Créer des règles d’affectation

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Utilisez cette section pour créer des règles d’affectation. Affectez ensuite les Data Loss Prevention Incident Response incidents (IR DLP) à des groupes d’utilisateurs, des utilisateurs finaux, des gestionnaires ou à un utilisateur de l’incident.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read - Affichage (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser des règles d’affectation pour affecter des incidents DLP IR à des groupes d’utilisateurs, des utilisateurs finaux ou à des gestionnaires. L’affectation des incidents DLP se produit lorsque les conditions de la règle d’affectation sont remplies.

    Procédure

    1. Accédez à la Tout > Administration DLP > Règles d'affectation.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règle d’affectation DLP
      Champ Description
      Nom Nom de la règle d’affectation.
      Actif Option permettant d’indiquer si la règle d’affectation est active.
      Ordre d'exécution Priorité de la règle d’affectation. Ce champ indique l’ordre dans lequel les règles d’affectation sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle d’affectation associée au numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100.
      Description Description unique de cette règle d’affectation.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle d’affectation, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Par exemple, supposons que vous créiez une règle d’affectation DLP pour un point de terminaison. Vous pouvez spécifier que la source d’analyse des conditions est un système de fichiers de point de terminaison qui doit être rempli avant d’affecter un incident.

      Remarque :
      Les conditions du générateur de conditions sont sensibles à la casse.
      Affecter à Affectation à l’un des éléments suivants :
      • Groupe d'utilisateurs
      • Utilisateur final
      • Responsable
      • Utilisateur à partir de l’incident
      L’affectation a lieu lorsque les conditions du générateur de conditions sont remplies.
      Groupe d'utilisateurs Option permettant de rechercher et de sélectionner un groupe d’utilisateurs auquel affecter les incidents DLP. Ce champ s’affiche lorsque Groupe d’utilisateurs est sélectionné dans le champ Affecter à .
      Remarque :
      Vous ne pouvez afficher et sélectionner que les groupes auxquels le rôle sn_dlir.analyst a été affecté.
      Utilisateur final Option permettant d’affecter l’incident DLP à l’utilisateur final. L’affectation a lieu lorsque les conditions du générateur de conditions sont remplies.
      Affecter à l'aide des champs de Gestionnaire Responsable de l’utilisateur final Ce champ s’affiche lorsque le gestionnaire est sélectionné dans le champ Affecter à .

      Vous pouvez affecter des incidents DLP à un gestionnaire particulier en sélectionnant l’un des champs du gestionnaire, tel que Nom de famille, E-mail, Ville, Numéro d’employé.
      Identificateur de l'utilisateur L’identificateur utilisateur de l’incident. Ce champ s’affiche lorsque l’utilisateur de l’incident est sélectionné dans le champ Affecter à . Vous pouvez sélectionner un identificateur d’utilisateur parmi les suivants :
      • E-mail du propriétaire des données
      • Destination
      • Fichier créé par
      • Fichier modifié par
      • Propriétaire du fichier
      • Nom d’utilisateur FTP
      • Expéditeur
      • Utilisateur personnalisé à partir de l’incident
      Attribut personnalisé Option permettant de spécifier un attribut personnalisé à partir de l’incident qui fait référence à un utilisateur. Ce champ s’affiche uniquement lorsque l’utilisateur personnalisé à partir de l’incident est sélectionné dans le champ Identificateur de l’utilisateur .
      Joindre l'évaluation Option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident.
      État de la réponse pré-évaluation Option permettant de sélectionner l’état dans lequel l’incident doit se trouver avant que l’utilisateur final ne réponde. Il peut également s’agir d’un état personnalisé.

      La valeur par défaut est En attente d’évaluation.
      État de la réponse post-évaluation Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu.

      La valeur par défaut est Évaluation terminée.
      Avancés Option avancée permettant d’identifier l’utilisateur final. Ce champ s’affiche uniquement lorsque l’utilisateur personnalisé à partir de l’incident est sélectionné dans le champ Identificateur de l’utilisateur .

      Vous pouvez utiliser l’éditeur de script pour personnaliser et formater les valeurs de champ lors de la création de la règle d’affectation afin d’identifier l’utilisateur final. Ensuite, vous choisissez la personne à qui affecter l’incident DLP, qui peut être un utilisateur final ou le responsable de l’utilisateur final.

      Par exemple, vous pouvez utiliser le champ de l’adresse e-mail pour identifier l’utilisateur final.
      L’exemple suivant montre une règle d’affectation dont le nom est Affecter un incident de priorité « moyenne » à l’utilisateur final. Le générateur de conditions exige que la source d’analyse soit Affecter un incident de priorité « moyenne » à l’utilisateur final et que le champ Affecter à soit défini sur Utilisateur final. Ensuite, vous pouvez rechercher l’e-mail de l’utilisateur final.
      Figure 1. Règle d’affectation DLP
      Créer des règles d’affectation pour vos Data Loss Prevention Incident Response incidents
    4. Sélectionnez le champ Affecter à de la section de liste connexe à laquelle tous les incidents DLP sont affectés.
      Cliquez sur Modifier pour ajouter le groupe d’utilisateurs. Lorsque vous cliquez sur Modifier dans la section de liste connexe et que vous sélectionnez un élément dans les colonnes Collections , puis que vous ajoutez ce délégataire sélectionné aux colonnes Groupe de la page Modifier les membres , puis que vous enregistrez la liste.
      Remarque :
      Vous ne pouvez afficher et sélectionner que les groupes qui ont été affectés au rôle sn_dlir.analyst à partir de la liste connexe. Vous ne pouvez sélectionner qu’un seul groupe.
    5. Cliquez sur Envoyer.
      Vous pouvez également sélectionner une ou plusieurs règles d’affectation et les réappliquer à tous les incidents DLP existants.
    6. Pour réappliquer une règle d’affectation à tous les incidents DLP existants, cliquez sur Réappliquer.