Rapports sur les règles d'intervention de
Endpoint Prevent

Si l'activité de l'utilisateur sur le terminal client déclenche plus d'une règle d'intervention,
Symantec Data Loss Prevention
détermine quelle politique appliquer sur la base de l'ordre de priorité établi. Seule la règle d'intervention associée à la politique dominante est exécutée.
Symantec Data Loss Prevention
crée des incidents pour toutes les politiques qui sont violées. Il indique (dans les clichés d'incident correspondants) que les règles d'intervention ont été remplacées.
Par défaut, la liste suivante constitue le principal ordre de priorité pour les incidents de Endpoint Prevent :
  • Bloquer
  • Annulation de l'utilisateur
  • Endpoint FlexResponse
  • Notifier
Pour Endpoint Discover, les incidents de quarantaine sont toujours prioritaires sur les incidents Endpoint FlexResponse.
Gardez à l'esprit le comportement suivant concernant le rapport des incidents remplacés :
  • Le cliché d'un incident Endpoint : Bloquer ou Annulation utilisateur remplacé affiche toujours l'icône
    Bloqué
    , parce que
    Symantec Data Loss Prevention
    a bloqué le contenu en question. L'icône indique également si le contenu est bloqué parce que l'utilisateur a choisi de le bloquer. Sinon, l'icône indique que le délai d'annulation de l'utilisateur est dépassé et que le contenu est bloqué.
  • Le cliché d'un incident Endpoint Notifier remplacé n'inclut
    pas
    l'icône
    Notifier
    . L'icône Notifier n'est pas incluse parce que
    Symantec Data Loss Prevention
    n'a pas affiché la notification à l'écran configurée dans la politique.
  • Le cliché d'un incident Endpoint : Mettre en quarantaine affiche l'icône
    Bloqué
    si les données n'ont pas été déplacées hors de la zone sécurisée. L'icône indique également si le contenu est bloqué parce que l'utilisateur a choisi de le bloquer. Sinon, l'icône indique que le délai d'annulation de l'utilisateur est dépassé et que le contenu est bloqué. L'onglet d'historique du cliché d'incident affiche toujours des informations relatives au succès de la règle Endpoint FlexResponse.
  • Le cliché d'un incident Endpoint FlexResponse affiche l'icône
    Bloqué
    si les données n'ont pas été déplacées hors de la zone sécurisée. L'icône indique également si une règle d'intervention Endpoint : Mettre en quarantaine a été activée.
Si vous avez configuré des règles d'intervention Endpoint Prevent pour afficher des notifications à l'écran invitant les utilisateurs à justifier leurs actions, les déclarations suivantes sont vraies :
  • Symantec Data Loss Prevention
    affiche la justification de l'utilisateur dans les clichés de tous les incidents générés par les politiques qui incluent la règle d'intervention exécutée.
  • Symantec Data Loss Prevention
    affiche la justification
    Remplacé – Oui
    dans les clichés de tous les incidents remplacés qui n'incluent pas la règle d'intervention exécutée.
  • Si aucun utilisateur ne saisit une justification, par exemple si un utilisateur accède à un ordinateur distant, la justification affiche N/A.