Créer des règles relatives à la date d’échéance de la réponse
Configurez les règles relatives à la date d’échéance de la réponse pour déterminer le temps que vous souhaitez donner à vos utilisateurs finaux pour répondre aux incidents affectés Data Loss Prevention Incident Response (DLP IR).
Avant de commencer
- sn_dlir.admin : créer, modifier et supprimer.
- sn_dlir.analyst et sn_dlir.analyst_read : vue (lecture seule).
Pourquoi et quand exécuter cette tâche
- Responsable
- Utilisateur personnalisé à partir de l'incident
- Groupe d'utilisateurs
Par exemple, lorsque vous escaladez l’incident en retard à un gestionnaire et que vous avez spécifié un maximum de trois niveaux d’escalade. Le gestionnaire de premier niveau est notifié en premier. Si l’incident est à nouveau en retard, le gestionnaire de deuxième niveau en est informé, suivi du troisième niveau si l’incident est toujours en retard. Si le gestionnaire dispose d’un délégué, le gestionnaire a la possibilité d’affecter l’escalade ou l’incident en retard au délégué.
Vous avez également la possibilité de créer plusieurs règles relatives à la date d’échéance de la réponse.
Procédure
-
Renseignez les champs du formulaire.
Tableau 1. Formulaire Règle relative à la date d’échéance de la réponse Champ Description Nom Nom de la règle relative à la date d’échéance de la réponse. Actif Option permettant d’indiquer si la règle relative à la date d’échéance de la réponse est active. Échéance dans (jours) Nombre de jours d’échéance. Date d’échéance comptée à partir de Date de début utilisée pour calculer la date d’échéance. La date d’échéance peut être calculée soit à partir de la première fois où l’utilisateur a été informé de l’incident, soit à partir de la date d’affectation de l’incident. Notifier avant la date d'échéance Option permettant d’informer l’utilisateur final de l’incident DLP avant la date d’échéance. Notifier le (jour avant la date d’échéance) Nombre de jours avant la date d’échéance lorsque la règle déclenche une notification à l’utilisateur final. Description Description unique pour cette règle relative à la date d’échéance de la réponse. Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle relative à la date d’échéance de la réponse, sélectionnez l’un des champs d’incident. Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.
Pour ajouter d’autres conditions, cliquez sur ET ou OU.- Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
- Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Remarque :Les conditions du générateur de conditions sont sensibles à la casse.Escalader Option permettant d’escalader l’incident DLP à quelqu’un si la date d’échéance de la réponse n’a pas été respectée. Pour plus d'informations, voir Ajouter plusieurs utilisateurs pour accéder aux incidents DLP Escalader un incident en retard à Option permettant de spécifier si l’incident doit être escaladé à un gestionnaire, à un utilisateur personnalisé ou à un groupe d’utilisateurs. Ce champ s’affiche uniquement lorsque l’option Escalader est activée.
Affecter à l'aide de Spécifiez comment un gestionnaire doit être identifié. Ce champ s’affiche uniquement lorsque le gestionnaire est sélectionné dans le champ Escalader l’incident en retard à .
Niveaux d'escalades maximums Option permettant de définir le nombre maximal de niveaux d’escalade pour un gestionnaire et un utilisateur personnalisé. En tant qu’utilisateur Gestionnaire ou Personnalisé, vous pouvez définir n’importe quel nombre de niveaux d’escalade. Par défaut, trois niveaux d’escalade sont fournis.
- En tant que gestionnaire, vous pouvez définir n’importe quel nombre de niveaux d’escalade en mettant à jour la valeur de ce champ.
- En tant qu’utilisateur personnalisé, vous pouvez utiliser l’icône + pour définir le nombre souhaité de niveaux d’escalade.
Attribut personnalisé Option permettant de spécifier un attribut personnalisé à partir de l’incident qui fait référence à un utilisateur. Ce champ s’affiche uniquement lorsque l’utilisateur personnalisé de l’incident est sélectionné dans le champ Escalader l’incident en retard à .
Groupe d'utilisateurs Option permettant de rechercher et de sélectionner un groupe d’utilisateurs auquel escalader les incidents DLP. Ce champ s’affiche uniquement lorsque le groupe d’utilisateurs est sélectionné dans le champ Escalader l’incident en retard à .
Remarque :Vous ne pouvez afficher et sélectionner que les groupes auxquels le rôle sn_dlir.analyst a été affecté.L’exemple suivant montre la règle relative à la date d’échéance de la réponse pour déterminer le délai que vous souhaitez accorder à vos utilisateurs finaux pour répondre aux incidents affectés Data Loss Prevention Incident Response (DLP). Après la première notification de l’utilisateur final, la date d’échéance de la réponse est dans deux jours. Le générateur de conditions montre que la source d’analyse doit correspondre au système de fichiers du point de terminaison pour procéder à la création de la date d’échéance de la réponse. L’option d’escalade est sélectionnée. L’incident est escaladé au gestionnaire si la date d’échéance de la réponse est dépassée.Figure 1. Configurer les règles relatives à la date d’échéance de la réponse