Créer des règles de consolidation des incidents

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Créez une règle de consolidation des incidents pour consolider plusieurs incidents de nature similaire sous un seul incident parent.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin : créer, modifier et supprimer
    • sn_dlir.analyst et sn_dlir.analyst_read : vue (lecture seule)

    Pourquoi et quand exécuter cette tâche

    L’administrateur DLP définit ces règles de consolidation des incidents pour consolider automatiquement les incidents DLP de même nature sous un incident parent. La règle de consolidation des incidents DLP vous permet de consolider les incidents DLP en fonction de la configuration fournie pour la durée de consolidation et l’identification de consolidation.

    Remarque :

    Lorsqu’un incident consolidé est créé, il devient un enfant de l’incident DLP parent. Si la gravité de l’incident consolidé est supérieure à celle de l’incident parent, la gravité de l’incident parent est mise à jour pour correspondre à l’incident enfant.

    Procédure

    1. Accédez à la Tous > Administration DLP > Règles de consolidation des incidents DLP.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire Règle d’affectation DLP
      Champ Description
      Nom Nom de la règle de consolidation des incidents.
      Actives Option permettant d’indiquer si la règle de consolidation des incidents est active.
      Ordre d'exécution

      La priorité de la règle de consolidation des incidents. Ce champ indique l’ordre dans lequel les règles de consolidation des incidents sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle de consolidation des incidents ayant le nombre le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100.
      Description Description unique pour la règle de consolidation des incidents.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle de consolidation des incidents, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter plus de conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Par exemple, vous pouvez définir les conditions de cette règle de consolidation des incidents en sélectionnant la condition Source d’intégration, contient, Symantec.

      Remarque :
      Les conditions dans le générateur de conditions sont sensibles à la casse.
      Durée de la consolidation Option permettant de définir la durée de la consolidation de l’incident.

      Les incidents de cette période avec les mêmes valeurs pour les champs sélectionnés seront consolidés sous le premier incident. Le premier incident correspondant à cette règle sera l’incident parent et le reste des incidents seront des incidents enfants.
      Consolider les incidents par Sélectionnez le champ d’incident DLP pour consolider les incidents ayant la même valeur dans le champ sélectionné pour différents incidents.

      Sélectionnez au moins un champ. Sélectionnez au moins un champ.

      L’exemple suivant montre une règle de consolidation des incidents intitulée Consolider les incidents pour Symantec Integration. Le créateur de conditions requiert la source d’intégration Symantec. L’option Durée de la condition est définie sur 1 heure et l’option Nom de la politique est sélectionnée pour Consolider l’incident par.

      Au moment de l’ingestion de l’incident Symantec DLP, cette règle est exécutée et, lorsque plusieurs incidents ont le même nom de politique, l’incident est consolidé sous le premier incident ingéré correspondant à cette règle.

    4. Cliquez sur Envoyer.
      Les incidents consolidés en fonction de la règle de consolidation sont disponibles sous la liste des incidents enfants dans l’espace de travail de l’analyste DLP.