Configurer les règles d’identification des récidivistes

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Configurez les règles d’identification des récidivistes pour identifier les utilisateurs qui répètent le même problème plusieurs fois.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez identifier les récidivistes à l’aide de certaines règles ou de certains critères. Data Loss Prevention Incident Response fournit des champs que vous pouvez utiliser pour identifier les récidivistes.

    Procédure

    1. Accédez à la Tous > DLP Administration > Règles d’identification des récidivistes.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règles d’identification des récidivistes
      Champ Description
      Nom Nom de la règle d’identification des récidivistes.
      Ordre d’exécution Priorité des règles d’identification des récidivistes. Ce champ indique l’ordre dans lequel les règles d’identification des récidivistes sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle d’identification des récidivistes avec le nombre le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200 ou tout autre nombre. La valeur par défaut est 100.
      Description brève Description unique de cette règle d’identification des récidivistes.
      Condition Conditions dans le créateur de condition qui sont basées sur la table d’incidents DLP. Vous pouvez sélectionner l’un des champs d’incident pour créer la condition de déclenchement de la règle d’identification des récidivistes.

      Utilisez les listes et les champs du créateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU :
      • Si ET est sélectionné, toutes les conditions doivent être remplies.
      • Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Remarque :
      Les conditions du créateur de condition sont sensibles à la casse.
      Champs DLP Identifiez les récidivistes en fonction des champs DLP requis. Cliquez sur l’icône de verrouillage en regard des champs DLP pour afficher la liste des champs DLP disponibles. Sélectionnez les champs DLP que vous souhaitez utiliser dans la colonne Disponible et déplacez-les vers la colonne Sélectionné.

      Par exemple, vous pouvez sélectionner les champsNom du fichier et Propriétaire du fichier dans la colonne Disponible et les déplacer dans la colonne Sélectionné. Ensuite, vous pouvez identifier les récidivistes en fonction des champs Nom du fichier et Propriétaire du fichier .

      Ainsi, si un utilisateur dépasse le seuil de récidive (nombre d’infractions et durée) et si le même utilisateur correspond aux champs DLP, cet utilisateur particulier est identifié comme récidiviste.
      Nombre de violations Définissez la valeur limite du seuil de récidive. Une fois que l’utilisateur a répété les mêmes actions et dépassé le nombre spécifié de violations, il est identifié comme récidiviste.
      Durée (en jours) Définissez le seuil limite de récidive sous la forme de jours. Une fois que l’utilisateur a répété les mêmes actions et dépassé la durée du seuil, il est identifié comme récidiviste.
      Figure 1. Identifier les récidivistes
      Configurer les règles d’identification des récidivistes
    4. Cliquez sur Envoyer.