Cómo informar sobre reglas de respuesta de Endpoint Prevent
Endpoint Prevent
Si la actividad de usuario en el endpoint activa más de una regla de respuesta,
Symantec Data Loss Prevention
determina qué política aplicar según un orden de precedencia establecido. Se ejecuta solamente la regla de respuesta asociada con la política vigente. Symantec Data Loss Prevention
crea incidentes para todas las políticas que se infringen. Indica (en la instantánea de incidente relevante) que las reglas de respuesta fueron sustituidas.De forma predeterminada, la lista siguiente es el orden de precedencia principal para los incidentes de Endpoint Prevent:
- Bloquear
- Cancelado por el usuario
- Endpoint FlexResponse
- Notificar
Para Endpoint Discover, los incidentes de cuarentena siempre toman precedencia sobre los incidentes de Endpoint FlexResponse.
Tenga en cuenta el siguiente comportamiento con respecto a la elaboración de informes de incidentes sustituidos:
- Las instantáneas de un incidente sustituido de bloqueo de endpoint o cancelado por el usuario aún muestran el iconoBloqueadoporqueSymantec Data Loss Preventionbloqueó el contenido en cuestión. El icono, además, indica si el contenido fue bloqueado porque el usuario eligió bloquear el contenido. Alternativamente, el icono indica que el límite de tiempo de cancelación del usuario fue excedido y que el contenido fue bloqueado.
- Las instantáneas de un incidente sustituido de notificación a endpointnoincluyen el iconoNotificar. El icono Notificar no está incluido porqueSymantec Data Loss Preventionno mostró la notificación en pantalla determinada que fue configurada en la política.
- Las instantáneas de un incidente sustituido de cuarentena de endpoint muestran el iconoBloqueadoporque los datos no se movieron del área asegurada. El icono, además, indica si el contenido fue bloqueado porque el usuario eligió bloquear el contenido. Alternativamente, el icono indica que el límite de tiempo de cancelación del usuario fue excedido y que el contenido fue bloqueado. La ficha Historial de la instantánea de incidente muestra siempre información sobre si la regla de Endpoint FlexResponse fue satisfactoria.
- Las instantáneas de un incidente sustituido de Endpoint FlexResponse muestran el iconoBloqueadoporque los datos no se movieron del área asegurada. El icono, además, indica si una regla de respuesta de cuarentena de endpoint fue activada.
Si ha configurado reglas de respuesta de Endpoint Prevent para mostrar notificaciones en pantalla que indiquen a los usuarios que justifiquen sus acciones, las declaraciones siguientes son verdaderas:
- Symantec Data Loss Preventionmuestra la justificación de usuario en los detalles de todos los incidentes generados por las políticas que incluyen la regla de respuesta ejecutada.
- Symantec Data Loss Preventionmuestra la justificaciónSustituido - Síen las instantáneas de todos los incidentes sustituidos que no incluyen la regla de respuesta ejecutada.
- Si no hay ningún usuario que especifique una justificación, por ejemplo, si un usuario accede a un equipo remoto, la alineación muestra N/D.