Definição de regras de filtragem

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Crie regras de filtragem para filtrar qualquer tipo de dados ou qualquer tipo de dados de registros de origem de entrada. Usando o Gerenciador de fonte de dados, vários feeds, como dados STIX e feed RSS, são configurados e, para filtrar os dados dos feeds configurados, você precisa definir determinadas regras de filtragem.

    Antes de Iniciar

    Quando você está definindo uma regra de filtragem, essa regra é aplicada somente ao conjunto de dados de origem em que uma regra é aplicada para filtrar registros durante a ingestão e importação de dados.

    Função necessária: sn_sec_tisc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Regras de filtragem são criadas e aplicadas em um registro de origem para processar outras etapas. O sistema base fornece a regra de filtragem de amostra para os usuários com uma regra predefinida para filtrar os observáveis ingeridos, dados de indicadores ou entidades/objetos.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Administração.
    2. Detalhar até Mecanismo de regras > Regras de filtragem de entrada.
    3. Clique em Novo para definir regras de filtragem.
      A página Criar novas regras de filtro de entrada é exibida.
    4. No formulário, preencha os campos.
      Tabela 1. Definir regras de filtragem
      Campo Descrição
      Nome Nome da nova regra de filtragem.
      Descrição Descrição resumida da regra de filtragem.
      Ordem A prioridade da regra de filtragem. Este campo indica a ordem na qual as regras de filtragem são executadas quando duas ou mais regras compartilham as condições de acionamento. A regra de filtragem com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300 e assim por diante.

      O valor padrão é 100 para a regra de filtragem do sistema de base.
      Fontes de dados Selecione o tipo de fonte de dados na lista de pesquisa.
      Tabela Selecione o tipo de tabela ao qual você deseja aplicar o filtro. Por exemplo, Origem do observável, Origem do indicador e Origem do objeto.
      Tipo de filtro (somente quando a tabela selecionada for Origem de observáveis) Os tipos de filtro contêm duas opções com base nas quais você pode aplicar o filtro.
      • Filtrar com base nas condições
      • Filtro com base em lista
      Tipo de filtro (filtro baseado na condição) Condições de filtro no Construtor de condições. Essas condições são baseadas na tabela de origem. Por exemplo, Origem do indicador e Origem do objeto têm apenas o tipo de filtro: Filtro baseado em condição.

      Para adicionar mais condições, clique em E ou OU. Se E for selecionado, todas as condições deverão ser atendidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida. Para definir uma segunda condição de filtro, clique em Novo conjunto de condições.
      Tipo de filtro (filtro baseado na lista) Se os observáveis de entrada corresponderem às entradas na lista selecionada, serão filtrados.
      Nota:
      Essas regras de filtragem não se aplicam a Importações de dados que usam a Inteligência de importação e as opções disponíveis são Lista de permissões, Lista de proibições e Lista de observação.
      Depois que a regra de filtragem estiver habilitada nos dados ingeridos, o resultado poderá ser exibido nas guias a seguir como diferentes registros filtrados.
      1. Registros de observáveis filtrados: filtra e lista os registros de observáveis.
      2. Registros de indicadores filtrados: filtra e lista os registros de indicadores.
      3. Registros de objetos filtrados: filtra e lista os registros de objetos.
      Nota:
      Para aplicar as regras de filtragem com base em marcadores adicionados aos registros de origem, selecione a opção Marcadores de TISC no construtor de condições de filtro.