Data Loss Prevention Incident Response Espace de travail de l’analyste

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 15 minutes de lecture

    • Utilisez l’espace de travail de l’analyste Data Loss Prevention Incident Response (DLP IR) pour afficher les incidents DLP. Affectez les incidents aux utilisateurs finaux pour la résolution et plus encore.

    L’espace de travail DLP se compose d’une page d’accueil avec des tableaux de bord, des vues de listes et des vues de formulaire qui vous permettent de surveiller les incidents DLP.

    Figure 1. Page de vue d’ensemble de l’espace de travail DLP
    Page Vue d’ensemble de l’espace de travail DLP.

    Examiner et affecter vos incidents DLP

    Accédez à l’espace de travail de l’analyste Data Loss Prevention Incident Response (DLP IR) pour examiner les incidents DLP et les affecter ou les résoudre. Vous pouvez suivre les tendances des incidents par gravité, les principaux contrevenants, les incidents par source d’analyse et les incidents par politique.

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyst : modifiez et affichez des incidents DLP.
    • sn_dlir.analyst_read et sn_dlir.read : afficher les incidents DLP.

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      La page de liste Mes opérations d’incidents de l’espace de travail DLP s’ouvre dans un nouvel onglet.
    2. Cliquez sur l’icône d’accueil de l’espace de travail DLP pour afficher la vue de la page d’accueil de l’espace de travail.
    3. Passez en revue les widgets du tableau de bord pour identifier les tendances par incidents par gravité, principaux contrevenants, incidents par source d’analyse et incidents par politique.
    4. Cliquez sur les filtres appropriés sur la page d’accueil pour afficher les widgets par leurs différentes catégories.
      Filtres Description
      Incidents ouverts Afficher tous les incidents ouverts.
      Incidents critiques en retard Affichez les incidents qui présentent l’étiquette de gravité critique et qui sont en retard.
      Incidents affectés à des utilisateurs finaux Affichez les incidents qui sont affectés aux utilisateurs finaux.
    5. Vous pouvez examiner et affecter les incidents DLP de deux manières :
      1. La première consiste à localiser et à sélectionner un ou plusieurs incidents DLP que vous souhaitez examiner, puis à cocher la case à côté des incidents.
      2. Choisissez l’option qui vous convient.
        Option Description
        Actualiser la liste Option permettant d’actualiser la liste des incidents DLP lorsque vous effectuez une mise à jour.
        Actions des listes Liste des actions que vous pouvez effectuer. Les choix sont les suivants :
        • Enregistrer sous
        • Modifier les colonnes
        • Rétablir la largeur des colonnes
        Remarque :
        Lorsque vous avez configuré votre propre liste personnalisée créée sous la section Mes listes pour votre espace de travail, vous pouvez également effectuer les actions de liste supplémentaires ci-dessous :
        • Renommer
        • Enregistrer
        • Supprimer
        Copier l’URL pour tout Option permettant de copier les URL de tous les incidents DLP.
        Afficher le panneau Filtre Option permettant d’analyser les incidents requis à l’aide de l’option de filtre.
        1. Cliquez sur le filtre en haut à gauche de la page, puis sélectionnez Vue avancée.
        2. Utilisez un filtre existant ou créez le vôtre en ajoutant des conditions qui contiennent un champ, un opérateur et des valeurs.
        3. Pour ajouter d’autres conditions, cliquez sur ET ou OU :
          • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
          • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
        4. Cliquez sur Mettre à jour.
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à quelqu’un d’autre.
        • Utilisateur : option permettant de déterminer à quel utilisateur l’incident doit être affecté.
        • État de l’incident Réponse pré-utilisateur : option permettant de déterminer l’état dans lequel l’incident doit se trouver avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options ci-dessous seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident Réponse post-utilisateur Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.
        Répondre Répondre à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier en violation d’une stratégie DLP, il peut choisir l’option Fichier supprimé pour soumettre une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        Dans cet emplacement, vous pouvez également sélectionner des options de réponse avancées. Par exemple, Demander la sortie de quarantaine de l’e-mail.
        Escalader Action pour escalader l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur auquel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Mettre à jour l'état Action pour mettre à jour l’état de l’incident. Vous pouvez mettre à jour l’état de l’incident en sélectionnant l’un des états dans les options déroulantes. Il peut également s’agir d’un état personnalisé.
        Fermer Action pour fermer les incidents. Sélectionnez le code de fermeture correspondant dans la liste déroulante et ajoutez des commentaires de fermeture.
        La fonctionnalité Fermer est Data Loss Prevention Incident Response effectuée de manière asynchrone et synchrone à partir de la vue de liste.
        1. Fermeture synchrone : lors de la fermeture d’incidents de manière synchrone, cela signifie que l’action de fermeture est effectuée immédiatement. Lorsque vous sélectionnez plusieurs incidents à fermer, et si le nombre d’incidents est inférieur ou égal à 100, les incidents sont fermés au premier plan de la vue de liste Incidents DLP. Ici, 100 est la valeur par défaut.
        2. Fermeture asynchrone : cela implique que la demande de fermeture est soumise et que l’application exécute la demande en arrière-plan si le nombre d’incidents sélectionnés est supérieur à 100.

          Vous devez actualiser la vue de liste des incidents DLP pour afficher l’état des incidents mis à jour.

          Remarque :
          • Le nombre d’incidents sélectionnés pour la fermeture asynchrone ou synchrone est configuré à l’aide de la propriété système sn_dlir.closure_sync_count_limit.
          • Par défaut, le nombre d’incidents est fixé à 100.
      3. La deuxième consiste à cliquer sur un incident DLP particulier pour l’ouvrir.
        • Onglet Détails : affiche les sections suivantes :
          • Détails : vous pouvez afficher les détails de l’incident DLP, tels que le numéro d’incident, la gravité, le nom du fichier, etc. Vous avez également la possibilité de modifier respectivement les champs Gravité, État, Utilisateur final et Groupe d’analystes DLP et de les enregistrer.
          • Composer : pour ajouter des commentaires sur l’incident DLP visibles par tout le monde, saisissez les commentaires dans l’onglet Commentaires. Pour ajouter des commentaires visibles par certaines personnes, saisissez les commentaires dans l’onglet Notes de travail (privées).
          • Activité : vous pouvez afficher les détails des différentes activités sur l’incident DLP.
          • Pièces jointes : si vous avez des pièces jointes liées à l’incident DLP, cliquez sur Parcourir et sélectionnez la pièce jointe sur votre disque local.
        • Onglet Détails supplémentaires : affiche toutes les informations supplémentaires sur l’incident DLP, y compris les champs personnalisés.
          Important :
          • Les champs personnalisés pour les incidents DLP ne sont pris en charge que sur la version San Diego ou ultérieure.
          • Vous pouvez utiliser l’onglet Détails supplémentaires pour voir si des champs personnalisés ont été créés pour un incident DLP particulier ou non.
        • Onglet Attributs personnalisés : affiche la liste des attributs personnalisés associés à l’incident DLP.
        • Autres incidents de l’utilisateur final : affiche l’incident du même utilisateur final. Vous pouvez consolider les incidents en exécutant l’action Ajouter en tant qu’incident enfant à partir de cette liste connexe.
        • Type d’information sensible détectée : affiche les informations sensibles détectées par l’incident.
          Remarque :
          Cette liste connexe n’est visible que pour les incidents DLP créés pour les intégrations Microsoft ou Symantec. Dans l’enregistrement d’incident Microsoft ou Symantec, chaque fois que l’utilisateur accède à l’enregistrement de type d’information sensible détecté, le contenu de correspondance en surbrillance relatif à cette intégration s’affiche.
        • Incidents enfants : affiche les incidents enfants créés manuellement (en effectuant l’action « Ajouter comme incident enfant ») ou à partir des règles de consolidation DLP. Pour supprimer le lien de l’incident enfant, exécutez l’option « Dissocier l’incident enfant » à partir de cette liste connexe.
        • Incidents clonés : affiche les incidents clonés à partir de l’incident parent. En cliquant sur l’action Cloner l’incident de la vue de formulaire, vous pouvez créer un nouvel incident cloné.
        • Onglet Évaluations : affiche la liste des évaluations affectées à l’incident DLP.
      4. Choisissez l’option qui vous convient.
        Option Description
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à quelqu’un d’autre.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • État de l’incident Réponse pré-utilisateur : option permettant de sélectionner l’état dans lequel l’incident doit se trouver avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options ci-dessous seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident Réponse post-utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.
        Approbation d'annulation Action pour annuler la demande d’approbation.

        Cette action n’est visible par les analystes sur la vue de formulaire que lorsque l’incident DLP est à l’état En attente d’approbation . Les options disponibles sont les suivantes :

        • Affecter l’incident à : option permettant de n’affecter l’incident à personne, à un analyste ou à quelqu’un d’autre.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • État de l’incident post-annulation : option permettant de sélectionner l’état dans lequel l’incident doit se trouver après l’annulation de la demande.
        • Commentaires : pour fournir des détails supplémentaires sur l’annulation.
        Affecter une évaluation Action pour joindre une évaluation lors de l’affectation de l’incident. Les choix possibles sont les suivants :
        • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
        • État de l’incident Réponse post-utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.
        Télécharger le fichier Action pour télécharger le fichier ou l’e-mail contenant le contenu en infraction. Cette action peut être effectuée pour les incidents créés pour Microsoft OneDrive, SharePoint Online ou Exchange Online.
        Enregistrer Action pour enregistrer toutes les modifications que vous avez apportées. Vous pouvez modifier les champs Gravité, État et Utilisateur final de l’incident DLP et les enregistrer.
        Répondre Répondre à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier en violation d’une stratégie DLP, il peut choisir l’option Fichier supprimé pour soumettre une confirmation manuelle que le fichier a été supprimé et fournir des commentaires.

        Dans cet emplacement, vous pouvez également sélectionner les options de réponse avancées. Par exemple : demandez la sortie de quarantaine de l’e-mail.
        Escalader Action pour escalader l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur auquel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Cloner l'incident Action pour créer un incident de clone si l’enregistrement d’incident a un impact sur plusieurs utilisateurs. Vous pouvez affecter les incidents clonés à plusieurs personnes concernées, telles que juridique/informatique.

        Une fois l’enregistrement d’incident cloné créé, un nouvel onglet Incidents clonés est créé sous l’incident DLP parent et tous les incidents clonés sont répertoriés dans cette vue.

        Remarque :
        • Si l’enregistrement d’incident DLP parent est fermé, tous les enregistrements d’incidents clonés se ferment automatiquement.
        • Si un enregistrement d’incident DLP contient un incident cloné, il ne peut pas être affecté aux utilisateurs finaux. Les enregistrements d’incidents DLP parents ne peuvent être gérés que par les utilisateurs disposant du rôle d’analyste.
        • Vous avez également la possibilité de mettre à jour automatiquement l’état parent en fonction de l’état des incidents clonés dans le module Configuration par défaut. Par exemple, si tous les incidents clonés sont passés à l’état Escaladé, l’incident parent passera également à l’état Escaladé.
        Fermer Action pour fermer l’incident. Vous devez sélectionner le code de fermeture correspondant dans la liste déroulante et ajouter des commentaires sur la fermeture, si nécessaire.
        Fermer en tant que faux positif Action pour fermer l’incident en tant que faux positif. Vous pouvez également ajouter des commentaires supplémentaires avant de fermer l’incident.
        Figure 2. Espace de travail de l’analyste DLP
        Espace de travail de l’analyste DLP : onglet Détails
    6. Vous pouvez voir la vue de liste à partir de la page d’accueil en allant en haut à gauche de la page et en cliquant sur l’onglet Listes .
      La catégorie Listes se compose des pages de liste par défaut et personnalisées pour les incidents DLP.
      • Onglet Listes : listes par défaut pour les incidents DLP. Les listes par défaut sont les suivantes :
        • Tout
        • Ouvert
        • Mes incidents
        • Affecté à mon groupe
        • Escaladé
        • En retard
        • Évaluations en attente
        • Action de l'utilisateur en attente
        • Incidents clonés
        • Incidents archivés
      • Onglet Mes listes : affiche toutes les listes que vous avez renommées et toutes les listes que vous avez créées.
      L’exemple suivant montre l’espace de travail DLP avec les catégories de vue de liste. L’option Tout la vue de liste est sélectionnée.
      Figure 3. Espace de travail de l’analyste DLP Vue Listes
      Espace de travail de l’analyste DLP Vue Listes

    Prévisualiser les fichiers de preuves

    Prévisualisez Data Loss Prevention Incident Response les fichiers de preuves dans l’espace de travail de l’analyste DLP IR.

    Avant de commencer

    Important :
    Lors de l’utilisation de l’action Fichiers de preuves dans l’espace de travail de l’analyste DLP, les fichiers de preuves sont temporairement stockés dans la base de données ServiceNow dans un format non chiffré. Si vous ne souhaitez pas stocker les fichiers de preuves, désactivez la fonctionnalité d’aperçu des fichiers de preuves. Pour plus d'informations, consultez Configurer les paramètres avancés.

    Rôle requis : sn_dlir.analyst

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
    2. Ouvrez un enregistrement d’incident DLP.
    3. Sélectionnez l’icône Fichiers de preuves ( icône Fichiers de preuves.), qui est disponible dans la barre latérale contextuelle.
    4. Dans l’onglet Fichiers de preuves , sélectionnez la carte Fichier de preuves pour afficher un aperçu des fichiers de preuves dans la visionneuse de documents.
      Prévisualiser les fichiers de preuves.

      La fonctionnalité d’aperçu est différente pour chaque type de fichier, comme indiqué dans le tableau suivant.

      Format de fichier Extension de fichier
      Image .bmp, .gif, .ico, .jpeg, .jpg, .png, .svg et .webp.

      Les fichiers image s’ouvrent en mode visionneuse de documents.
      Microsoft Fichiers Office .doc, .docx, .ppt, .pptx, .xls et .xlsx

      Les fichiers Office s’ouvrent en mode visionneuse de documents.
      Fichiers texte .txt

      Les fichiers texte s’ouvrent en mode éditeur de texte.
      Fichiers courrier .Eml
      Remarque :
      La taille du fichier doit être inférieure à 5 Mo. Vous devez d’abord télécharger le fichier pour prévisualiser son contenu.
      Fichiers PDF .PDF
      • Saisissez un mot clé pour rechercher le document.
      • Fonctions de zoom avant et arrière pour ajuster la vue et améliorer la lisibilité.
      • Faites pivoter la page dans le sens des aiguilles d’une montre ou dans le sens inverse des aiguilles d’une montre pour afficher le contenu plus clairement.
      Remarque :

      Les fichiers binaires ne seront pas rendus et devront être téléchargés pour prévisualiser leur contenu. La fonctionnalité d’aperçu du fichier de preuve fonctionne également pour les incidents archivés.

    Playbook pour Data Loss Prevention Incident Response

    Un Data Loss Prevention Incident Response Playbook est un guide étape par étape pour traiter et atténuer les incidents de perte de données, qui peuvent inclure des expositions non autorisées, des fuites ou des violations d’informations sensibles susceptibles de compromettre la sécurité de votre organisation.

    L’image suivante montre les exemples de playbooks disponibles pour DLP IR.

    Figure 4. Exemples de playbooks pour DLP Incident Response
    Playbooks pour DLP Incident Response

    La table suivante répertorie les activités et les étapes impliquées dans la création d’un playbook. Pour plus d’informations, consultez Ajouter un Playbook DLP:

    Activité Description
    Détection Identifiez et confirmez l’accès non autorisé aux données sensibles ou leur exposition.
    Confinement Isolez les systèmes ou les utilisateurs affectés pour éviter toute fuite de données ou accès non autorisé.
    Examen Enquêtez sur la violation pour comprendre comment elle s’est produite, quelles données ont été affectées et l’impact potentiel.
    Notification Notifiez les équipes internes, les personnes concernées externes et les organismes de réglementation comme l’exige la loi ou la politique.
    Rattrapage Appliquez des mesures correctives pour remédier aux vulnérabilités, mettre à jour les politiques et prévenir de futures violations.
    Récupération Restaurez les systèmes à partir de sauvegardes sécurisées et validez l’intégrité des données après l’incident.
    Examen post-incident Analysez l’incident pour identifier les causes premières, améliorer les contrôles de sécurité et renforcer les politiques.

    La figure suivante illustre le workflow des activités et des étapes impliquées dans la création du playbook.

    Figure 5. Workflow de conception de Playbook
    Workflow de conception de Playbook
    Remarque :
    Il s’agit de l’exemple de playbook pour la violation de données sensibles. En fonction du type de playbook, le workflow peut changer.

    Ajouter un Playbook DLP

    Ajoutez un playbook dans Analyst Data Loss Prevention Incident Response Workspace qui peut servir de guide pour traiter et atténuer les incidents de perte de données susceptibles de compromettre la sécurité de votre organisation.

    Avant de commencer

    Rôle requis : sn_dlir.analyst : ajoutez ou affichez des playbooks dans l’espace de travail DLP.

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
    2. Sur la page Espace de travail de l’analyste DLP - Mes incidents, ouvrez n’importe quel incident DLP.
    3. Accédez à l’onglet Playbooks .
    4. Dans le menu (icône Plus d’actions),sélectionnez Ajouter des playbooks et sélectionnez un playbook dans le menu déroulant.
    5. Sélectionnez Ajouter des playbooks.
    6. Sélectionnez chaque voie pour explorer les tâches effectuées par ce playbook.
      Figure 6. Exemple de playbook DLP
      Ajoutez un playbook DLP.

    Annuler un Playbook DLP

    Annulez un Data Loss Prevention Incident Response Playbook pour arrêter un flux d’entreprise lorsqu’il n’est plus valide.

    Avant de commencer

    Remarque :
    Les Playbooks sont automatiquement annulés lorsque l’incident DLP associé est fermé.

    Rôle requis : sn_dlir.admin.

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
    2. Ouvrez n’importe quel incident DLP.
    3. Accédez à l’onglet Playbooks .
    4. Dans l’en-tête du Playbook que vous souhaitez annuler, sélectionnez l’icône (icône Plus d’actions),puis sélectionnez Annuler le Playbook.
    5. Fournir un motif d’annulation du playbook.
    6. Sélectionnez Annuler le Playbook.

    Résultats

    Une bannière apparaît sous l’en-tête du Playbook pour confirmer que le Playbook a été annulé.

    Afficher les incidents DLP archivés

    Utiliser DLP Analyst Workspace pour afficher les incidents DLP archivés

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyst : modifiez et affichez des incidents DLP.
    • sn_dlir.analyst_read et sn_dlir.read : afficher les incidents DLP.

    Procédure

    1. Accédez à la Tout > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      Par défaut, la section Mes incidents s’affiche.
    2. Cliquez sur Incidents archivés.
      La liste des incidents DLP archivés s’affiche.
    3. Cliquez sur le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents archivés.
      Remarque :
      • Par défaut, le nombre d’incidents archivés est masqué pour améliorer le temps de chargement de la liste. Vous devez cliquer sur le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents. Un message d’information indiquant le nombre d’incidents s’affiche également.
      • La propriété système glide.ui.list.seismic.omit.count est activée dans le système de base pour les incidents archivés afin de masquer le nombre de listes d’incidents.
    4. Sélectionnez un ou plusieurs incidents DLP que vous souhaitez afficher.
      L’incident DLP affiche la section des détails de l’incident.
      Remarque :
      • L’onglet Autres incidents des utilisateurs finaux inclut également les incidents archivés.
      • Le contenu de correspondance est pris en charge pour tous les incidents archivés (qui seront également pris en charge dans toutes les intégrations), mais le téléchargement du fichier n’est pris en charge que pour les intégrations Microsoft.