Créer des règles de recherche d’utilisateur final

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Vous pouvez créer et configurer des règles de recherche d’utilisateur final et affecter les incidents DLP aux utilisateurs finaux respectifs en fonction de ces règles.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read - Affichage (lecture seule).

    Pourquoi et quand exécuter cette tâche

    L’administrateur DLP définit ces règles de recherche d’utilisateur final pour affecter automatiquement les utilisateurs finaux aux incidents DLP en utilisant uniquement le champ d’utilisateur final. La règle de recherche d’utilisateur final DLP vous permet d’affecter l’utilisateur final à des incidents DLP en fonction de l’identificateur d’utilisateur final, d’attributs personnalisés ou d’un script.

    Procédure

    1. Accédez à la Tout > Administration DLP > Règles de recherche d'utilisateur final DLP.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règle de recherche d’utilisateur final DLP
      Champ Description
      Nom Nom de la règle de recherche de l’utilisateur final.
      Actif Option permettant d’indiquer si la règle de recherche de l’utilisateur final est active.
      Ordre d'exécution La priorité de la règle de recherche de l’utilisateur final. Ce champ indique l’ordre dans lequel les règles de recherche de l’utilisateur final sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle de recherche de l’utilisateur final associée au numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100.
      Description Description unique de la règle de recherche d’utilisateur final.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle de recherche de l’utilisateur final, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Par exemple, vous pouvez définir les conditions de cette règle de recherche d’utilisateur final en sélectionnant la condition Source d’intégration, contient, Symantec.

      Remarque :
      Les conditions du générateur de conditions sont sensibles à la casse.
      Rechercher un utilisateur final à l'aide de Option permettant de rechercher un utilisateur final à l’aide du champ Incident ou d’un script.
      Identificateur de l’utilisateur final L’identificateur d’utilisateur final de l’incident DLP. Ce champ s’affiche lorsque le champ Incident est sélectionné dans le champ Rechercher un utilisateur final à l’aide du champ. Vous pouvez sélectionner un identificateur d’utilisateur final parmi les suivants :
      • E-mail du propriétaire des données
      • Destination
      • Fichier créé par
      • Fichier modifié par
      • Propriétaire du fichier
      • Nom d’utilisateur FTP
      • Expéditeur
        Remarque :
        Les identificateurs d’utilisateur final répertoriés ci-dessus peuvent être configurés à l’aide de la propriété système sn_dlir.assignment.fields. Pour plus d'informations, consultez Configurer les paramètres avancés.
      • Utilisateur personnalisé à partir de l’incident
      Attribut personnalisé Option permettant de spécifier un attribut personnalisé à partir de l’incident qui fait référence à un utilisateur. Ce champ s’affiche uniquement lorsque le a est sélectionné dans le champ Identificateur de l’utilisateur final .
      Script Vous pouvez utiliser l’éditeur de script pour personnaliser et formater les valeurs de champ lors de la création de la règle de recherche de l’utilisateur final. Par exemple, vous pouvez utiliser le champ de l’adresse e-mail pour identifier l’utilisateur final.
      L’exemple suivant montre une règle de recherche d’utilisateur final portant le nom « Symantec ». Le créateur de conditions nécessite que la « source d’intégration » soit « Symantec ». L’option Rechercher un utilisateur final à l’aide de l’option est définie sur « Champ d’incident » et l’option d’identificateur d’utilisateur final est définie sur « Fichier modifié par ».
      Figure 1. Règle de recherche d’utilisateur final DLP
      Configurer des règles de recherche d’utilisateur final
    4. Cliquez sur Envoyer.
      Vous pouvez également sélectionner une ou plusieurs règles de recherche d’utilisateur final et les réappliquer à tous les incidents DLP existants.
    5. Pour réappliquer une règle de recherche de l’utilisateur final à tous les incidents DLP existants, cliquez sur Réappliquer.