Geração de relatórios sobre regras de resposta do Endpoint Prevent
Endpoint Prevent
Se a atividade do usuário no endpoint acionar mais de uma regra de resposta, o
Symantec Data Loss Prevention
determinará a política a ser aplicada com base em uma ordem de precedência estabelecida. Somente a regra de resposta que está associada com a política predominante será executada. O Symantec Data Loss Prevention
cria incidentes para todas as políticas que são violadas. Ele indica (nas capturas de imagem relevantes do incidente) que as regras de resposta foram substituídas.Por padrão, a seguinte lista é a ordem de precedência principal para incidentes do Endpoint Prevent:
- Bloquear
- Cancelado pelo usuário
- Endpoint FlexResponse
- Notificar
No Endpoint Discover, os incidentes em quarentena têm sempre precedência sobre os incidentes do Endpoint FlexResponse.
Esteja ciente do seguinte comportamento em relação à geração de relatórios de incidentes substituídos:
- A captura de imagem de um bloqueio de endpoint substituído ou incidente cancelado pelo usuário ainda exibe o íconeBloqueado, porque oSymantec Data Loss Preventionnão bloqueou o conteúdo em questão. O ícone também indica se o conteúdo foi bloqueado porque o usuário decidiu bloqueá-lo. Como alternativa, o ícone indica que foi excedido o limite de tempo de cancelamento pelo usuário e o conteúdo foi bloqueado.
- A captura de imagem de um incidente do Endpoint Notifynãocontém o íconeNotificar. O ícone Notificar não está incluído porque oSymantec Data Loss Preventionnão exibiu a respectiva notificação na tela, que foi configurada na política.
- A captura de imagem de um incidente em quarentena do Endpoint substituído exibe o íconeBloqueadoporque os dados não foram transferidos para a área protegida. O ícone também indica se o conteúdo foi bloqueado porque o usuário decidiu bloqueá-lo. Como alternativa, o ícone indica que foi excedido o limite de tempo de cancelamento pelo usuário e o conteúdo foi bloqueado. A guia Histórico da captura de imagem do incidente sempre exibe as informações que determinam se a regra do Endpoint FlexResponse foi bem-sucedida.
- A captura de imagem de um incidente do Endpoint FlexResponse substituído exibe o íconeBloqueadoporque os dados não foram transferidos para a área protegida. O ícone também indica se uma regra de resposta da quarentena do Endpoint foi ativada.
Se você configurou regras de resposta do Endpoint Prevent para exibir notificações na tela que alertam os usuários para justificar suas ações, as seguintes afirmações são verdadeiras:
- OSymantec Data Loss Preventionexibe a justificativa do usuário nas capturas de imagem de todos os incidentes gerados pelas políticas que incluem a regra de resposta executada.
- OSymantec Data Loss Preventionexibe a justificativaSubstituído – Simnas capturas de imagem de todos os incidentes substituídos que não contêm a regra de resposta executada.
- Se não houver nenhum usuário para digitar uma justificativa, por exemplo, se um usuário acessar um computador remoto, a justificativa indicará Não aplicável.