Créer des règles de consolidation des incidents

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Créez une règle de consolidation des incidents pour regrouper plusieurs incidents de nature similaire sous un seul incident parent.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer
    • sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule)

    Pourquoi et quand exécuter cette tâche

    L’administrateur DLP définit ces règles de consolidation des incidents pour consolider automatiquement les incidents DLP de même nature sous un incident parent. La règle de consolidation des incidents DLP vous permet de consolider les incidents DLP en fonction de la configuration fournie pour la durée de la consolidation et l’identification de consolidation.

    Remarque :

    Lorsqu’un incident consolidé est créé, il devient un enfant de l’incident DLP parent. Si la gravité de l’incident consolidé est supérieure à celle du parent, la gravité de l’incident parent est mise à jour pour correspondre à l’incident enfant.

    Procédure

    1. Accédez à la Tout > Administration DLP > Règles de consolidation des incidents DLP.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de règle d’affectation DLP
      Champ Description
      Nom Nom de la règle de consolidation des incidents.
      Actif Option permettant d’indiquer si la règle de consolidation des incidents est active.
      Ordre d'exécution

      Priorité de la règle de consolidation des incidents. Ce champ indique l’ordre dans lequel les règles de consolidation des incidents sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle de consolidation des incidents dotée du numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100.
      Description Description unique de la règle de consolidation des incidents.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle de consolidation des incidents, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Par exemple, vous pouvez définir les conditions de cette règle de consolidation des incidents en sélectionnant la condition en tant que Source d’intégration, contient, Symantec.

      Remarque :
      Les conditions du générateur de conditions sont sensibles à la casse.
      Durée de la consolidation Option permettant de définir la durée de la consolidation de l’incident.

      Les incidents de cette période ayant les mêmes valeurs pour les champs sélectionnés seront regroupés sous le premier incident. Le premier incident correspondant à cette règle sera l’incident parent et le reste des incidents seront des incidents enfants.
      Consolider les incidents par Sélectionnez le champ d’incident DLP pour consolider les incidents ayant la même valeur dans le champ sélectionné pour différents incidents.

      Sélectionnez au moins un champ. Sélectionnez au moins un champ.

      L’exemple suivant montre une règle de consolidation des incidents intitulée Consolider les incidents pour Symantec Integration. Le créateur de conditions a besoin que la source d’intégration soit Symantec. L’option Durée de la condition est définie sur 1 heure et l’option Nom de la politique est sélectionnée pour Consolider l’incident par.

      Au moment de l’ingestion d’incident Symantec DLP, cette règle est exécutée et, lorsque plusieurs incidents ont le même nom de politique, l’incident est consolidé sous le premier incident ingéré correspondant à cette règle.

    4. Cliquez sur Envoyer.
      Les incidents consolidés en fonction de la règle de consolidation seront disponibles sous la liste des incidents enfants dans DLP Analyst Workspace.