Créer une règle d’affectation pour vos Data Loss Prevention Incident Response incidents
Créez et activez les règles d’affectation. Ensuite, affectez les Data Loss Prevention Incident Response incidents (IR DLP) à des groupes d’utilisateurs, à des utilisateurs finaux, à des gestionnaires ou à l’utilisateur à partir de l’incident.
Avant de commencer
- sn_dlir.admin : créer, modifier et supprimer.
- sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule).
Pourquoi et quand exécuter cette tâche
Vous pouvez utiliser des règles d’affectation pour affecter des incidents IR DLP à des groupes d’utilisateurs, à des utilisateurs finaux ou à des gestionnaires. Les incidents DLP sont affectés lorsque les conditions de la règle d’affectation sont remplies.
Procédure
-
Renseignez les champs du formulaire.
Tableau 1. Formulaire Règle d’affectation DLP Champ Description Nom Nom de la règle d’affectation. Actif Option permettant d’indiquer si la règle d’affectation est active. Ordre d’exécution La priorité de la règle d’affectation. Ce champ indique l’ordre dans lequel les règles d’affectation sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement. La règle d’affectation dont le numéro est le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.
La valeur par défaut est 100.
Description Description unique pour cette règle d’affectation. Condition Conditions dans le créateur de condition. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle d’affectation, sélectionnez l’un des champs d’incident. Utilisez les listes et les champs du créateur de conditions pour définir les filtres de la première ligne.
Pour ajouter d’autres conditions, cliquez sur ET ou OU.- Si ET est sélectionné, toutes les conditions doivent être remplies.
- Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.
Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Par exemple, vous créez une règle d’affectation DLP pour un point de terminaison. Vous pouvez spécifier que la source de l’analyse des conditions est un système de fichiers de point de terminaison qui doit être respecté avant d’affecter un incident.
Remarque :Les conditions du créateur de condition sont sensibles à la casse.Affecter à Affectation à l’un des éléments suivants : - Groupe d'utilisateurs
- Utilisateur final
- Responsable
- Utilisateur à partir de l’incident
Groupe d'utilisateurs Option permettant de rechercher et de sélectionner un groupe d’utilisateurs auquel affecter les incidents DLP. Ce champ s’affiche lorsque vous sélectionnez Groupe d’utilisateurs dans le champ Affecter à . Remarque :Vous ne pouvez afficher et sélectionner que les groupes qui ont été affectés au rôle sn_dlir.analyst.Utilisateur final Option permettant d’affecter l’incident DLP à l’utilisateur final. L’affectation se produit lorsque les conditions du créateur de condition sont remplies. Affecter à l’aide des champs Gestionnaire Gestionnaire de l’utilisateur final. Ce champ s’affiche lorsque le responsable est sélectionné dans le champ Affecté à . Vous pouvez affecter les incidents DLP à un gestionnaire particulier en sélectionnant l’un des champs du gestionnaire, tels que Nom de famille, Adresse e-mail, Ville, Numéro d’employé.
Identificateur d’utilisateur Identificateur d’utilisateur de l’incident. Ce champ apparaît lorsque l’utilisateur d’incident est sélectionné dans le champ Affecté à . Vous pouvez sélectionner un identificateur d’utilisateur parmi les suivants : - E-mail du propriétaire des données
- Destination
- Fichier créé par
- Fichier modifié par
- Propriétaire du fichier
- Nom d’utilisateur FTP
- Expéditeur
- Utilisateur personnalisé à partir de l’incident
Attribut personnalisé Option permettant de spécifier un attribut personnalisé de l’incident qui fait référence à un utilisateur. Ce champ s’affiche uniquement lorsque l’utilisateur personnalisé de l’incident est sélectionné dans le champ Identificateur d’utilisateur . Joindre l’évaluation Option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. État de la réponse de l’évaluation préalable Option permettant de sélectionner l’état de l’incident avant que l’utilisateur final ne réponde. Il peut également s’agir d’un état personnalisé. La valeur par défaut est En attente d’évaluation.
État de la réponse post-évaluation Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu. La valeur par défaut est Évaluation terminée.
Avancés Option avancée pour identifier l’utilisateur final. Ce champ s’affiche uniquement lorsque l’utilisateur personnalisé de l’incident est sélectionné dans le champ Identificateur d’utilisateur . Vous pouvez utiliser l’éditeur de script pour personnaliser et formater les valeurs de champ lors de la création de la règle d’affectation afin d’identifier l’utilisateur final. Ensuite, vous choisissez la personne à laquelle vous souhaitez affecter l’incident DLP, qui peut être un utilisateur final ou le gestionnaire de l’utilisateur final.
Par exemple, vous pouvez utiliser le champ Adresse e-mail pour identifier l’utilisateur final.
L’exemple suivant montre une règle d’affectation ayant le nomAffecter un incident de priorité « moyenne » à l’utilisateur final. Le créateur de condition exige que la source del’analyse soit Affecter un incident de priorité « moyenne » à l’utilisateur finalet que le champAffecter àsoit défini surUtilisateur final. Ensuite, vous pouvez rechercher l’adresse e-mail de l’utilisateur final.Figure 1. Règle d’affectation DLP