Paramètres de configuration par défaut de DLP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Définissez les paramètres de configuration par défaut pour Data Loss Prevention Incident Response les incidents (IR DLP) afin d’identifier et de configurer les préférences de notification d’incident et d’affectation d’incident pour vos utilisateurs finaux.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser ce module pour définir les paramètres de configuration par défaut lorsque les règles d’affectation de base et les règles d’identificateur sont épuisées et ne peuvent pas correspondre à une condition ou à un utilisateur. Vous pouvez également définir et réappliquer des règles de recherche d’utilisateur final et des règles d’affectation aux incidents DLP actifs existants.

    La notification d’incident de l’utilisateur final vous permet de spécifier la fréquence à laquelle les notifications par e-mail sont envoyées à vos utilisateurs finaux. Par exemple, vous pouvez configurer des préférences de notification pour accumuler les incidents et envoyer une synthèse d’e-mail une fois par semaine. En affectant un incident, vous pouvez spécifier le groupe auquel vous affectez initialement les incidents DLP. Vous pouvez également spécifier comment les utilisateurs finaux sont identifiés davantage par l’équipe des opérations DLP.

    Par exemple, supposons qu’un utilisateur ait stocké des informations de carte de crédit dans un fichier sur un réseau. Lorsque le produit d’intégration DLP tiers crée un incident pour une violation de la politique en matière de données sensibles, les données d’incident ingérées par le Now Platform DLP contiennent des informations sur l’utilisateur final. Vous serez alors en mesure d’affecter l’incident à l’utilisateur final approprié.

    Procédure

    1. Accédez à la Tous > DLP Administration > Configuration par défaut.
      Figure 1. Configurer les stratégies DLP
      Configurez les stratégies de réponse aux incidents DLP pour configurer les notifications pour les utilisateurs finaux
    2. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Configuration par défaut DLP
      Nom de la configuration Champ Description
      Notification d’incident de l’utilisateur final Période de notification (jours) Définissez le nombre de jours après lequel une notification par e-mail doit être envoyée à l’utilisateur final. Le nombre de jours doit être compris entre 1 et 60 jours.
      Mettre à jour automatiquement l’état parent en fonction des incidents clonés/enfants Option permettant de mettre à jour automatiquement l’incident de l’état parent en fonction des incidents clonés ou enfants.
      Affectation d'incident Groupe d’opérations DLP par défaut Groupe par défaut auquel tous les incidents DLP sont affectés.
      Remarque :
      Vous ne pouvez afficher et sélectionner que les groupes qui ont été affectés au rôle sn_dlir.analyst.
      Identificateur d’utilisateur final Spécifiez le champ à utiliser à partir des données d’incident pour identifier l’utilisateur final. Les valeurs possibles sont les suivantes :
      • E-mail du propriétaire des données
      • Destination
      • Fichier créé par
      • Fichier modifié par
      • Propriétaire du fichier
      • Nom d’utilisateur FTP
      • Expéditeur
      Réappliquer le comportement des règles de recherche de l’utilisateur final Lorsque l’option Réappliquer est choisie pour les règles de recherche de l’utilisateur final Option permettant de réappliquer des règles de recherche d’utilisateur final aux incidents DLP actifs existants. Vous pouvez sélectionner l’une des options suivantes pour présenter une nouvelle demande :
      • Mettre à jour la valeur Utilisateur final lorsque le champ est vide : met à jour la valeur Utilisateur final des incidents DLP actifs existants si ce champ est vide.
      • Mettre à jour la valeur Utilisateur final : met à jour la valeur Utilisateur final des incidents DLP actifs existants.
      • Mettre à jour les valeurs Utilisateur final et Affecté à lorsque les deux champs sont vides : met à jour les valeurs Utilisateur final des incidents DLP actifs existants et Affecté à si les deux champs sont vides.
        Remarque :
        Si cette option est sélectionnée, l’option Mettre à jour la valeur Affecté à lorsque le champ est vide est désactivée automatiquement dans la section Réappliquer le comportement des règles d’affectation, car elle s’applique aux deux.
      • Mettre à jour les valeurs Utilisateur final et Affecté à pour tous les incidents DLP actifs : met à jour les valeurs Utilisateur final et Affecté à pour tous les incidents DLP actifs.
        Remarque :
        Si cette option est sélectionnée, l’option Mettre à jour la valeur Affecté à pour tous les incidents DLP actifs est désactivée automatiquement dans la section Réappliquer le comportement des règles d’affectation, car elle s’applique aux deux.
      Réappliquer le comportement des règles d’affectation Lorsque l’option Réappliquer est choisie pour les règles d’affectation Option permettant de réappliquer des règles d’affectation à des incidents DLP actifs existants. Vous pouvez sélectionner l’une des options suivantes pour présenter une nouvelle demande :
      • Mettez à jour la valeur Affecté à lorsque le champ est vide.
      • Mettez à jour la valeur Affecté à pour tous les incidents DLP actifs.
    3. Cliquez sur Enregistrer.