas.
      Atribuir usando campos de gerente Gerente do usuário final. Este campo aparece quando Gerente é selecionado no campo Atribuir a.

      Você pode atribuir os incidentes da DLP a um gerente específico selecionando um dos campos de gerente, como Sobrenome, E-mail, Cidade, Número do funcionário.
      Identificador de usuário O identificador de usuário do incidente. Este campo aparece quando Usuário do incidente é selecionado no campo Atribuir a. Você pode selecionar um identificador de usuário entre as seguintes opções:
      • E-mail do responsável pelos dados
      • Destino
      • Arquivo criado por
      • Arquivo modificado por
      • Responsável pelo arquivo
      • Nome de usuário de FTP
      • Remetente
      • Usuário personalizado do incidente
      Atributo personalizado Opção para especificar um atributo personalizado do incidente que tem a referência a um usuário. Este campo aparece somente quando o Usuário personalizado do incidente é selecionado no campo Identificador de usuário.
      Anexar avaliação Opção para indicar se você deseja anexar uma avaliação ao incidente.
      Estado da resposta pré-avaliação Opção para selecionar em que estado o incidente deve estar antes que o usuário final responda. Também pode ser um estado personalizado.

      O valor padrão é Avaliação pendente.
      Estado da resposta pós-avaliação Opção para selecionar em que estado o incidente da DLP deve estar depois que o usuário responder.

      O valor padrão é Avaliação concluída.
      Avançado Opção avançada para identificar o usuário final. Este campo aparece somente quando o Usuário personalizado do incidente é selecionado no campo Identificador de usuário.

      Você pode usar o editor de script para personalizar e formatar os valores de campo durante a criação da regra de atribuição para identificar o usuário final. Em seguida, você escolhe a quem deseja atribuir o incidente da DLP, que pode ser um usuário final ou o gerente do usuário final.

      Por exemplo, você pode usar o campo de endereço de e-mail para identificar o usuário final.
      O exemplo a seguir mostra uma regra de atribuição com o nome Atribuir incidente de prioridade "média" ao usuário final. O Construtor de condições requer que a origem da verificação seja Atribuir incidente de prioridade "média" ao usuário finale que o campo Atribuir a esteja definido como Usuário final. Em seguida, você pode pesquisar o "e-mail" do usuário final.
      Figura 1. Regra de atribuição da DLP
      Crie as regras de atribuição para seus Data Loss Prevention Incident Response incidentes
    4. Selecione o campo Atribuir a na seção da lista relacionada à qual todos os incidentes do DLP são atribuídos.
      Clique em Editar para adicionar o grupo de usuários. Quando você clica em Editar na seção de lista relacionada e seleciona um item nas colunas Coleções e, em seguida, adiciona o designado selecionado às colunas Grupo na página Editar Membros e salva a lista.
      Nota:
      Você só pode exibir e selecionar grupos que foram atribuídos com a função sn_dlir.analyst na lista relacionada. Você só pode selecionar um grupo.
    5. Clique em Enviar.
      Você também tem a opção de selecionar uma ou mais regras de atribuição e reaplicá-las em todos os incidentes de DLP existentes.
    6. Para reaplicar uma regra de atribuição em todos os incidentes de DLP existentes, clique em Reaplicar.