Créer des règles pour les options de réponse aux incidents

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Créez les règles d’option de réponse aux incidents que l’utilisateur final ou l’analyste peut utiliser lors de la réponse à un incident.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : vue (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez configurer le type de réponse qu’un utilisateur final doit effectuer en fonction du type d’incident DLP. L’application DLP Incident Response du système de base offre les options de réponse suivantes aux utilisateurs :
    • Évaluation terminée
    • Contenu supprimé
    • Supprimer le fichier
    • Fichier chiffré
    • Contenu masqué
    • Signaler un faux positif
    • Signaler un propriétaire incorrect
    • Requis pour le processus business
    • Droits révisés

    Par exemple, supposons qu’un utilisateur final signale un incident DLP comme faux positif. L’état de cet incident est alors automatiquement marqué comme fermé, car l’état cible que vous avez configuré est fermé.

    Procédure

    1. Accédez à la Tout > Administration DLP > Règles de l'option de réponse aux incidents.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règles de l’option de réponse aux incidents
      Champ Description
      Nom Nom de l’option de réponse aux incidents.
      Actif Option permettant d’indiquer si l’option de réponse aux incidents est active.
      Ordre d'exécution Priorité de l’option de réponse aux incidents. Ce champ indique l’ordre dans lequel les options de réponse aux incidents sont exécutées lorsque deux options de réponse aux incidents ou plus partagent les conditions de déclenchement.

      L’option de réponse aux incidents dotée du numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200 ou tout autre nombre.

      La valeur par défaut est 100.
      Description Description unique de cette option de réponse aux incidents.
      État cible par défaut État cible par défaut que vous avez configuré.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour les options de réponse aux incidents, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU :
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Remarque :
      Les conditions du générateur de conditions sont sensibles à la casse.
      L’exemple suivant montre la configuration d’action de l’utilisateur final pour un point de terminaison. La condition exige que la source d’analyse soit un système de fichiers de point de terminaison qui déclenche ensuite cette configuration d’action de l’utilisateur final. Le mappage montre que le rapport de propriétaire erroné, le rapport de faux positif et le fichier supprimé sont les options de réponse disponibles pour l’utilisateur final.
      Figure 1. Règle de l'option de réponse aux incidents
      Liste des règles d’options de réponse aux incidents que l’utilisateur final peut exécuter.
    4. Dans la section Mappages des options de réponse , cliquez sur Nouveau.
    5. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Mappage d’options de réponse
      Règle de l'Option de réponse Nom de la règle d’option de réponse aux incidents. Par exemple, SharePoint implique que la source d’analyse est SharePoint. Vous pouvez saisir le nom de la réponse à un incident ou effectuer une recherche à l’aide de la fonction de recherche.
      Option en matière de réponse Option permettant de sélectionner l’option de réponse. Vous pouvez soit entrer l’option de réponse, soit effectuer une recherche à l’aide de la fonction de recherche.
      État cible État cible de l’incident DLP une fois que l’utilisateur final a sélectionné l’action appropriée.
      Remarque :
      1. Le champ État cible s’affiche uniquement lorsque vous sélectionnez l’option de réponse de type : Basique. Pour plus d’informations sur la configuration des types d’état cible, reportez-vous à la section Configurer l’option de réponse pour vos incidents DLP.
      2. Lorsqu’une option de réponse de type avancé est sélectionnée, vous ne pouvez pas définir l’état cible et elle est masquée. L’état cible est affecté en fonction de l’état personnalisé configuré à partir du flux secondaire du concepteur de flux.
      Afficher les options de réponse pour Option permettant de déterminer les rôles d’utilisateur pour lesquels afficher les options de réponse.

      Vous pouvez choisir entre Analyste, Utilisateur final et Analystes réviseurs escaladés à l’aide de l’option de déverrouillage. Vous êtes autorisé à choisir un ou tous les rôles.
      Figure 2. Action de mappage de l’option de réponse
      Page de mappage des options de réponse dans les règles de l’option de réponse aux incidents
    6. Cliquez sur Envoyer.