Créer des règles d’affectation

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Utilisez cette section pour créer des règles d’affectation. Ensuite, affectez les Data Loss Prevention Incident Response incidents (DLP IR) à des groupes d’utilisateurs, aux utilisateurs finaux, aux gestionnaires ou à un utilisateur à partir d’un incident.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : vue (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser des règles d’affectation pour affecter des incidents DLP IR à des groupes d’utilisateurs, des utilisateurs finaux ou à des gestionnaires. L’affectation des incidents DLP se produit lorsque les conditions de la règle d’affectation sont remplies.

    Procédure

    1. Accédez à la Tous > Administration DLP > Règles d'affectation.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire de règle d’affectation DLP
      Champ Description
      Nom Nom de la règle d’affectation.
      Actif Option permettant d’indiquer si la règle d’affectation est active.
      Ordre d'exécution Priorité de la règle d’affectation. Ce champ indique l’ordre dans lequel les règles d’affectation sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle d’affectation dotée du numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100.
      Description Description unique pour cette règle d’affectation.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle d’affectation, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Par exemple, supposons que vous créez une règle d’affectation DLP pour un point de terminaison. Vous pouvez spécifier que la source d’analyse de condition est un système de fichiers de point de terminaison qui doit être rempli avant d’affecter un incident.

      Remarque :
      Les conditions du générateur de conditions sont sensibles à la casse.
      Affecter à Affectation à l’un des éléments suivants :
      • Groupe d'utilisateurs
      • Utilisateur final
      • Responsable
      • Utilisateur à partir de l’incident
      L’affectation se produit lorsque les conditions du générateur de conditions sont remplies.
      Groupe d'utilisateurs Option permettant de rechercher et de sélectionner un groupe d’utilisateurs auquel affecter les incidents DLP. Ce champ s’affiche lorsque Groupe d’utilisateurs est sélectionné dans le champ Affecter à .
      Remarque :
      Vous ne pouvez afficher et sélectionner que les groupes auxquels le rôle sn_dlir.analyst a été affecté.
      Utilisateur final Option permettant d’affecter l’incident DLP à l’utilisateur final. L’affectation se produit lorsque les conditions du générateur de conditions sont remplies.
      Affecter à l'aide des champs de Gestionnaire Gestionnaire de l’utilisateur final. Ce champ s’affiche lorsque le gestionnaire est sélectionné dans le champ Affecter à .

      Vous pouvez affecter les incidents DLP à un gestionnaire particulier en sélectionnant l’un des champs Gestionnaire, tel que Nom, E-mail, Ville, Numéro d’employé.
      Identificateur de l'utilisateur L’identificateur d’utilisateur de l’incident. Ce champ s’affiche lorsque l’utilisateur de l’incident est sélectionné dans le champ Affecter à . Vous pouvez sélectionner un identificateur d’utilisateur parmi les suivants :
      • E-mail du propriétaire des données
      • Destination
      • Fichier créé par
      • Fichier modifié par
      • Propriétaire du fichier
      • Nom d’utilisateur FTP
      • Expéditeur
      • Utilisateur personnalisé à partir de l’incident
      Attribut personnalisé Option permettant de spécifier un attribut personnalisé à partir de l’incident qui fait référence à un utilisateur. Ce champ apparaît uniquement lorsque l’utilisateur personnalisé de l’incident est sélectionné dans le champ Identificateur d’utilisateur .
      Joindre l'évaluation Option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident.
      État de la réponse pré-évaluation Option permettant de sélectionner l’état dans lequel l’incident doit se trouver avant que l’utilisateur final ne réponde. Il peut également s’agir d’un état personnalisé.

      La valeur par défaut est Évaluation en attente.
      État de la réponse post-évaluation Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.

      La valeur par défaut est Évaluation terminée.
      Avancés Option avancée permettant d’identifier l’utilisateur final Ce champ apparaît uniquement lorsque l’utilisateur personnalisé de l’incident est sélectionné dans le champ Identificateur d’utilisateur .

      Vous pouvez utiliser l’éditeur de script pour personnaliser et formater les valeurs de champ lors de la création de règles d’affectation afin d’identifier l’utilisateur final. Ensuite, vous choisissez la personne à qui vous souhaitez affecter l’incident DLP, qui peut être un utilisateur final ou le responsable de l’utilisateur final.

      Par exemple, vous pouvez utiliser le champ d’adresse e-mail pour identifier l’utilisateur final.
      L’exemple suivant montre une règle d’affectation intitulée Affecter un incident de priorité « moyenne » à l’utilisateur final. Le générateur de conditions exige que la source d’analyse soit affectée un incident de priorité « moyenne » à l’utilisateur final et que le champ Affecter à soit défini sur l’utilisateur final. Ensuite, vous pouvez rechercher l’adresse e-mail de l’utilisateur final.
      Figure 1. Règle d’affectation DLP
      Créer les règles d’affectation pour vos Data Loss Prevention Incident Response incidents
    4. Sélectionnez le champ Affecter à dans la section de liste connexe à laquelle tous les incidents DLP sont affectés.
      Cliquez sur Modifier pour ajouter le groupe d’utilisateurs. Lorsque vous cliquez sur Modifier dans la section de la liste connexe et sélectionnez un élément dans les colonnes Collections , puis ajoutez ce délégataire sélectionné aux colonnes Groupe de la page Modifier les membres , puis enregistrez la liste.
      Remarque :
      Vous ne pouvez afficher et sélectionner que les groupes qui ont été affectés au rôle sn_dlir.analyst dans la liste connexe. Vous ne pouvez sélectionner qu’un seul groupe.
    5. Cliquez sur Envoyer.
      Vous pouvez également sélectionner une ou plusieurs règles d’affectation et les réappliquer à tous les incidents DLP existants.
    6. Pour réappliquer une règle d’affectation à tous les incidents DLP existants, cliquez sur Réappliquer.