Créer des règles d’option de réponse aux incidents

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Créez les règles d’option de réponse aux incidents que l’utilisateur final ou l’analyste peut utiliser lors de la réponse à un incident.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read - Affichage (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez configurer le type de réponse qu’un utilisateur final doit effectuer en fonction du type d’incident DLP. L’application DLP Incident Response du système de base fournit les options de réponse suivantes aux utilisateurs :
    • Évaluation terminée
    • Contenu supprimé
    • Fichier supprimé
    • Fichier chiffré
    • Contenu masqué
    • Signaler un faux positif
    • Signaler un propriétaire incorrect
    • Requis pour le processus business
    • Autorisations examinées

    Par exemple, supposons qu’un utilisateur final signale un incident DLP comme un faux positif. L’état de cet incident est alors automatiquement marqué comme fermé, car l’état cible que vous avez configuré est fermé.

    Procédure

    1. Accédez à la Tout > Administration DLP > Règles de l'option de réponse aux incidents.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règles de l’option de réponse aux incidents
      Champ Description
      Nom Nom de l’option de réponse à un incident.
      Actif Option permettant d’indiquer si l’option de réponse à un incident est active.
      Ordre d'exécution Priorité de l’option de réponse à un incident. Ce champ indique l’ordre dans lequel les options de réponse aux incidents sont exécutées lorsque deux options de réponse aux incidents ou plus partagent les conditions de déclenchement.

      L’option de réponse aux incidents associée au numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200 ou tout autre nombre.

      La valeur par défaut est 100.
      Description Description unique de cette option de réponse à l’incident.
      État cible par défaut L’état cible par défaut que vous avez configuré.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour les options de réponse aux incidents, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU :
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Remarque :
      Les conditions du générateur de conditions sont sensibles à la casse.
      L’exemple suivant montre la configuration de l’action de l’utilisateur final pour un point de terminaison. La condition exige que la source d’analyse soit un système de fichiers de point de terminaison qui déclenche ensuite cette configuration d’action de l’utilisateur final. Le mappage montre que les options de réponse disponibles pour l’utilisateur final sont le Signaler un propriétaire incorrect, Signaler un faux positif et Fichier supprimé.
      Figure 1. Règle de l'option de réponse aux incidents
      La liste des règles d’option de réponse aux incidents que l’utilisateur final peut exécuter.
    4. Dans la section Mappages des options de réponse , cliquez sur Nouveau.
    5. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Mappage d’option de réponse
      Règle de l'Option de réponse Nom de la règle d’option de réponse aux incidents. Par exemple, SharePoint implique que la source de numérisation est SharePoint. Vous pouvez entrer le nom de la réponse à un incident ou effectuer une recherche à l’aide de la fonction de recherche.
      Option en matière de réponse Option permettant de sélectionner l’option de réponse. Vous pouvez soit saisir l’option de réponse, soit effectuer une recherche à l’aide de la fonction de recherche.
      État cible État cible de l’incident DLP une fois que l’utilisateur final a sélectionné l’action appropriée.
      Remarque :
      1. Le champ État cible s’affiche uniquement lorsque vous sélectionnez l’option de réponse de type : de base. Pour en savoir plus sur la configuration des types d’état cibles, reportez-vous à la section Configurer l’option de réponse pour vos incidents DLP.
      2. Lorsqu’une option de réponse de type avancé est sélectionnée, vous ne pouvez pas définir l’état cible et elle est masquée. L’état cible sera affecté en fonction de l’état personnalisé configuré à partir du sous-flux du concepteur de flux.
      Afficher les options de réponse pour Option permettant de déterminer les rôles d’utilisateur pour lesquels afficher les options de réponse.

      Vous pouvez choisir entre Analyste, Utilisateur final et Analyste-réviseurs escaladés en utilisant l’option de déverrouillage. Vous êtes autorisé à choisir un ou tous les rôles.
      Figure 2. Action de mappage d’option de réponse
      Page de mappage des options de réponse dans les règles de l’option de réponse aux incidents
    6. Cliquez sur Envoyer.