Sobre como corrigir incidentes usando a Correção do usuário final
Qualquer violação de DLP em qualquer canal gera incidentes de DLP, que são registrados no Console de administração do Enforce Server e armazenados no banco de dados do DLP Oracle. É possível criar um relatório para esses incidentes; e definir as configurações de incidentes e as configurações de correção do EUR.
Antes de definir as configurações de incidentes e as configurações de correção do EUR, configure os itens a seguir.
- Relatórios dos incidentes que precisam ser corrigidos
- Corretores, como proprietários de dados e assim por dianteDefinir corretor de incidentes. Consulte Comandos de ação de correção de incidentesAdicionar corretores por meio de plugins. Consulte Para selecionar parâmetros de pesquisa
- Ações das regras de respostaConsulte Sobre as ações da regra de resposta.
Esses incidentes são enviados ao aplicativo EUR com base na configuração de conexão definida no Console de administração do Enforce Server,
Geral > Configurações > Configurações do portal de correção do usuário final
. Quando um incidente é sincronizado com o ServiceNow, ele dispara um fluxo de trabalho de correção que gera um evento para enviar uma notificação por email ao corretor atribuído. Um fluxo de trabalho de correção define o processo para corrigir os incidentes e os vários estágios enquanto o incidente está sendo corrigido.Para que um corretor receba um email do aplicativo EUR, o corretor deve ser atribuído à função Corretor do EUR no ServiceNow. Se o corretor não tiver a função de corretor do EUR atribuída, a atribuição de incidentes falhará e nenhum email será enviado.
O aplicativo EUR automatiza esse fluxo de trabalho e permite que o administrador do ServiceNow personalize o fluxo de trabalho de correção.
No fluxo de trabalho padrão do EUR, o aplicativo EUR envia os detalhes do incidente por meio de um email para o corretor. Um corretor pode ser qualquer usuário na organização, por exemplo, o usuário que causou o incidente, ou seu gerente, ou um gerente em sua hierarquia, ou um engenheiro de TI e assim por diante. O email contém os detalhes do incidente, os atributos do incidente e a ação de resposta. O conteúdo do email é configurável. O administrador do ServiceNow pode personalizar os modelos de email, alterar o layout e a aparência dos emails. O aplicativo EUR fornece um modelo de email padrão, o modelo de notificação de incidentes do DLP.
O corretor pode clicar em uma das ações de correção, o que, por sua vez, criará uma resposta por email. O corretor pode fornecer justificativa ou comentário para a ação escolhida na resposta por email. Esses comentários são registrados em Guia Notas da captura de imagem de incidente sobre os detalhes do incidente no console de administração do Enforce Server. O aplicativo EUR recebe a resposta e o fluxo de trabalho dispara as próximas etapas. A solicitação de ação é gerada pelo fluxo de trabalho. O estado de cada resposta também é registrado no ServiceNow. O Enforce Server monitora a solicitação de ação do incidente periodicamente no ServiceNow. O período de monitoramento é configurável. O Enforce Server executa a regra de resposta inteligente correspondente, e os detalhes do incidente são registrados na página Guia Histórico da captura de imagem de incidente. Isso conclui o processo de correção bem-sucedida de um incidente, e o incidente é fechado.