Data Loss Prevention Incident Response Espace de travail de l’analyste

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 11 minutes de lecture

    • Utilisez l’espace de travail de l’analyste Data Loss Prevention Incident Response (IR DLP) pour afficher les incidents DLP. Affectez les incidents aux utilisateurs finaux pour qu’ils les résolvent et plus encore.

    L’espace de travail DLP se compose d’une page d’accueil avec des tableaux de bord, des vues de listes et des vues de formulaire qui vous permettent de surveiller les incidents DLP.

    Figure 1. Page Vue d’ensemble de l’espace de travail DLP
    Page Vue d’ensemble de l’espace de travail DLP.

    Examinez et affectez vos incidents DLP

    Accédez à Analyst Data Loss Prevention Incident Response Workspace (IR DLP) pour examiner les incidents DLP et les affecter ou les résoudre. Vous pouvez suivre les tendances des incidents par gravité, les principaux contrevenants, les incidents par source d’analyse et les incidents par politique.

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyst : modifier et afficher les incidents DLP.
    • sn_dlir.analyst_read et sn_dlir.read - Afficher les incidents DLP.

    Procédure

    1. Accédez à la Tous > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      La page de liste Mes incidents ops de l’espace de travail DLP s’ouvre dans un nouvel onglet.
    2. Cliquez sur l’icône Accueil de l’espace de travail DLP pour afficher la vue de la page d’accueil de l’espace de travail.
    3. Examinez les widgets du tableau de bord pour identifier les tendances par incidents par gravité, les principaux contrevenants, les incidents par source d’analyse et les incidents par politique.
    4. Cliquez sur les filtres appropriés sur la page d’accueil pour afficher les widgets selon leurs différentes catégories.
      Filtres Description
      Incidents ouverts Affichez tous les incidents ouverts.
      Incidents critiques en retard Affichez les incidents qui ont l’étiquette de gravité critique et qui sont en retard.
      Incidents affectés aux utilisateurs finaux Afficher les incidents affectés aux utilisateurs finaux.
    5. Vous pouvez examiner et affecter les incidents DLP de deux manières :
      1. La première consiste à localiser et sélectionner un ou plusieurs incidents DLP que vous souhaitez examiner, puis à cocher la case en regard des incidents.
      2. Choisissez l’option qui vous convient.
        Option Description
        Actualiser la liste Option permettant d’actualiser la liste des incidents DLP lorsque vous effectuez une mise à jour.
        Actions sur la liste Liste des actions que vous pouvez effectuer. Les choix sont les suivants :
        • Enregistrer sous
        • Modifier les colonnes
        • Rétablir la largeur des colonnes
        Remarque :
        Lorsque vous avez créé votre propre liste personnalisée dans la section Mes listes configurée pour votre espace de travail, vous pouvez également effectuer les actions de liste supplémentaires ci-dessous :
        • Renommer
        • Enregistrer
        • Supprimer
        Copier l’URL pour tout Option permettant de copier les URL de tous les incidents DLP.
        Afficher le panneau de filtre Option permettant d’analyser les incidents requis à l’aide de l’option de filtre.
        1. Cliquez sur le filtre en haut à gauche de la page, puis sélectionnez Vue avancée.
        2. Utilisez un filtre existant ou créez le vôtre en ajoutant des conditions qui contiennent un champ, un opérateur et des valeurs.
        3. Pour ajouter d’autres conditions, cliquez sur ET ou OU :
          • Si ET est sélectionné, toutes les conditions doivent être remplies.
          • Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.
        4. Cliquez sur Mettre à jour.
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à une autre personne.
        • Utilisateur : option permettant de déterminer à quel utilisateur l’incident doit être affecté.
        • Réponse pré-utilisateur de l’état de l’incident : option permettant de déterminer l’état de l’incident avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options suivantes seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident après la réponse de l’utilisateur Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu.
        Répondre Répondez à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si l’utilisateur supprime un fichier qui enfreint une stratégie DLP, l’utilisateur peut choisir l’option Fichier supprimé pour envoyer une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        À partir de là, vous pouvez également sélectionner des options de réponse avancées. Par exemple, Demander la levée de la quarantaine par e-mail.
        Escalader Action pour faire remonter l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur auquel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Mettre à jour l'état Action pour mettre à jour l’état de l’incident. Vous pouvez mettre à jour l’état de l’incident en sélectionnant l’un des états dans les options déroulantes. Il peut également s’agir d’un état personnalisé.
        Fermer Action pour fermer l’incident. Vous pouvez également ajouter des commentaires supplémentaires avant de fermer l’incident.
      3. La deuxième méthode consiste à cliquer sur un incident DLP particulier pour l’ouvrir.
        • Onglet Détails : affiche les sections suivantes :
          • Détails : vous pouvez afficher les détails de l’incident DLP, tels que le numéro d’incident, la gravité, le nom du fichier, etc. Vous avez également la possibilité de modifier les champs Gravité, État, Utilisateur final et Groupe d’analystes DLP respectivement et de les enregistrer.
          • Composition : pour ajouter des commentaires sur l’incident DLP visible par tout le monde, saisissez les commentaires dans l’onglet Commentaires. Pour ajouter des commentaires visibles par certaines personnes, saisissez les commentaires dans l’onglet Notes de travail (privées).
          • Activité : vous pouvez afficher les détails des différentes activités sur l’incident DLP.
          • Pièces jointes : si vous avez des pièces jointes associées à l’incident DLP, cliquez sur Parcourir et sélectionnez la pièce jointe sur votre lecteur local.
        • Onglet Détails supplémentaires : affiche toutes les informations supplémentaires sur l’incident DLP, y compris les champs personnalisés.
          Important :
          • Les champs personnalisés pour les incidents DLP sont pris en charge uniquement sur la version San Diego ou une version ultérieure.
          • Vous pouvez utiliser l’onglet Détails supplémentaires pour voir si des champs personnalisés ont été créés pour un incident DLP particulier ou non.
        • Onglet Attributs personnalisés : affiche la liste des attributs personnalisés associés à l’incident DLP.
        • Autres incidents de l’utilisateur final : affiche l’incident provenant du même utilisateur final. Vous pouvez consolider les incidents en exécutant l’action Ajouter en tant qu’incident enfant à partir de cette liste connexe.
        • Type d’information sensible détectée : affiche les informations sensibles détectées sur l’incident.
          Remarque :
          Cette liste connexe n’est visible que pour les incidents DLP créés pour les intégrations Microsoft ou Symantec. Dans l’enregistrement d’incident Microsoft ou Symantec, chaque fois que l’utilisateur accède à l’enregistrement de type d’informations sensibles détectées, le contenu de correspondance en surbrillance relatif à cette intégration s’affiche.
        • Incidents enfants : affiche les incidents enfants créés manuellement (en exécutant l’action « Ajouter en tant qu’incident enfant ») ou à partir des règles de consolidation DLP. Vous pouvez dissocier l’incident enfant en effectuant l’opération « Dissocier l’incident enfant » de cette liste connexe.
        • Incidents clonés : affiche les incidents clonés à partir de l’incident parent. En cliquant sur l’action Cloner l’incident de la vue du formulaire, vous pouvez créer un nouvel incident cloné.
        • Onglet Évaluations : affiche la liste des évaluations affectées à l’incident DLP.
      4. Choisissez l’option qui vous convient.
        Option Description
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à une autre personne.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • Réponse pré-utilisateur de l’état de l’incident : option permettant de sélectionner l’état de l’incident avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options suivantes seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident après réponse de l’utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu.
        Annuler l'approbation Action pour annuler la demande d’approbation.

        Cette action n’est visible par les analystes dans la vue de formulaire que lorsque l’incident DLP est dans l’état En attente d’approbation . Les options disponibles sont les suivantes :

        • Affecter l’incident à : option permettant de n’affecter l’incident à personne, à un analyste ou à quelqu’un d’autre.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • État de l’incident postérieur à l’annulation : option permettant de sélectionner l’état dans lequel l’incident doit se trouver après l’annulation de la demande.
        • Commentaires : pour fournir des détails supplémentaires sur l’annulation.
        Affecter une évaluation Action permettant de joindre une évaluation lors de l’affectation de l’incident. Les choix sont les suivants :
        • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
        • État de l’incident après réponse de l’utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver une fois que l’utilisateur a répondu.
        Télécharger le fichier Action pour télécharger le fichier ou l’e-mail comportant le contenu en infraction. Cette action peut être effectuée pour les incidents créés pour Microsoft OneDrive, SharePoint Online ou Exchange Online.
        Enregistrer Action pour enregistrer toutes les modifications que vous avez apportées. Vous pouvez modifier les champs Gravité, État et Utilisateur final de l’incident DLP et les enregistrer.
        Répondre Répondez à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si l’utilisateur supprime un fichier qui enfreint une stratégie DLP, l’utilisateur peut choisir l’option Fichier supprimé pour envoyer une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        À partir de là, vous pouvez également sélectionner les options de réponse avancées. Par exemple : demandez la levée de la quarantaine par e-mail.
        Escalader Action pour faire remonter l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur auquel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Cloner l’incident Action pour créer un incident de clone si l’enregistrement d’incident affecte plusieurs utilisateurs. Vous pouvez affecter les incidents clonés à plusieurs personnes concernées, telles que le service juridique/informatique.

        Après avoir créé un enregistrement d’incident clone, un nouvel onglet Incidents clonés est créé sous l’incident DLP parent et tous les incidents clonés sont répertoriés dans cette vue.

        Remarque :
        • Si l’enregistrement d’incident DLP parent est fermé, tous les enregistrements d’incidents clonés se ferment automatiquement.
        • Si un enregistrement d’incident DLP contient un incident cloné, il est impossible de l’affecter aux utilisateurs finaux. Les enregistrements d’incidents DLP parents ne peuvent être gérés que par les utilisateurs disposant du rôle d’analyste.
        • Vous pouvez également mettre à jour automatiquement l’état parent en fonction de l’état des incidents clonés dans le module Configuration par défaut. Par exemple, si tous les incidents clonés passent à l’état Escaladé, l’incident parent passera également à l’état Escaladé.
        Fermer Action pour fermer l’incident. Vous pouvez également ajouter des commentaires supplémentaires avant de fermer l’incident.
        Fermer comme faux positif Action pour fermer l’incident en tant que faux positif. Vous pouvez également ajouter des commentaires supplémentaires avant de fermer l’incident.
        Figure 2. Espace de travail de l’analyste DLP
        Vue des détails de DLP Analyst Workspace
    6. Vous pouvez afficher la vue Liste à partir de la page d’accueil en accédant au coin supérieur gauche de la page et en cliquant sur l’onglet Listes .
      La catégorie Listes se compose des pages de liste par défaut et personnalisées pour les incidents DLP.
      • Onglet Listes : listes par défaut pour les incidents DLP. Les listes par défaut sont les suivantes :
        • Tous
        • Ouvert
        • Mes incidents
        • Affecté à mon groupe
        • Remonté
        • En retard
        • Évaluations en attente
        • Action de l’utilisateur en attente
        • Incidents clonés
        • Incidents archivés
      • Onglet Mes listes : affiche toutes les listes que vous avez renommées et toutes les listes que vous avez créées.
      L’exemple suivant montre l’espace de travail DLP avec les catégories de vue de liste. L’option Vue Toutes les listes est sélectionnée.
      Figure 3. Vue de listes de l’espace de travail de l’analyste DLP
      Vue de listes de l’espace de travail de l’analyste DLP

    Afficher les incidents DLP archivés

    Utiliser l’espace de travail de l’analyste DLP pour afficher les incidents DLP archivés

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyst : modifier et afficher les incidents DLP.
    • sn_dlir.analyst_read et sn_dlir.read - Afficher les incidents DLP.

    Procédure

    1. Accédez à la Tous > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      Par défaut, la section Mes incidents s’affiche.
    2. Cliquez sur Incidents archivés.
      La liste des incidents DLP archivés s’affiche.
    3. Cliquez sur le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents archivés.
      Remarque :
      • Par défaut, le nombre d’incidents archivés est masqué pour améliorer le temps de chargement de la liste, vous devez cliquer sur le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents. En outre, un message d’information s’affiche indiquant le nombre d’incidents.
      • La propriété système glide.ui.list.seismic.omit.count est activée dans le système de base pour que les incidents archivés masquent le nombre de listes d’incidents.
    4. Sélectionnez un ou plusieurs incidents DLP que vous souhaitez afficher.
      L’incident DLP affiche la section des détails de l’incident.
      Remarque :
      • L’onglet Autres incidents provenant des utilisateurs finaux inclut également les incidents archivés.
      • Le contenu de correspondance est pris en charge pour tous les incidents archivés (qui seront également pris en charge dans toutes les intégrations), mais le téléchargement du fichier n’est pris en charge que pour les intégrations Microsoft.