Créer des règles d’option de réponse à un incident

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Créez des règles d’option de réponse aux incidents que l’utilisateur final ou l’analyste peut utiliser lors de la réponse à un incident.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer.
    • sn_dlir.analyst et sn_dlir.analyst_read : afficher (lecture seule).

    Pourquoi et quand exécuter cette tâche

    Vous pouvez configurer le type de réponse qu’un utilisateur final doit effectuer en fonction du type d’incident DLP. L’application DLP Incident Response du système de base fournit les options de réponse suivantes aux utilisateurs :
    • Évaluation terminée
    • Contenu supprimé
    • Supprimer le fichier
    • Fichier chiffré
    • Contenu masqué
    • Signaler un faux positif
    • Signaler un propriétaire incorrect
    • Requis pour le processus business
    • Droits examinés

    Par exemple, supposons qu’un utilisateur final signale un incident DLP comme un faux positif. L’état de cet incident est alors automatiquement marqué comme fermé, car l’état cible que vous avez configuré est fermé.

    Procédure

    1. Accédez à la Tous > Administration DLP > Règles de l'option de réponse aux incidents.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire Règles de l’option de réponse aux incidents
      Champ Description
      Nom Nom de l’option de réponse aux incidents.
      Actives Option permettant d’indiquer si l’option de réponse aux incidents est active.
      Ordre d'exécution Priorité de l’option de réponse aux incidents. Ce champ indique l’ordre dans lequel les options de réponse aux incidents sont exécutées lorsque deux options de réponse aux incidents ou plus partagent les conditions de déclenchement.

      L’option de réponse aux incidents dotée du numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200 ou tout autre nombre.

      La valeur par défaut est 100.
      Description Description unique de cette option de réponse aux incidents.
      État cible par défaut État cible par défaut que vous avez configuré.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour les options de réponse aux incidents, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter d’autres conditions, cliquez sur ET ou OU :
      • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Remarque :
      Les conditions dans le générateur de conditions sont sensibles à la casse.

      L’exemple suivant montre la configuration de l’action de l’utilisateur final pour un point de terminaison. La condition exige que la source d’analyse soit un système de fichiers de point de terminaison qui déclenche ensuite cette configuration d’action de l’utilisateur final. Le mappage montre que le rapport de propriétaire erroné, le rapport de faux positif et le fichier supprimé sont les options de réponse disponibles pour l’utilisateur final.

    4. Dans la section Mappages des options de réponse , cliquez sur Nouveau.
    5. Remplissez les champs du formulaire.
      Tableau 2. Formulaire Mappage de l’option de réponse
      Règle de l'Option de réponse Nom de la règle d’option de réponse aux incidents. Par exemple, SharePoint implique que la source d’analyse est SharePoint. Vous pouvez entrer le nom de la réponse à l’incident ou effectuer une recherche à l’aide de la recherche.
      Option en matière de réponse Option permettant de sélectionner l’option de réponse. Vous pouvez entrer l’option de réponse ou effectuer une recherche à l’aide de la recherche.
      État cible État cible de l’incident DLP après que l’utilisateur final a sélectionné l’action appropriée.
      Remarque :
      1. Le champ État cible s’affiche uniquement lorsque vous sélectionnez l’option de réponse de type : basique. Pour plus d’informations sur la configuration des types d’état cible, reportez-vous à la section Configurer l’option de réponse pour vos incidents DLP.
      2. Lorsqu’une option de réponse de type avancé est sélectionnée, vous ne pouvez pas définir l’état cible et elle est masquée. L’état cible est affecté en fonction de l’état personnalisé configuré à partir du flux secondaire du concepteur de flux.
      Afficher les options de réponse pour Option permettant de déterminer les rôles d’utilisateur pour lesquels afficher les options de réponse.

      Vous pouvez choisir entre Analyste, Utilisateur final et Analystes réviseurs escaladés à l’aide de l’option de déverrouillage. Vous êtes autorisé à choisir un ou tous les rôles.
    6. Cliquez sur Envoyer.