Criar regras de atribuição

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Use esta seção para criar regras de atribuição. Em seguida, atribua o. Data Loss Prevention Incident Response Incidentes (DLP IR) para grupos de usuários, usuários finais, gerentes ou usuários do incidente.

    Antes de Iniciar

    Função necessária:
    • sn_dLIR.admin - Criar, editar e excluir.
    • sn_DLIR.analyst e sn_dLIR.analyst_read - Exibição (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar regras de atribuição para atribuir incidentes DLP IR a grupos de usuários, usuários finais ou gerentes. A atribuição dos incidentes do DLP ocorre quando as condições na regra de atribuição são atendidas.

    Procedimento

    1. Navegar até Tudo > Administração da DLP > Regras de atribuição.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de atribuição do DLP
      Campo Descrição
      Nome Nome da regra de atribuição.
      Ativo Opção para indicar se a regra de atribuição está ativa.
      Ordem de execução A prioridade da regra de atribuição. Este campo indica a ordem na qual as regras de atribuição são executadas quando duas ou mais regras compartilham as condições de acionamento.

      A regra de atribuição com o número mais baixo tem a prioridade mais alta. Para definir a ordem da operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.

      O valor padrão é 100.
      Descrição Descrição exclusiva desta regra de atribuição.
      Condição Condições no Construtor de condições. Essas condições são baseadas na tabela de incidentes do DLP. Para criar uma condição para a regra de atribuição, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros para a primeira linha.

      Para adicionar mais condições, clique em E. ou OU .
      • Se E. selecionado, todas as condições devem ser correspondidas.
      • Se OU está selecionado, qualquer condição pode ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios .

      Por exemplo, suponha que você crie uma regra de atribuição de DLP para um endpoint. Você pode especificar que a origem da verificação de condição é um sistema de arquivos de endpoint que deve ser atendido antes de atribuir um incidente.

      Nota:
      As condições no Construtor de condições diferenciam maiúsculas de minúsculas.
      Atribuir a Atribuição a um dos seguintes:
      • Grupo de usuários
      • Usuário final
      • Gerente
      • Usuário do incidente
      A atribuição ocorre quando as condições no construtor de condições são atendidas.
      Grupo de usuários Opção para pesquisar e selecionar um grupo de usuários para atribuir os incidentes do DLP. Este campo aparece quando Grupo de usuários selecionado em Atribuir a. campo.
      Nota:
      Você só pode exibir e selecionar grupos que foram atribuídos com a função sn_dLIR.analyst.
      Usuário final Opção para atribuir o incidente do DLP ao usuário final. A atribuição ocorre quando as condições no construtor de condições são atendidas.
      Atribuir usando campos de gerente Gerente do usuário final. Este campo aparece quando Gerente selecionado em Atribuir a. campo.

      Você pode atribuir os incidentes do DLP a um gerente específico selecionando um dos campos do gerente, como Sobrenome, E-mail, Cidade, Número do funcionário.
      Identificador de usuário O identificador do usuário do incidente. Este campo aparece quando Usuário do incidente selecionado em Atribuir a. campo. Você pode selecionar um identificador de usuário a partir do seguinte:
      • E-mail do responsável pelos dados
      • Destino
      • Arquivo criado por
      • Arquivo modificado por
      • Responsável pelo arquivo
      • Nome de usuário do FTP
      • Remetente
      • Usuário personalizado do incidente
      Atributo personalizado Opção para especificar um atributo personalizado do incidente que tem a referência a um usuário. Este campo aparece somente quando Usuário personalizado do incidente selecionado em Identificador do usuário campo.
      Anexar avaliação Opção para indicar se você deseja anexar uma avaliação ao incidente.
      Estado da resposta pré-avaliação Opção para selecionar em qual estado o incidente deve estar antes que o usuário final responda. Também pode ser um estado personalizado.

      O valor padrão é Avaliação pendente.
      Estado da resposta pós-avaliação Opção para selecionar em qual estado o incidente do DLP deve estar depois que o usuário responder.

      O valor padrão é Avaliação concluída.
      Avançado Opção avançada para identificar o usuário final. Este campo aparece somente quando Usuário personalizado do incidente selecionado em Identificador do usuário campo.

      Você pode usar o editor de scripts para personalizar e formatar os valores de campo durante a criação da regra de atribuição para identificar o usuário final. Em seguida, você escolhe a quem deseja atribuir o incidente do DLP, que pode ser um usuário final ou o gerente do usuário final.

      Por exemplo, você pode usar o campo de endereço de e-mail para identificar o usuário final.
      O exemplo a seguir mostra uma regra de atribuição com o nome Atribuir incidente de prioridade "Média" ao usuário final . O Construtor de condições requer que a Origem de verificação seja Atribuir incidente de prioridade "Média" ao usuário final e Atribuir a. o campo está definido como Usuário final . Em seguida, você pode pesquisar o "E-mail" do usuário final.
      Figura 1. Regra de atribuição do DLP
      Crie as regras de atribuição para seu Data Loss Prevention Incident Response incidentes
    4. Selecione Atribuir a. Campo da seção da lista relacionada à qual todos os incidentes do DLP são atribuídos.
      Clique em Editar para adicionar o grupo de usuários. Ao clicar em Editar na seção lista relacionada e selecione um item no Coleções E, em seguida, adicione o designado selecionado às colunas Grupo em Editar membros e salve a lista.
      Nota:
      Você só pode exibir e selecionar grupos que foram atribuídos com a função sn_dLIR.analyst na lista relacionada. Você só pode selecionar um grupo.
    5. Clique em Enviar.
      Você também tem a opção de selecionar uma ou mais regras de atribuição e reaplicá-las a todos os incidentes de DLP existentes.
    6. Para reaplicar uma regra de atribuição em todos os incidentes de DLP existentes, clique em Reaplicar .