Créer des règles d’affectation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Créez des règles d’affectation et affectez les Data Loss Prevention Incident Response incidents (DLP IR) à des groupes d’utilisateurs, des utilisateurs finaux, des gestionnaires ou un utilisateur à partir d’un incident.

    Avant de commencer

    Rôle requis :
    • sn_dlir.admin
    • sn_dlir.analyst et sn_dlir.analyst_read

    Pourquoi et quand exécuter cette tâche

    Utilisez les règles d’affectation pour affecter des incidents DLP IR à des groupes d’utilisateurs, à des utilisateurs finaux ou à des gestionnaires. L’affectation des incidents DLP se produit lorsque les conditions de la règle d’affectation sont remplies.

    Procédure

    1. Accédez à la Tous > Administration DLP > Règles d'affectation.
    2. Sélectionnez Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire Règle d’affectation DLP
      Champ Description
      Nom Nom de la règle d’affectation.
      Actives Option permettant d’indiquer si la règle d’affectation est active.
      Ordre d'exécution Priorité de la règle d’affectation. Ce champ indique l’ordre dans lequel les règles d’affectation sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement.

      La règle d’affectation dotée du numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100.
      Description Description unique de cette règle d’affectation.
      Condition Conditions dans le générateur de conditions. Ces conditions sont basées sur la table d’incidents DLP. Pour créer une condition pour la règle d’affectation, sélectionnez l’un des champs d’incident.

      Utilisez les listes et les champs du générateur de conditions pour définir les filtres de la première ligne.

      Pour ajouter plus de conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

      Par exemple, supposons que vous créez une règle d’affectation DLP pour un point de terminaison. Vous pouvez spécifier que la source de l’analyse de condition est un système de fichiers de point de terminaison qui doit être rempli avant d’affecter un incident.

      Remarque :
      Les conditions dans le générateur de conditions sont sensibles à la casse.
      Affecter à Affectation à l’une des catégories suivantes :
      • Groupe d'utilisateurs
      • Utilisateur final
      • Responsable
      • Utilisateur à partir de l’incident
      L’affectation a lieu lorsque les conditions du générateur de conditions sont remplies.
      Groupe d'utilisateurs Option permettant de rechercher et de sélectionner un groupe d’utilisateurs auquel affecter les incidents DLP. Ce champ s’affiche lorsque Groupe d’utilisateurs est sélectionné dans le champ Affecter à .
      Remarque :
      Vous ne pouvez afficher et sélectionner que les groupes qui ont été affectés avec le rôle sn_dlir.analyste.
      Utilisateur final Option permettant d’affecter l’incident DLP à l’utilisateur final. L’affectation a lieu lorsque les conditions du générateur de conditions sont remplies.
      Affecter à l'aide des champs de Gestionnaire Gestionnaire de l’utilisateur final. Ce champ s’affiche lorsque le Gestionnaire est sélectionné dans le champ Affecter à .

      Vous pouvez affecter des incidents DLP à un gestionnaire particulier en sélectionnant l’un des champs Gestionnaire, tel que Nom de famille, E-mail, Ville, Numéro d’employé.
      Identificateur de l'utilisateur L’identificateur d’utilisateur de l’incident. Ce champ s’affiche lorsque l’utilisateur de l’incident est sélectionné dans le champ Affecter à . Vous pouvez sélectionner un identificateur d’utilisateur parmi les suivants :
      • E-mail du propriétaire des données
      • Destination
      • Fichier créé par
      • Fichier modifié par
      • Propriétaire du fichier
      • Nom d’utilisateur FTP
      • Expéditeur
      • Utilisateur personnalisé à partir de l’incident
      Attribut personnalisé Option permettant de spécifier un attribut personnalisé à partir de l’incident qui fait référence à un utilisateur. Ce champ est disponible uniquement lorsque l’utilisateur personnalisé à partir de l’incident est sélectionné dans le champ Identificateur d’utilisateur .
      Joindre l'évaluation Option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident.
      État de la réponse pré-évaluation Option permettant de sélectionner l’état dans lequel l’incident doit se trouver avant que l’utilisateur final ne réponde. Il peut également s’agir d’un état personnalisé.

      La valeur par défaut est En attente d’évaluation.
      État de la réponse post-évaluation Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.

      La valeur par défaut est Évaluation terminée.
      Avancé Option avancée permettant d’identifier l’utilisateur final Ce champ est disponible uniquement lorsque l’utilisateur personnalisé à partir de l’incident est sélectionné dans le champ Identificateur d’utilisateur .

      Vous pouvez utiliser l’éditeur de script pour personnaliser et formater les valeurs de champ lors de la création de la règle d’affectation afin d’identifier l’utilisateur final. Ensuite, vous choisissez la personne à qui vous souhaitez affecter l’incident DLP, qui peut être un utilisateur final ou le gestionnaire de l’utilisateur final.

      Par exemple, vous pouvez utiliser le champ d’adresse e-mail pour identifier l’utilisateur final.
      L’exemple suivant montre une règle d’affectation avec le nom Affecter un incident de priorité « moyenne » à l’utilisateur final. Le générateur de conditions exige que la source d’analyse soit un système de fichiers de point de terminaison et que le champ Affecter à soit défini sur Utilisateur final. Ensuite, vous pouvez rechercher « l’e-mail » de l’utilisateur final.
      Figure 1. Règle d’affectation DLP
      Créer des règles d’affectation pour vos Data Loss Prevention Incident Response incidents
    4. Sélectionnez le champ Affecter à dans la section de liste connexe à laquelle tous les incidents DLP sont affectés.
      Sélectionnez Modifier pour ajouter le groupe d’utilisateurs. Lorsque vous sélectionnez Modifier dans la section de la liste connexe et sélectionnez un élément dans les colonnes Collections , puis ajoutez ce délégataire sélectionné aux colonnes Groupe de la page Modifier les membres et enregistrez la liste.
      Remarque :
      Vous ne pouvez afficher et sélectionner que les groupes qui ont été affectés au rôle sn_dlir.analyst dans la liste connexe. Vous ne pouvez sélectionner qu’un seul groupe.
    5. Sélectionnez Envoyer.
      Vous pouvez sélectionner une ou plusieurs règles d’affectation et les réappliquer à tous les incidents DLP existants.
    6. Pour réappliquer une règle d’affectation à tous les incidents DLP existants, sélectionnez Réappliquer.