Risque utilisateur signalé par l‘administrateur

Cette détection est une action manuelle. Elle se produit lorsqu'un administrateur modifie manuellement le niveau de risque d'un utilisateur en faible, moyen ou élevé. Les administrateurs peuvent effectuer cette action depuis la page de profil de l'utilisateur dans l'Admin Console ou via l'API Risque utilisateur.

Niveau du risque de détection : élevé, moyen ou faible

Cette modification manuelle intervient généralement dans le cadre d'une enquête externe. Vous pouvez modifier le niveau de risque lorsque votre outil EDR/XDR/GDM signale que l'appareil d'un utilisateur est compromis ou lorsque vous avez reçu des rapports de perte ou de vol d'un ordinateur portable.

Configuration de la politique

Dans votre politique de risques pour l'entité, créez des règles distinctes :

Règle 1 (L'administrateur définit la valeur élevée)

  • Détection : Risque utilisateur signalé par l‘administrateur
  • Niveau de risques pour l'entité : élevé
  • Effectuer cette action : Universal Logout ou exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Règle 2 (L'administrateur définit le support via l'API)

  • Détection : Risque utilisateur signalé par l‘administrateur
  • Niveau de risques pour l'entité : moyen
  • Effectuer cette action : exécutez un workflow pour notifier l'équipe SOC afin de lancer une enquête.

Politique de remédiation

  1. Action immédiate : la politique configurée prend effet immédiatement. Ajoutez l'utilisateur à votre groupe à haut risque pendant la durée des enquêtes.

  2. Enquête : l'administrateur qui a défini le risque est responsable de l'enquête (par exemple, en collaborant avec l'équipe de sécurité des points de terminaison pour nettoyer l'appareil).

  3. Rétablissement de l'accès : une fois l'incident externe résolu, l'administrateur peut réduire le risque en supprimant la session ou en utilisant l'API Risque utilisateur.