Configurar regras de opção de resposta do incidente para seus incidentes do DLP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Configure as regras de opção de resposta do incidente que o usuário final ou analista pode usar ao responder a um incidente.

    Antes de Iniciar

    Função necessária:
    • sn_dlir.admin — Criar, editar e excluir.
    • sn_dlir.analyst e sn_dlir.analyst_read — Exibir (somente leitura).

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode configurar o tipo de resposta que um usuário final deve executar com base no tipo de incidente do DLP. A aplicação DLP Incident Response do sistema básico fornece as seguintes opções de resposta para os usuários:
    • Avaliação concluída
    • Conteúdo excluído
    • Arquivo excluído
    • Arquivo criptografado
    • Conteúdo Mascarado
    • Relatar falso-positivo
    • Denunciar proprietário incorreto
    • Necessário para Processo de negócios
    • Direitos revisados

    Por exemplo, digamos que um usuário final relate um incidente DLP como um falso positivo. O estado deste incidente é marcado automaticamente como fechado porque o estado de destino configurado por você é fechado.

    Procedimento

    1. Navegar até Todos > Administração do DLP > Regras de opção de resposta do incidente.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regras de opção de resposta do incidente
      Campo Descrição
      Nome Nome da opção de resposta do incidente.
      Ativo Opção para indicar se a opção de resposta do incidente está ativa.
      Ordem de execução Prioridade da opção de resposta do incidente. Este campo indica a ordem na qual as opções de resposta do incidente são executadas quando duas ou mais opções de resposta do incidente compartilham as condições de acionamento.

      A opção de resposta do incidente com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200 ou qualquer outro número.

      O padrão é 100.
      Descrição Descrição exclusiva para esta opção de resposta do incidente.
      Estado de destino padrão O estado de destino padrão que você configurou.
      Condição Condições no construtor de condição. Essas condições são baseadas na tabela de incidentes do DLP. Para criar uma condição para as opções de resposta do incidente, selecione qualquer um dos campos de incidente.

      Use as listas e os campos do construtor de condições para definir os filtros da primeira linha.

      Para adicionar mais condições, clique em E ou OU:
      • Se AND for selecionado, todas as condições deverão ser correspondidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.

      Nota:
      As condições no construtor de condição fazem distinção entre maiúsculas e minúsculas.
      O exemplo a seguir mostra a configuração de ação do usuário final para um endpoint. A condição requer que a origem da verificação seja um sistema de arquivos de endpoint que aciona esta configuração de ação do usuário final. O mapeamento mostra que o proprietário incorreto do relatório, o relatório de falso-positivo e o arquivo excluído são as opções de resposta disponíveis para o usuário final.
      Figura 1. Regra de opção de resposta do incidente
      A regra de opção de resposta do incidente da lista que o usuário final pode executar.
    4. Na seção Mapeamentos de opção de resposta, clique em Novo.
    5. No formulário, preencha os campos.
      Tabela 2. Formulário Mapeamento de opção de resposta
      Regra de opção de resposta Nome da regra de opção de resposta do incidente. Por exemplo, o SharePoint implica que a origem da verificação é o SharePoint. Você pode inserir o nome da resposta do incidente ou pesquisar usando a pesquisa.
      Opção de resposta Opção para selecionar a opção de resposta. Você pode inserir a opção de resposta ou pesquisar usando a pesquisa.
      Estado de destino O estado de destino do incidente DLP depois que o usuário final seleciona a ação apropriada.
      Nota:
      1. O campo Estado do destino aparecerá somente quando você selecionar a Opção de resposta que é do Tipo: Básica. Para obter mais informações sobre como os tipos de estado de destino são configurados, consulte Configure a opção de resposta para seus incidentes do DLP.
      2. Quando uma Opção de resposta que é do Tipo: Avançado é selecionada, você não poderá definir o Estado de destino e ficará oculto. O Estado de destino será atribuído com base no estado personalizado configurado no subfluxo do Flow Designer.
      Mostrar opções de resposta para Opção para determinar as funções do usuário para as quais as opções de resposta serão mostradas.

      Você pode escolher entre Analista, Usuário finale Revisor de analista escalonado usando a opção de desbloqueio. Você tem permissão para escolher uma ou todas as funções.
      Figura 2. Ação de mapeamento de opção de resposta
      Página de mapeamento de opção de resposta em Regras de opção de resposta do incidente
    6. Clique em Enviar.