Data Loss Prevention Incident Response Espace de travail de l’analyste

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 11 minutes de lecture

    • Utilisez l’espace de travail de l’analyste Data Loss Prevention Incident Response (DLP IR) pour afficher les incidents DLP. Affectez les incidents aux utilisateurs finaux pour qu’ils les résolvent et plus encore.

    L’espace de travail DLP se compose d’une page d’accueil avec des tableaux de bord, des vues de listes et des vues de formulaires qui vous permettent de surveiller les incidents DLP.

    Figure 1. Page de vue d’ensemble de l’espace de travail DLP
    Page Vue d’ensemble de l’espace de travail DLP.

    Examiner et affecter vos incidents DLP

    Accédez à l’espace de travail de l’analyste Data Loss Prevention Incident Response (DLP IR) afin de pouvoir examiner les incidents DLP et les affecter ou les résoudre. Vous pouvez suivre les tendances des incidents par gravité, des principaux contrevenants, des incidents par source d’analyse et des incidents par politique.

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyst : modifier et afficher les incidents DLP.
    • sn_dlir.analyst_read et sn_dlir.read : afficher les incidents DLP.

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      La page de la liste Mes incidents ops de l’espace de travail DLP s’ouvre dans un nouvel onglet.
    2. Cliquez sur l’icône d’accueil de l’espace de travail DLP pour afficher la vue de la page d’accueil de l’espace de travail.
    3. Examinez les widgets du tableau de bord pour identifier les tendances par incidents par gravité, les principaux contrevenants, les incidents par source d’analyse et les incidents par politique.
    4. Cliquez sur les filtres appropriés sur la page d’accueil pour afficher les widgets par leurs différentes catégories.
      Filtres Description
      Incidents ouverts Affichez tous les incidents ouverts.
      Incidents critiques en retard Affichez les incidents qui ont l’étiquette de gravité critique et qui sont en retard.
      Incidents affectés aux utilisateurs finaux Affichez les incidents affectés aux utilisateurs finaux.
    5. Vous pouvez examiner et affecter les incidents DLP de deux façons :
      1. La première consiste à localiser et sélectionner un ou plusieurs incidents DLP que vous souhaitez examiner, puis à cocher la case en regard des incidents.
      2. Choisissez l’option qui vous convient.
        Option Description
        Actualiser la liste Option permettant d’actualiser la liste des incidents DLP lorsque vous effectuez une mise à jour.
        Actions sur la liste Liste des actions que vous pouvez effectuer. Les choix sont les suivants :
        • Enregistrer sous
        • Modifier les colonnes
        • Rétablir la largeur des colonnes
        Remarque :
        Lorsque vous avez votre propre liste personnalisée créée dans la section Mes listes configurée pour votre espace de travail, vous pouvez également effectuer les actions de liste supplémentaires ci-dessous :
        • Renommer
        • Enregistrer
        • Supprimer
        Copier l’URL pour tout Option permettant de copier les URL de tous les incidents DLP.
        Afficher le panneau de filtre Option permettant d’analyser les incidents requis à l’aide de l’option de filtre.
        1. Cliquez sur le filtre en haut à gauche de la page, puis sélectionnez Vue avancée.
        2. Utilisez un filtre existant ou créez le vôtre en ajoutant des conditions qui contiennent un champ, un opérateur et des valeurs.
        3. Pour ajouter d’autres conditions, cliquez sur ET ou OU :
          • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
          • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
        4. Cliquez sur Mettre à jour.
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à une autre personne.
        • Utilisateur : option permettant de déterminer à quel utilisateur l’incident doit être affecté.
        • État de l’incident Réponse pré-utilisateur : option permettant de déterminer l’état de l’incident avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options ci-dessous seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident Réponse post-utilisateur Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu.
        Répondre Répondez à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier qui enfreint une stratégie DLP, il peut choisir l’option Fichier supprimé pour soumettre une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        À partir de là, vous pouvez également sélectionner des options de réponse avancées. Par exemple, Demander la sortie de quarantaine par e-mail.
        Escalader Action pour escalader l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur vers lequel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Mettre à jour l'état Action pour mettre à jour l’état de l’incident. Vous pouvez mettre à jour l’état de l’incident en sélectionnant l’un des états dans les options déroulantes. Il peut également s’agir d’un état personnalisé.
        Fermer Action pour fermer les incidents. Sélectionnez le code de fermeture correspondant dans la liste déroulante et ajoutez des commentaires de fermeture.
        La fonctionnalité Fermer dans Data Loss Prevention Incident Response s’effectue à la fois de manière asynchrone et synchrone à partir de la vue de liste.
        1. Fermeture synchrone : lors de la fermeture des incidents de manière synchrone, cela signifie que l’action de fermeture est exécutée immédiatement. Lorsque vous sélectionnez plusieurs incidents à fermer et si le nombre d’incidents est inférieur ou égal à 100, les incidents sont fermés au premier plan de la vue de liste Incidents DLP. Ici, 100 est la valeur par défaut.
        2. Fermeture asynchrone : cela implique que la demande de fermeture est envoyée et que l’application exécute la demande en arrière-plan si le nombre d’incidents sélectionnés est supérieur à 100.

          Vous devez actualiser la vue de liste Incidents DLP pour afficher l’état des incidents mis à jour.

          Remarque :
          • Le nombre d’incidents sélectionné pour la fermeture asynchrone ou synchrone est configuré à l’aide de la propriété système sn_dlir.closure_sync_count_limit.
          • Par défaut, le nombre d’incidents est défini sur 100.
      3. La deuxième méthode consiste à cliquer sur un incident DLP particulier pour l’ouvrir.
        • Onglet Détails : affiche les sections suivantes :
          • Détails : vous pouvez afficher les détails de l’incident DLP tels que le numéro d’incident, la gravité, le nom de fichier, etc. Vous avez également la possibilité de modifier respectivement les champs Gravité, État, Utilisateur final et Groupe d’analystes DLP et de les enregistrer.
          • Composer : pour ajouter des commentaires sur l’incident DLP visible par tout le monde, saisissez les commentaires dans l’onglet Commentaires. Pour ajouter des commentaires visibles par certaines personnes, saisissez les commentaires dans l’onglet Notes de travail (privées).
          • Activité : vous pouvez afficher les détails des différentes activités sur l’incident DLP.
          • Pièces jointes : si vous avez des pièces jointes liées à l’incident DLP, cliquez sur Parcourir et sélectionnez la pièce jointe sur votre disque local.
        • Onglet Détails supplémentaires : affiche toutes les informations supplémentaires sur l’incident DLP, y compris les champs personnalisés.
          Important :
          • Les champs personnalisés pour les incidents DLP ne sont pris en charge que sur la version San Diego ou ultérieure.
          • Vous pouvez utiliser l’onglet Détails supplémentaires pour voir si des champs personnalisés ont été créés pour un incident DLP particulier ou non.
        • Onglet Attributs personnalisés : affiche la liste des attributs personnalisés associés à l’incident DLP.
        • Autres incidents de l’utilisateur final : affiche l’incident du même utilisateur final. Vous pouvez consolider les incidents en effectuant l’action Ajouter en tant qu’incident enfant à partir de cette liste connexe.
        • Type d’information sensible détectée : affiche les informations sensibles détectées lors de l’incident.
          Remarque :
          Cette liste connexe n’est visible que pour les incidents DLP créés pour les intégrations Microsoft ou Symantec. Dans l’enregistrement d’incident Microsoft ou Symantec, chaque fois que l’utilisateur accède à l’enregistrement de type d’information sensible détectée, le contenu des correspondances en surbrillance relatif à cette intégration s’affiche.
        • Incidents enfants : affiche les incidents enfants créés manuellement (en exécutant l’action « Ajouter comme incident enfant ») ou à partir des règles de consolidation DLP. Vous pouvez dissocier l’incident enfant en effectuant l’opération « Dissocier l’incident enfant » de cette liste connexe.
        • Incidents clonés : affiche les incidents clonés de l’incident parent. En cliquant sur l’action Cloner l’incident de la vue de formulaire, vous pouvez créer un nouvel incident cloné.
        • Onglet Évaluations : affiche la liste des évaluations affectées à l’incident DLP.
      4. Choisissez l’option qui vous convient.
        Option Description
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à une autre personne.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • État de l’incident Réponse pré-utilisateur : option permettant de sélectionner l’état dans lequel l’incident doit se trouver avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options ci-dessous seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident après la réponse de l’utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu.
        Annuler l'approbation Action pour annuler la demande d’approbation.

        Cette action est visible par les analystes dans la vue de formulaire uniquement lorsque l’incident DLP est dans l’état En attente d’approbation . Les options disponibles sont les suivantes :

        • Affecter l’incident à : option permettant de n’affecter l’incident à personne, à un analyste ou à quelqu’un d’autre.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • État de l’incident post-annulation : option permettant de sélectionner l’état dans lequel l’incident doit se trouver après l’annulation de la demande.
        • Commentaires : pour fournir des détails supplémentaires sur l’annulation.
        Affecter une évaluation Action permettant de joindre une évaluation lors de l’affectation de l’incident. Les choix sont les suivants :
        • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
        • État de l’incident après la réponse de l’utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu.
        Télécharger le fichier Action pour télécharger le fichier ou l’e-mail qui contient le contenu en infraction. Cette action peut être effectuée pour les incidents créés pour Microsoft OneDrive, SharePoint Online ou Exchange Online.
        Enregistrer Action pour enregistrer toutes les modifications que vous avez apportées. Vous pouvez modifier les champs Gravité, État et Utilisateur final de l’incident DLP et les enregistrer.
        Répondre Répondez à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier qui enfreint une stratégie DLP, il peut choisir l’option Fichier supprimé pour soumettre une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        À partir de là, vous pouvez également sélectionner les options de réponse avancées. Par exemple : demander la levée de quarantaine par e-mail.
        Escalader Action pour escalader l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur vers lequel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Cloner l'incident Action pour créer un clone incident si l’enregistrement d’incident a un impact sur plusieurs utilisateurs. Vous pouvez affecter les incidents clonés à plusieurs parties prenantes, telles que le service juridique/informatique.

        Après avoir créé un enregistrement d’incident clone, un nouvel onglet Incidents clonés est créé sous l’incident DLP parent et tous les incidents clonés sont répertoriés dans cette vue.

        Remarque :
        • Si l’enregistrement d’incident DLP parent est fermé, tous les enregistrements d’incidents clonés se ferment automatiquement.
        • Si un enregistrement d’incident DLP contient un incident cloné, il ne peut pas être affecté aux utilisateurs finaux. Les enregistrements d’incidents DLP parents ne peuvent être gérés que par les utilisateurs disposant du rôle Analyste.
        • Vous pouvez également mettre à jour automatiquement l’état parent en fonction de l’état des incidents clonés dans le module Configuration par défaut. Par exemple, si tous les incidents clonés passent à l’état Escaladé, l’incident parent passera également à l’état Escaladé.
        Fermer Action pour fermer l’incident. Vous devez sélectionner le code de fermeture correspondant dans la liste déroulante et ajouter des commentaires de fermeture, si nécessaire.
        Fermer en tant que faux positif Action pour fermer l’incident en tant que faux positif. Vous pouvez également ajouter des commentaires supplémentaires avant de fermer l’incident.
        Figure 2. Espace de travail de l’analyste DLP
        Espace de travail de l’analyste DLP : onglet Détails
    6. Vous pouvez afficher la vue Liste à partir de la page d’accueil en accédant au coin supérieur gauche de la page et en cliquant sur l’onglet Listes .
      La catégorie Listes comprend les pages de liste personnalisées et par défaut pour les incidents DLP.
      • Onglet Listes : listes par défaut pour les incidents DLP. Les listes par défaut sont les suivantes :
        • Tout
        • Ouvrir
        • Mes incidents
        • Affecté à mon groupe
        • Remonté
        • En retard
        • Évaluations en attente
        • Action de l'utilisateur en attente
        • Incidents clonés
        • Incidents archivés
      • Onglet Mes listes : affiche toutes les listes que vous avez renommées et toutes les listes que vous avez créées.
      L’exemple suivant montre l’espace de travail DLP avec les catégories de vue de liste. L’option Toute la vue de liste est sélectionnée.
      Figure 3. Vue de listes de l’espace de travail de l’analyste DLP
      Vue de listes de l’espace de travail de l’analyste DLP

    Afficher les incidents DLP archivés

    Utiliser l’espace de travail de l’analyste DLP pour afficher les incidents DLP archivés

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyst : modifier et afficher les incidents DLP.
    • sn_dlir.analyst_read et sn_dlir.read : afficher les incidents DLP.

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      Par défaut, la section Mes incidents s’affiche.
    2. Cliquez sur Incidents archivés.
      La liste des incidents DLP archivée s’affiche.
    3. Cliquez sur le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents archivés.
      Remarque :
      • Par défaut, le nombre d’incidents archivés est masqué pour améliorer le temps de chargement de la liste. Vous devez cliquer sur le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents. En outre, un message d’information s’affiche pour indiquer le nombre d’incidents.
      • La propriété système glide.ui.list.seismic.omit.count est activée dans le système de base pour que les incidents archivés masquent le nombre d’incidents dans la liste.
    4. Sélectionnez un ou plusieurs incidents DLP que vous souhaitez afficher.
      L’incident DLP affiche la section des détails de l’incident.
      Remarque :
      • L’onglet Autres incidents des utilisateurs finaux inclut également les incidents archivés.
      • Le contenu de correspondance est pris en charge pour tous les incidents archivés (qui seront également pris en charge dans toutes les intégrations), mais le téléchargement du fichier n’est pris en charge que pour les intégrations Microsoft.