Definieren von Filterregeln

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie Filterregeln, um alle Arten von Daten oder eingehenden Quelldatensatzdaten zu filtern. Mit dem Datenquellen-Manager werden mehrere Feeds wie STIX-Daten und RSS-Feeds konfiguriert. Um die Daten aus den konfigurierten Feeds zu filtern, müssen Sie bestimmte Filterregeln definieren.

    Vorbereitungen

    Wenn Sie eine Filterregel definieren, wird diese Regel nur auf den Satz von Quelldaten angewendet, auf den eine Regel zum Filtern von Datensätzen während der Datenerfassung und des Datenimports angewendet wird.

    Erforderliche Rolle: sn_sec_tisc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Filterregeln werden erstellt und auf einen Quelldatensatz angewendet, um weitere Schritte zu verarbeiten. Das Basissystem bietet eine Beispielfilterregel für Benutzer mit einer vordefinierten Regel zum Filtern der erfassten erkennbaren Elemente, Indikatordaten oder Entitäten/Objekte.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Administration.
    2. Drilldown zu Regel-Engine > Eingehende Filterregeln.
    3. Klicken Sie auf Neu, um Filterregeln zu definieren.
      Die Seite Neue eingehende Filterregeln erstellen wird angezeigt.
    4. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Definieren Sie Filterregeln
      Feld Beschreibung
      Name Name der neuen Filterregel.
      Beschreibung Kurzbeschreibung der Filterregel.
      Bestellung Die Priorität der Filterregel. Dieses Feld gibt die Reihenfolge an, in der die Filterregeln ausgeführt werden, wenn zwei oder mehr Regeln die Auslösebedingungen gemeinsam nutzen. Die Filterregel mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300 usw.

      Der Standardwert für die Filterregel des Basissystems ist 100.
      Datenquellen Wählen Sie den Datenquellentyp aus der Nachschlageliste aus.
      Tabelle Wählen Sie den Tabellentyp aus, für den Sie den Filter anwenden möchten. Beispiel: Quelle des erkennbaren Elements, Indikatorquelle und Objektquelle.
      Filtertyp (nur wenn für Tabelle die Quelle erkennbarer Elemente ausgewählt ist) Filtertypen enthalten zwei Optionen, auf deren Grundlage Sie den Filter anwenden können.
      • Basierend auf Bedingung filtern
      • Basierend auf Liste filtern
      Filtertyp (Filter basierend auf Bedingung) Filterbedingungen im Bedingungsgenerator. Diese Bedingungen basieren auf der Quelltabelle. Zum Beispiel haben Indikatorquelle und Objektquelle nur Filtertypen: Filter basierend auf Bedingung.

      Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER. Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden. Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neuer Bedingungssatz.
      Filtertyp (Filter basierend auf Liste) Wenn die eingehenden erkennbaren Elemente mit den Einträgen in der ausgewählten Liste übereinstimmen, wird gefiltert.
      Hinweis:
      Diese Filterregeln gelten nicht für Datenimporte mithilfe von Import Intelligence. Die verfügbaren Optionen sind Allow-Liste, Deny-Liste und Beobachtungsliste.
      Sobald die Filterregel für die erfassten Daten aktiviert ist, kann das Ergebnis auf den folgenden Registerkarten als verschiedene gefilterte Datensätze angezeigt werden.
      1. Gefilterte Datensätze erkennbarer Elemente: Filtert die Datensätze erkennbarer Elemente und listet sie auf.
      2. Gefilterte Indikatordatensätze: Filtert die Indikatordatensätze und listet sie auf.
      3. Gefilterte Objektdatensätze: Filtert die Objektdatensätze und listet sie auf.
      Hinweis:
      Um die Filterregeln basierend auf Tags anzuwenden, die den Quelldatensätzen hinzugefügt werden, wählen Sie die Option TISC-Tags im Generator für Filterbedingungen aus.