Endpoint Prevent 応答ルールについてのレポート
Endpoint Prevent
応答ルールについてのレポートエンドポイント上のユーザーの操作によって複数の応答ルールがトリガされる場合、
Symantec Data Loss Prevention
では、決められた優先順位に基づいて適用するポリシーが決定されます。最も広く適用されているポリシーに関連付けされた応答ルールのみが実行されます。Symantec Data Loss Prevention
は、違反されるすべてのポリシーのためのインシデントを作成します。それは (関連したインシデントスナップショットで) 応答ルールが破棄されたことを示します。デフォルトでは、エンドポイント予防インシデントの主要な優先順位は次のようになります。
- 遮断
- ユーザーによる中止
- Endpoint FlexResponse
- 通知
Endpoint Discover の場合、検疫インシデントは Endpoint FlexResponse インシデントに常に優先します。
破棄されたインシデントのレポートに関する次の動作に注意してください。
- 破棄されたエンドポイント遮断インシデントまたはユーザーによる中止インシデントのスナップショットは、Symantec Data Loss Preventionが当該コンテンツを遮断したので、引き続き[遮断]アイコンを表示します。このアイコンは、ユーザーが遮断するように選択したためにコンテンツが遮断されたかどうかも示します。また、ユーザーによる中止の制限時間が過ぎて、コンテンツが遮断されたことも示します。
- 破棄されたエンドポイント通知インシデントのスナップショットには、[通知]アイコンが含まれません。ポリシーで設定された特定の画面上の通知をSymantec Data Loss Preventionが表示しなかったので[通知]アイコンは含まれていません。
- 破棄されたエンドポイント検疫インシデントのスナップショットは、データが安全な領域から出て行かなかったので[遮断]アイコンを表示します。このアイコンは、ユーザーが遮断するように選択したためにコンテンツが遮断されたかどうかも示します。また、ユーザーによる中止の制限時間が過ぎて、コンテンツが遮断されたことも示します。インシデントスナップショットの[履歴]タブは Endpoint FlexResponse ルールが成功したかどうかについての情報を常に表示します。
- 破棄された Endpoint FlexResponse インシデントのスナップショットは、データが安全な領域から出て行かなかったので[遮断]アイコンを表示します。アイコンはまたエンドポイント検疫応答ルールがアクティブになったら示されます。
自分の処理を正当化するようにユーザーに求める画面上の通知を表示するようにエンドポイント予防応答ルールを設定した場合、次の処理が行われます。
- Symantec Data Loss Preventionは、実行された応答ルールを含むポリシーによって生成されるすべてのインシデントのスナップショットにユーザー正当性を表示します。
- Symantec Data Loss Preventionは、実行された応答ルールを含まないすべての破棄インシデントのスナップショットに正当性[優先 - はい]を表示します。
- 正当性を入力するユーザーがいない場合、たとえばユーザーがリモートコンピュータにアクセスする場合、正当性には[適用なし]と表示されます。