Configurez des règles d’option de réponse aux incidents pour vos incidents DLP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Configurez les règles d’option de réponse aux incidents que l’utilisateur final ou l’analyste peut utiliser lors de la réponse à un incident.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez configurer le type de réponse qu’un utilisateur final doit effectuer en fonction du type d’incident DLP. L’application DLP Incident Response du système de base fournit les options de réponse suivantes aux utilisateurs :
    • Évaluation terminée
    • Contenu supprimé
    • Fichier supprimé
    • Fichier chiffré
    • Contenu masqué
    • Signaler un faux positif
    • Signaler un propriétaire incorrect
    • Requis pour le processus business
    • Autorisations examinées

    Par exemple, supposons qu’un utilisateur final signale un incident DLP comme un faux positif. L’état de cet incident est alors automatiquement marqué comme fermé, car l’état cible que vous avez configuré est fermé.

    Procédure

    1. Accédez à la Tous > DLP Administration > Règles d’option de réponse aux incidents.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règles d’option de réponse aux incidents
      Champ Description
      Nom Nom de l’option de réponse aux incidents.
      Actif Option permettant d’indiquer si l’option de réponse à l’incident est active.
      Ordre d’exécution Priorité de l’option de réponse aux incidents. Ce champ indique l’ordre dans lequel les options de réponse aux incidents sont exécutées lorsque deux options de réponse aux incidents ou plus partagent les conditions de déclenchement.

      L’option de réponse aux incidents dont le nombre est le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200 ou tout autre nombre.

      La valeur par défaut est 100.
      Description Description unique pour cette option de réponse aux incidents.
      État cible par défaut État cible par défaut que vous avez configuré.
      Condition Conditions dans le créateur de condition. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour les options de réponse aux incidents, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du créateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU :
      • Si ET est sélectionné, toutes les conditions doivent être remplies.
      • Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Remarque :
      Les conditions du créateur de condition sont sensibles à la casse.
      L’exemple suivant montre la configuration de l’action de l’utilisateur final pour un point de terminaison. La condition exige que la source d’analyse soit un système de fichiers de point de terminaison qui déclenche ensuite cette configuration d’action de l’utilisateur final. Le mappage montre que les options de réponse disponibles pour l’utilisateur final sont le propriétaire incorrect du signalement, le signalement d’un faux positif et le fichier supprimé.
      Figure 1. Règle d’option de réponse aux incidents
      Liste des règles d’option de réponse aux incidents que l’utilisateur final peut exécuter.
    4. Dans la section Mappages d’options de réponse , cliquez sur Nouveau.
    5. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Mappage d’option de réponse
      Règle d’option de réponse Nom de la règle d’option de réponse aux incidents. Par exemple, SharePoint implique que la source de numérisation est SharePoint. Vous pouvez entrer le nom de la réponse aux incidents ou effectuer une recherche à l’aide de la recherche.
      Option de réponse Option permettant de sélectionner l’option de réponse. Vous pouvez saisir l’option de réponse ou effectuer une recherche à l’aide de la recherche.
      État cible État cible de l’incident DLP une fois que l’utilisateur final a sélectionné l’action appropriée.
      Remarque :
      1. Le champ État cible s’affiche uniquement lorsque vous sélectionnez l’option de réponse qui est de type : basique. Pour en savoir plus sur la configuration des types d’état cible, reportez-vous à la section Configurer l’option de réponse pour vos incidents DLP.
      2. Lorsqu’une option de réponse de type avancé est sélectionnée, vous ne pouvez pas définir l’état cible et elle est masquée. L’état cible est affecté en fonction de l’état personnalisé configuré à partir du sous-flux du concepteur de flux.
      Afficher les options de réponse pour Option permettant de déterminer les rôles d’utilisateur pour lesquels afficher les options de réponse.

      Vous pouvez choisir entre Analyste, Utilisateur final et Réviseurs d’analystes escaladés en utilisant l’option de déverrouillage. Vous êtes autorisé à choisir un ou tous les rôles.
      Figure 2. Action de mappage d’option de réponse
      Page de mappage de l’option de réponse dans les règles d’option de réponse à l’incident
    6. Cliquez sur Envoyer.