En plus d’ajouter manuellement des utilisateurs dans la liste d’évaluation de revue post-incident pour un incident de sécurité, vous pouvez définir des règles d’affectation pour ajouter automatiquement des utilisateurs à la liste.
Avant de commencer
Rôle requis : sn_si.admin, sn_si.manager, sn_si.analyst
Procédure
Accédez à la Tout > Incident de sécurité > Administration > Revue post-incident : configuration des évaluations.
Explorez la section Règles d’affectation d’utilisateur .
Cliquez sur Configurer.
Cliquez sur Nouveau.
Renseignez les champs nécessaires.
Champ
Description
Nom
Nom de cette règle d’affectation.
Actif
Cochez cette case pour rendre la règle active.
Ordre
Entrez une valeur numérique pour indiquer où cette règle doit apparaître dans la liste des règles d’affectation. Les nombres inférieurs apparaissent en haut de la liste.
Remarque :
Seule la première règle d’affectation correspondante est exécutée et seuls les utilisateurs définis dans cette règle sont ajoutés à la liste d’évaluation.
Condition
Utiliser le Créateur de conditions pour définir les conditions qui doivent être remplies dans l’incident de sécurité pour que cette règle soit exécutée. Pour plus d'informations, voir l’exemple ci-dessous.
Affecter aux utilisateurs
Cliquez sur l’icône de verrou pour ajouter des utilisateurs à la liste d’examen. Une fois le champ déverrouillé, des options sont disponibles pour ajouter ou supprimer plusieurs utilisateurs ou rôles ou pour saisir des adresses e-mail d’utilisateur.
Cliquez sur Envoyer.
Activité du code malveillant
Dans la règle d’affectation de révision post-incident présentée ici, lorsqu’un incident de sécurité avec le champ Catégorie défini sur Activité de code malveillant passe à l’état Réviser , les trois utilisateurs identifiés (qui se trouvent être des experts dans la gestion de l’activité de code malveillant) sont ajoutés à la liste des utilisateurs qui recevront le questionnaire de revue post-incident pour cet incident de sécurité.Figure 1. Activité du code malveillant