Créer des règles d’approbation
Configurez des règles d’approbation qui exigent qu’un ou plusieurs approbateurs autorisent une option de réponse avancée avant qu’elle ne soit appliquée à un incident DLP.
Avant de commencer
- sn_dlir.admin
- sn_dlir.analyst et sn_dlir.analyst_read
Pourquoi et quand exécuter cette tâche
Une règle d’approbation est déclenchée lorsqu’un utilisateur final sélectionne une option de réponse marquée comme avancée sur un incident DLP. Lorsque les conditions de la règle correspondent aux champs d’incident, le système lance une demande d’approbation et l’achemine vers les approbateurs configurés avant que l’option de réponse puisse être appliquée. Si plusieurs règles correspondent, la règle ayant la valeur d’ordre d’exécution la plus faible s’exécute en premier.
Procédure
- Accédez à la Tous > Administration DLP > Règles d’approbation DLP.
- Sélectionnez Nouveau.
-
Remplissez les champs du formulaire.
Tableau 1. Formulaire Règles d’approbation DLP Champ Description Nom Nom de la règle d’approbation. Actives Option permettant d’indiquer si la règle d’approbation est active. Ordre d'exécution Priorité de la règle d’approbation. Ce champ indique l’ordre dans lequel les règles d’approbation sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.
La règle d’approbation dotée du numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.
La valeur par défaut est 100.
Description Description unique de la règle d’approbation. Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle d’approbation, sélectionnez l’un des champs d’incident. Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.
Pour ajouter d’autres conditions, sélectionnez ET ou OU.- Si ET est sélectionné, toutes les conditions doivent être vérifiées.
- Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
Pour définir une deuxième condition de filtre, sélectionnez Nouveau critère.
Par exemple, vous pouvez définir les conditions de cette règle de consolidation des incidents en sélectionnant la condition comme source d’intégration, contient, Microsoft.
Applicable aux options de réponses Option permettant de sélectionner l’option de réponse de type avancé. Vous pouvez sélectionner les multiples options de réponse.
Approbateur Sélectionnez la façon dont les approbateurs sont identifiés pour cette règle. - Table des utilisateurs : sélectionne un approbateur en fonction d’un champ de la table des utilisateurs (sys_user), tel que le gestionnaire du délégataire d’incident.
- Liste d’approbation personnalisée : configure une chaîne d’approbation à plusieurs niveaux avec des utilisateurs ou des groupes spécifiques à chaque niveau.
Identificateur d'approbateur Ce champ s’affiche lorsque la table utilisateur est sélectionnée pour l’option Approbateur . Sélectionnez le champ pour identifier l’approbateur dans la table Utilisateurs(sys_user).
Nombre de niveaux Ce champ s’affiche lorsque la table utilisateur est sélectionnée pour l’option Approbateur . Saisissez un nombre dans ce champ pour définir les niveaux d’approbation.
Par exemple, si 3 est ajouté dans le champ Nombre de niveaux et que le gestionnaire est sélectionné dans le champ Identificateur d’approbateur, la demande d’approbation passe à trois niveaux d’approbation.
Par exemple, votre organisation exige l’approbation du responsable avant qu’un analyste DLP puisse appliquer l’option Bloquer la réponse à n’importe quel incident DLP Microsoft. Configurez la règle comme suit :- Condition : Source d’intégration | contient | Microsoft
- Applicable aux options de réponse : Bloc
- Approbateur : Table des utilisateurs
- Identificateur d’approbateur : Gestionnaire
- Nombre de niveaux : 1
- Pour l’option Approbateur , sélectionnez Liste d’approbation personnalisée.
- Sélectionnez Envoyer.
- Vérifiez que la liste connexe des niveaux d’approbation s’affiche sur le formulaire.
- Dans la section Niveaux d’approbation , sélectionnez Nouveau.
-
Remplissez les champs du formulaire.
Tableau 2. Formulaire de niveau d’approbation Champ Description Nom Nom du niveau d’approbation. Actives Option permettant d’indiquer si le niveau d’approbation est actif. niveau Niveau de la règle d’approbation. Ce champ indique l’ordre dans lequel les niveaux d’approbation sont exécutés lorsque deux niveaux ou plus sont configurés. Le niveau d’approbation doté du numéro le plus bas a la priorité la plus élevée.
Pour définir le niveau de fonctionnement, saisissez une valeur. Par exemple, 100, 200, 300, etc.
La valeur par défaut est 100.
Règle d'approbation Règle d’approbation pour laquelle vous souhaitez définir cette configuration. Ce champ sera en lecture seule.
Description Description unique du niveau d’approbation. Approbations requises Sélectionnez une option pour définir si l’approbation de tous les utilisateurs/groupes configurés est requise ou requise uniquement pour un utilisateur particulier. Approbateurs Option permettant de sélectionner les approbateurs. - Utilisateurs et groupes :
- Utilisateurs : ajoutez un utilisateur particulier dans la liste. Vous pouvez vous ajouter vous-même ou ajouter un utilisateur à l’aide de son adresse e-mail ou de son option de recherche.
- Groupes : sélectionnez l’icône <add_icon> pour ajouter un groupe particulier dans la liste. Vous pouvez également ajouter un groupe à l’aide de l’option de recherche.
- Rechercher à l’aide d’un script : vous pouvez utiliser l’éditeur de script pour personnaliser et formater les valeurs de champ lors de la création du niveau d’approbation. Par exemple, vous pouvez utiliser le champ d’adresse e-mail pour identifier l’utilisateur approbateur.
- Utilisateurs et groupes :
- Sélectionnez Envoyer.