Configurer les règles de date d’échéance de réponse pour vos incidents DLP

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

4 minutes de lecture

Configurez les règles de date d’échéance de réponse pour déterminer le délai que vous souhaitez donner à vos utilisateurs finaux pour répondre aux incidents affectés Data Loss Prevention Incident Response (IR DLP).

Avant de commencer

Rôle requis :

sn_dlir.admin : créer, modifier et supprimer.
sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule).

Pourquoi et quand exécuter cette tâche

Vous pouvez utiliser ce module pour définir les règles de date d’échéance de réponse pour les différents types d’incidents DLP et les règles pour commencer à compter la date d’échéance. Une fois la date d’échéance expirée, les utilisateurs sont informés de l’incident en retard. Vous avez également la possibilité d’escalader l’incident en retard vers l’un des éléments suivants :

Responsable
Utilisateur personnalisé à partir de l’incident
Groupe d'utilisateurs

Par exemple, lorsque vous escaladez l’incident en retard à un gestionnaire et que vous avez spécifié un maximum de trois niveaux d’escalade. Le premier niveau de gestionnaire est notifié en premier. Si l’incident est de nouveau en retard, le deuxième niveau du gestionnaire est notifié, suivi du troisième niveau si l’incident est toujours en retard. Si le gestionnaire a un délégué, il a la possibilité d’affecter l’escalade ou l’incident en retard au délégué.

Vous avez également la possibilité de créer plusieurs règles de date d’échéance de réponse.

Procédure

Accédez à la Tous > DLP Administration > Règles de dates d’échéance des réponses.
Cliquez sur Nouveau.

Renseignez les champs du formulaire.

Tableau 1. Formulaire Règle de date d’échéance de réponse
Champ	Description
Nom	Nom de la règle de date d’échéance de la réponse.
Actif	Option permettant d’indiquer si la règle de date d’échéance de la réponse est active.
Échéance (jours)	Nombre de jours d’échéance.
Date d’échéance comptée à partir de	Date de début utilisée pour calculer la date d’échéance. La date d’échéance peut être calculée à partir de la première fois que l’utilisateur a été informé de l’incident ou à partir de la date d’affectation de l’incident.
Notifier avant la date d’échéance	Option permettant de notifier l’utilisateur final de l’incident DLP avant la date d’échéance.
Notifier le (jours avant la date d’échéance)	Nombre de jours avant la date d’échéance lorsque la règle déclenche une notification à l’utilisateur final.
Description	Description unique pour cette règle de date d’échéance de réponse.
Condition	Conditions dans le créateur de condition. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle de date d’échéance de la réponse, sélectionnez l’un des champs d’incident. Utilisez les listes et les champs du créateur de conditions pour définir les filtres de la première ligne. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être remplies. Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère. Remarque : Les conditions du créateur de condition sont sensibles à la casse.
Escalader	Option permettant d’escalader l’incident DLP à quelqu’un si la date d’échéance de la réponse a été dépassée. Pour plus d'informations, voir Ajouter plusieurs utilisateurs pour accéder aux incidents DLP
Escalader un incident en retard à	Option permettant de spécifier si l’incident doit être escaladé à un gestionnaire, à un utilisateur personnalisé ou à un groupe d’utilisateurs. Ce champ s’affiche uniquement lorsque l’option Escalader est activée.
Affecter à l'aide de	Spécifiez comment identifier un gestionnaire. Ce champ s’affiche uniquement lorsque le gestionnaire est sélectionné dans le champ Escalader un incident en retard à .
Niveaux d’escalade maximaux	Option permettant de définir le nombre maximal de niveaux d’escalade pour un gestionnaire et un utilisateur personnalisé. En tant que gestionnaire ou utilisateur personnalisé, vous pouvez définir n’importe quel nombre de niveaux d’escalade. Par défaut, trois niveaux d’escalade sont proposés. En tant que gestionnaire, vous pouvez définir n’importe quel nombre de niveaux d’escalade en mettant à jour la valeur de ce champ. En tant qu’utilisateur personnalisé, vous pouvez utiliser l’icône + pour définir n’importe quel nombre de niveaux d’escalade.
Attribut personnalisé	Option permettant de spécifier un attribut personnalisé de l’incident qui fait référence à un utilisateur. Ce champ s’affiche uniquement lorsque l’utilisateur personnalisé de l’incident est sélectionné dans le champ Escalader l’incident en retard à .
Groupe d'utilisateurs	Option permettant de rechercher et de sélectionner un groupe d’utilisateurs vers lequel escalader les incidents DLP. Ce champ s’affiche uniquement lorsque vous sélectionnez Groupe d’utilisateurs dans le champ Escalader un incident en retard à . Remarque : Vous ne pouvez afficher et sélectionner que les groupes qui ont été affectés au rôle sn_dlir.analyst.

L’exemple suivant montre la règle de date d’échéance de réponse pour déterminer le délai que vous souhaitez donner à vos utilisateurs finaux pour répondre aux incidents affectés Data Loss Prevention Incident Response (DLP). Une fois que l’utilisateur final a été notifié pour la première fois, la date d’échéance de la réponse est dans deux jours. Le créateur de conditions indique que la source d’analyse doit correspondre au système de fichiers du point de terminaison pour procéder à la création de la date d’échéance de la réponse. L’option d’escalade est sélectionnée. L’incident est escaladé au gestionnaire si la date d’échéance de la réponse n’est pas respectée.

Vue de liste des règles de données d’échéance de réponse — Figure 1. Configurer les règles de date d’échéance de la réponse

Cliquez sur Envoyer.