Geração de relatórios sobre regras de resposta do
Endpoint Prevent

Se a atividade do usuário no endpoint acionar mais de uma regra de resposta, o
Symantec Data Loss Prevention
determinará a política a ser aplicada com base em uma ordem de precedência estabelecida. Somente a regra de resposta que está associada com a política predominante será executada. O
Symantec Data Loss Prevention
cria incidentes para todas as políticas que são violadas. Ele indica (nas capturas de imagem relevantes do incidente) que as regras de resposta foram substituídas.
Por padrão, a seguinte lista é a ordem de precedência principal para incidentes do Endpoint Prevent:
  • Bloquear
  • Cancelado pelo usuário
  • Endpoint FlexResponse
  • Notificar
No Endpoint Discover, os incidentes em quarentena têm sempre precedência sobre os incidentes do Endpoint FlexResponse.
Esteja ciente do seguinte comportamento em relação à geração de relatórios de incidentes substituídos:
  • A captura de imagem de um bloqueio de endpoint substituído ou incidente cancelado pelo usuário ainda exibe o ícone
    Bloqueado
    , porque o
    Symantec Data Loss Prevention
    não bloqueou o conteúdo em questão. O ícone também indica se o conteúdo foi bloqueado porque o usuário decidiu bloqueá-lo. Como alternativa, o ícone indica que foi excedido o limite de tempo de cancelamento pelo usuário e o conteúdo foi bloqueado.
  • A captura de imagem de um incidente do Endpoint Notify
    não
    contém o ícone
    Notificar
    . O ícone Notificar não está incluído porque o
    Symantec Data Loss Prevention
    não exibiu a respectiva notificação na tela, que foi configurada na política.
  • A captura de imagem de um incidente em quarentena do Endpoint substituído exibe o ícone
    Bloqueado
    porque os dados não foram transferidos para a área protegida. O ícone também indica se o conteúdo foi bloqueado porque o usuário decidiu bloqueá-lo. Como alternativa, o ícone indica que foi excedido o limite de tempo de cancelamento pelo usuário e o conteúdo foi bloqueado. A guia Histórico da captura de imagem do incidente sempre exibe as informações que determinam se a regra do Endpoint FlexResponse foi bem-sucedida.
  • A captura de imagem de um incidente do Endpoint FlexResponse substituído exibe o ícone
    Bloqueado
    porque os dados não foram transferidos para a área protegida. O ícone também indica se uma regra de resposta da quarentena do Endpoint foi ativada.
Se você configurou regras de resposta do Endpoint Prevent para exibir notificações na tela que alertam os usuários para justificar suas ações, as seguintes afirmações são verdadeiras:
  • O
    Symantec Data Loss Prevention
    exibe a justificativa do usuário nas capturas de imagem de todos os incidentes gerados pelas políticas que incluem a regra de resposta executada.
  • O
    Symantec Data Loss Prevention
    exibe a justificativa
    Substituído – Sim
    nas capturas de imagem de todos os incidentes substituídos que não contêm a regra de resposta executada.
  • Se não houver nenhum usuário para digitar uma justificativa, por exemplo, se um usuário acessar um computador remoto, a justificativa indicará Não aplicável.