Créer des règles d’identification des récidivistes

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Créez des règles d’identification des récidivistes pour identifier les utilisateurs qui répètent le même problème plusieurs fois.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : vue (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez identifier les récidivistes à l’aide de certaines règles ou critères. Data Loss Prevention Incident Response fournit des champs que vous pouvez utiliser pour identifier les récidivistes.

    Procédure

    1. Accédez à la Tous > Administration DLP > Règles d’identification des récidivistes.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire Règles d’identification des récidivistes
      Champ Description
      Nom Nom de la règle d’identification des récidivistes.
      Ordre d'exécution Priorité des règles d’identification des récidivistes. Ce champ indique l’ordre dans lequel les règles d’identification des récidivistes sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle d’identification des récidivistes avec le numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200 ou tout autre nombre. La valeur par défaut est 100.
      Description brève Description unique de cette règle d’identification des récidivistes.
      Condition Conditions du générateur de conditions basées sur la table d’incidents DLP. Vous pouvez sélectionner l’un des champs d’incident pour créer la condition de déclenchement de la règle d’identification des récidivistes.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU :
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Remarque :
      Les conditions du générateur de conditions sont sensibles à la casse.
      Champs DLP Identifiez les récidivistes en fonction des champs DLP requis. Cliquez sur l’icône de verrou à côté des champs DLP pour afficher la liste des champs DLP disponibles. Sélectionnez les champs DLP que vous souhaitez utiliser dans la colonne Disponible et déplacez-les vers la colonne Sélectionné.

      Par exemple, vous pouvez sélectionner les champsNom du fichier et Propriétaire du fichier dans la colonne Disponible et les déplacer vers la colonne Sélectionné. Ensuite, vous pouvez identifier les récidivistes en fonction des champs Nom du fichier et Propriétaire du fichier .

      Ainsi, si un utilisateur dépasse le seuil de récidive (nombre d’infractions et durée), et si le même utilisateur correspond aux champs DLP, cet utilisateur particulier est identifié comme récidiviste.
      Nombre d'infractions Définissez la valeur limite du seuil de récidive. Une fois que l’utilisateur a répété les mêmes actions et dépassé le nombre spécifié d’infractions, il est identifié comme récidiviste.
      Durée (en jours) Définissez la limite du seuil de récidive sous forme de jours. Une fois que l’utilisateur a répété les mêmes actions et dépassé la durée seuil, il est identifié comme récidiviste.
      Figure 1. Identifier les récidivistes
      Configurer les règles d’identification des récidivistes
    4. Cliquez sur Envoyer.