Configurer les règles de recherche de l’utilisateur final

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Vous pouvez créer et configurer des règles de recherche d’utilisateur final et affecter les incidents DLP aux utilisateurs finaux respectifs en fonction de ces règles.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule).

    Pourquoi et quand exécuter cette tâche

    L’administrateur DLP définit ces règles de recherche d’utilisateurs finaux pour affecter automatiquement les utilisateurs finaux aux incidents DLP en utilisant uniquement le champ d’utilisateur final. La règle de recherche de l’utilisateur final DLP vous permet d’affecter l’utilisateur final aux incidents DLP en fonction de l’identificateur de l’utilisateur final, des attributs personnalisés ou du script.

    Procédure

    1. Accédez à la Tous > DLP Administration > Règles de recherche de l’utilisateur final DLP.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règle de recherche d’utilisateur final DLP
      Champ Description
      Nom Nom de la règle de recherche de l’utilisateur final.
      Actif Option permettant d’indiquer si la règle de recherche de l’utilisateur final est active.
      Ordre d’exécution La priorité de la règle de recherche de l’utilisateur final. Ce champ indique l’ordre dans lequel les règles de recherche de l’utilisateur final sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle de recherche d’utilisateur final dont le numéro est le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100.
      Description Description unique pour la règle de recherche de l’utilisateur final.
      Condition Conditions dans le créateur de condition. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle de recherche de l’utilisateur final, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du créateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être remplies.
      • Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Par exemple, vous pouvez définir les conditions de cette règle de recherche d’utilisateur final en sélectionnant la condition Source d’intégration, contient, Symantec.

      Remarque :
      Les conditions du créateur de condition sont sensibles à la casse.
      Rechercher un utilisateur final à l’aide de Option permettant de rechercher un utilisateur final à l’aide d’un champ d’incident ou d’un script.
      Identificateur d’utilisateur final Identificateur d’utilisateur final de l’incident DLP. Ce champ s’affiche lorsque le champ Incident est sélectionné dans le champ Rechercher l’utilisateur final à l’aide du champ. Vous pouvez sélectionner un identificateur d’utilisateur final parmi les suivants :
      • E-mail du propriétaire des données
      • Destination
      • Fichier créé par
      • Fichier modifié par
      • Propriétaire du fichier
      • Nom d’utilisateur FTP
      • Expéditeur
      • Utilisateur personnalisé à partir de l’incident
      Attribut personnalisé Option permettant de spécifier un attribut personnalisé de l’incident qui fait référence à un utilisateur. Ce champ s’affiche uniquement lorsque l’utilisateur personnalisé de l’incident est sélectionné dans le champ Identificateur de l’utilisateur final .
      Script Vous pouvez utiliser l’éditeur de script pour personnaliser et formater les valeurs de champ lors de la création de la règle de recherche de l’utilisateur final. Par exemple, vous pouvez utiliser le champ Adresse e-mail pour identifier l’utilisateur final.
      L’exemple suivant montre une règle de recherche d’utilisateur final portant le nom « Symantec ». Le créateur de condition nécessite que la « source d’intégration » soit « Symantec ». L’option Rechercher l’utilisateur final à l’aide de l’option est définie sur « Champ d’incident » et l’option d’identificateur d’utilisateur final est définie sur « Fichier modifié par ».
      Figure 1. Règle de recherche de l’utilisateur final DLP
      Configurer les règles de recherche de l’utilisateur final
    4. Cliquez sur Envoyer.
      Vous pouvez également sélectionner une ou plusieurs règles de recherche d’utilisateur final et les réappliquer à tous les incidents DLP existants.
    5. Pour réappliquer une règle de recherche d’utilisateur final à tous les incidents DLP existants, cliquez sur Réappliquer.