Signaler ou répondre aux incidents DLP

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Accédez à l’espace de Data Loss Prevention Incident Response travail utilisateur (DLP), examinez les incidents DLP affectés et signalez ou répondez aux incidents.

    Avant de commencer

    Rôle requis :
    • Tout utilisateur/employé valide

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’utilisateur DLP.
      La page Mes incidents DLP s’ouvre dans un nouvel onglet.
    2. Cliquez sur une vue de liste pour passer en revue les incidents qui vous sont affectés.
      Vue liste Description
      Tout Affichez tous les incidents affectés.
      Échéance dans les 7 prochains jours Affichez tous les incidents attendus dans les 7 prochains jours.
      incidents critiques Affichez tous les incidents avec l’étiquette de gravité critique.
      Nouveaux incidents cette semaine Affichez tous les incidents affectés cette semaine.
      Évaluations en attente Affichez toutes les évaluations encore en attente.
    3. Vous pouvez examiner les incidents DLP de deux manières :
      1. La première consiste à localiser et à sélectionner un ou plusieurs incidents DLP que vous souhaitez examiner, puis à cocher la case à côté des incidents.
      2. Choisissez l’option qui vous convient.
        Tableau 1. Page d’accueil du portail d’utilisateur final DLP
        Option Description
        Actualiser la liste Option permettant d’actualiser la liste des incidents DLP si vous avez effectué une mise à jour.
        Actions des listes Liste des actions que vous pouvez effectuer. Les choix sont les suivants :
        • Enregistrer sous
        • Modifier les colonnes
        • Rétablir la largeur des colonnes
        Remarque :
        Lorsque vous avez configuré votre propre liste personnalisée créée sous la section Mes listes pour votre espace de travail, vous pouvez également effectuer les actions de liste supplémentaires ci-dessous :
        • Renommer
        • Enregistrer
        • Supprimer
        Copier l’URL pour tout Option permettant de copier les URL de tous les incidents DLP.
        Signaler un incident Action pour signaler l’incident comme faux positif ou propriétaire incorrect. Par exemple, vous pouvez signaler un propriétaire incorrect et suggérer un autre propriétaire ou signaler l’incident comme un faux positif.
        Répondre Répondre à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier en violation d’une stratégie DLP, il peut choisir l’option Fichier supprimé pour soumettre une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        Dans cet emplacement, vous pouvez également sélectionner des options de réponse avancées. Par exemple, Demander la sortie de quarantaine de l’e-mail.
        Figure 1. Page d’accueil du portail de l’utilisateur DLP
        Navigation dans la page de destination de l’espace de travail de l’utilisateur DLP
      3. La deuxième consiste à cliquer sur un incident DLP particulier pour l’ouvrir.
        L’onglet Détails comprend les sections suivantes :
        • Détails : vous pouvez afficher les détails de l’incident DLP, tels que le numéro d’incident, la gravité et le nom du fichier.
        • Composer : pour ajouter des commentaires sur l’incident DLP visibles par tout le monde, saisissez les commentaires dans l’onglet Commentaires. Pour ajouter des commentaires visibles par certaines personnes, saisissez les commentaires dans l’onglet Notes de travail (privées).
        • Activité : vous pouvez afficher les détails des différentes activités sur l’incident DLP.
        • Pièces jointes : si vous avez des pièces jointes liées à l’incident DLP, cliquez sur Parcourir et sélectionnez la pièce jointe sur votre disque local.
          L’onglet Détails supplémentaires affiche toutes les informations supplémentaires sur l’incident DLP, y compris les champs personnalisés.
          Important :
          • Les champs personnalisés pour les incidents DLP ne sont pris en charge que sur la version San Diego ou ultérieure.
          • S’il existe des données de champs personnalisés disponibles pour un incident DLP particulier, vous pouvez les afficher sous l’onglet Détails supplémentaires . S’il n’existe aucun champ personnalisé pour l’incident DLP, vous verrez une page blanche.
        • Type d’information sensible détectée : affiche les informations sensibles détectées par l’incident.
          Remarque :
          Cette liste connexe n’est visible que pour les incidents DLP créés pour les intégrations Microsoft ou Symantec. Dans l’enregistrement d’incident Microsoft ou Symantec, chaque fois que l’utilisateur accède à l’enregistrement de type d’information sensible détecté, le contenu de correspondance en surbrillance relatif à cette intégration s’affiche.
      4. Choisissez l’option qui vous convient.
        Option Description
        Signaler un faux positif Action pour signaler que l’incident DLP a été déclenché ou créé de manière incorrecte. Vous pouvez mentionner les détails de la raison pour laquelle vous avez marqué l’incident comme faux positif dans le champ Commentaires.
        Signaler un propriétaire incorrect Action pour signaler que l’incident DLP a été affecté à un utilisateur incorrect. Si vous connaissez le propriétaire correct de l’incident, vous pouvez sélectionner le nom du propriétaire dans le champ Suggérer un propriétaire. Pour ajouter des détails supplémentaires, utilisez le champ Commentaires.
        Répondre Répondre à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier en violation d’une stratégie DLP, il peut choisir l’option Fichier supprimé pour soumettre une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        Dans cet emplacement, vous pouvez également sélectionner des options de réponse avancées. Par exemple, Demander la sortie de quarantaine de l’e-mail.
      5. Sélectionnez le bouton Répondre après avoir répondu à la requête de l’analyste.
        Une fenêtre contextuelle pour soumettre une réponse à un incident s’affiche. Sélectionnez la réponse dans le menu déroulant et ajoutez des commentaires.
      6. Sélectionnez Soumettre.
        Une bannière s’affiche pour confirmer que votre réponse a été envoyée avec succès.
        Remarque :
        L’incident est affecté à l’approbateur ou à l’analyste correspondant et l’utilisateur final perd l’accès à l’incident.
        Figure 2. Actions d’incidents DLP
        DLP effectuant des actions d’incident DLP.
    4. Pour effectuer des évaluations, sélectionnez la vue de liste Évaluations en attente .
      1. Cliquez sur un numéro d’évaluation spécifique pour l’ouvrir.
      2. Répondez aux questions d’évaluation, puis cliquez sur Enregistrer ou Soumettre en fonction de vos besoins.
        Figure 3. Évaluations DLP
        Évaluations de l’utilisateur final DLP.
    5. Cliquez sur la section Carte d’instructions qui s’affiche au-dessus de tous les champs de la vue de formulaire d’incident DLP, pour afficher les informations supplémentaires sur un incident particulier.
      Remarque :
      Cette section de l’espace de travail guide les utilisateurs sur les informations sur les incidents, ce qui les aide à comprendre les prochaines étapes de la résolution des incidents.

      La carte d’instructions de l’utilisateur affiche deux en-têtes différents qui vous fournissent plus d’informations sur un incident spécifique dans la vue de formulaire. Cliquez sur un en-tête d’instruction utilisateur pour connaître les détails supplémentaires.

      Pour plus d'informations, consultez Créer des modèles d’instructions de l’utilisateur et Configurer les instructions de l’utilisateur de l’interface utilisateur DLP.