Modifier les règles d’archivage pour les observables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Modifiez les règles d’archivage pour les observables et affichez également une estimation du nombre d’enregistrements affectés par la règle.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Les exemples de règles d’archivage sont inactifs par défaut.

    L’option Historiquement significatif et la condition doivent toujours être définies sur False pour les observables, les indicateurs, les enregistrements connexes et les objets. Si vous définissez cette option sur faux, vous pouvez archiver les enregistrements. Si cette option est définie sur vrai, cela signifie que vous ne pouvez pas archiver les enregistrements, quelle que soit la définition des règles.

    Procédure

    1. Accédez à la Tout > Archivage système > Règles d'archivage.
      La liste des règles d’archivage applicables à TISC s’affiche. Ces règles d’archivage sont différentes pour chaque type d’objet et s’appliquent indépendamment.
      Règles d’archivage
    2. Sélectionnez une règle d’archivage.
      Par exemple, sélectionnez Enregistrement observable d’annuaire pour afficher la règle d’archivage du système de base.
    3. Cliquez sur Ajouter une condition de filtre.
    4. Sélectionnez l’option Historiquement significatif et définissez la condition sur Faux.
      Si vous définissez cette option sur faux, vous pouvez archiver les enregistrements. Si cette option est définie sur vrai, cela signifie que vous ne pouvez pas archiver les enregistrements, quelle que soit la définition des règles.
    5. Dans cet exemple, définissez l’état de l’observable sur Inactif et le délai d’expiration est sur 2 ans.
      Cela signifie que l’enregistrement de l’observable peut être archivé lorsque l’état est inactif et que la période d’expiration de cet observable est définie sur 2 ans, de sorte que tout ce qui se trouve avant cette période à partir de la date actuelle sera archivé.
      Remarque :
      Chaque règle d’archivage est déclenchée toutes les heures, de sorte que tout changement apporté à la règle est modifié à partir du moment où sa tâche est planifiée. Si vous souhaitez exécuter la tâche explicitement et que vous ne souhaitez pas attendre que la tâche soit planifiée, vous pouvez la modifier en conséquence. Suivez les étapes ci-dessous.
    6. Accédez à la Liens connexes > Recalculer l'estimation.

      L’estimation d’enregistrement a été recalculée et mise à jour avec la valeur estimée.

      Remarque :
      Si votre valeur d’estimation d’enregistrement est 0, les enregistrements ne sont pas archivés. Si la valeur d’estimation d’enregistrement est 1, l’application identifie cette valeur et cet enregistrement est archivé.
    7. Sélectionnez Exécuter l’archivage maintenant.
    8. Accédez à la section Exécution d’archivage ci-dessous pour vérifier votre processus d’exécution d’archivage.
      Remarque :
      Vous remarquerez que le nombre total d’enregistrements archivés n’est que d’un seul enregistrement, car votre valeur d’estimation d’enregistrement est également égale à un.
    9. Accédez à la Bibliothèque Intel de menaces > Observables.
    10. Recherchez l’enregistrement archivé.
      L’enregistrement doit avoir été archivé et n’affiche pas les résultats lorsque vous recherchez l’enregistrement.
      Remarque :
      • Dans le cadre des règles d’archivage TISC, toutes les sources et ses enregistrements connexes qui sont répertoriés dans le cadre des enregistrements connexes archivés seront également archivés avec l’enregistrement observable agrégé. Vous pouvez descendre dans la hiérarchie jusqu’à la section Journal d’archivage pour voir la liste des enregistrements archivés qui ont été exécutés automatiquement en arrière-plan et affichés sous cette section.
      • Si vous souhaitez afficher l’enregistrement archivé, recherchez l’enregistrement dans cette table connexe. Simultanément, vous pouvez également vérifier votre enregistrement archivé en accédant à Archivage système > Journal d'archive. Le nombre d’enregistrements archivés s’affiche.