Ändern Sie die Archivierungsregeln für erkennbare Elemente

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Ändern Sie Archivierungsregeln für erkennbare Elemente, und zeigen Sie eine Schätzung der Anzahl der Datensätze an, auf die sich die Regel auswirkt.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Standardmäßig sind die Beispielarchivierungsregeln deaktiviert.

    Die Option Historisch signifikant und die Bedingung sollten für erkennbare Elemente, Indikatoren, zugehörige Datensätze und Objekte immer auf „Falsch“ festgelegt werden. Wenn Sie diese Option auf „falsch“ festlegen, können Sie die Datensätze archivieren. Wenn diese Option jedoch auf „wahr“ festgelegt ist, können Sie die Datensätze unabhängig von der Regeldefinition nicht archivieren.

    Prozedur

    1. Navigieren zu Alle > Systemarchivierung > Archivregeln.
      Die Liste der Archivierungsregeln, die für TISC gelten, wird angezeigt. Diese Archivierungsregeln sind für jeden Objekttyp unterschiedlich und gelten unabhängig voneinander.
    2. Wählen Sie eine beliebige Archivierungsregel aus.
      Wählen Sie beispielsweise den Datensatz für erkennbares Element im Verzeichnis aus, um die Archivierungsregel des Basissystems anzuzeigen.
    3. Klicken Sie auf Filterbedingung hinzufügen.
    4. Wählen Sie die Option Historisch signifikant aus, und legen Sie die Bedingung auf Falschfest.
      Wenn Sie diese Option auf „falsch“ festlegen, können Sie die Datensätze archivieren. Wenn diese Option jedoch auf „wahr“ festgelegt ist, können Sie die Datensätze unabhängig von der Regeldefinition nicht archivieren.
    5. Legen Sie hier in diesem Beispiel den Status des erkennbaren Elements auf Inaktiv und die Ablaufzeit auf 2 Jahre fest.
      Dies bedeutet, dass der Datensatz des erkennbaren Elements archiviert werden kann, wenn der Status „Inaktiv“ ist und der Ablaufzeitraum des erkennbaren Elements auf 2 Jahre festgelegt ist. Daher wird alles vor diesem Zeitraum ab dem aktuellen Datum archiviert.
      Hinweis:
      Jede Archivierungsregel wird jede Stunde ausgelöst, sodass jede Änderung an der Regel ab dem Zeitpunkt der geplanten Aufgabe geändert wird. Wenn Sie den Auftrag explizit ausführen und nicht warten möchten, bis der Auftrag geplant ist, können Sie ihn entsprechend ändern. Führen Sie die folgenden Schritte aus.
    6. Navigieren zu Zugehörige Links > Schätzung neu berechnen.

      Die Datensatzschätzung wurde neu berechnet und mit dem geschätzten Wert aktualisiert.

      Hinweis:
      Wenn der Wert für die Datensatzschätzung 0 ist, werden die Datensätze nicht archiviert. Wenn der Wert für die Datensatzschätzung jedoch 1 ist, identifiziert die Anwendung diesen Wert, und dieser Datensatz wird archiviert.
    7. Wählen Sie Jetzt archivieren ausführen aus.
    8. Wechseln Sie zum Abschnitt „Archivausführung“ unten, um Ihren Archivausführungsprozess zu überprüfen.
      Hinweis:
      Sie werden feststellen, dass die Gesamtzahl der archivierten Datensätze nur einen Datensatz beträgt, da Ihr Datensatzschätzwert ebenfalls eins ist.
    9. Navigieren zu Threat Intel-Bibliothek > Erkennbare Elemente.
    10. Suchen Sie nach dem archivierten Datensatz.
      Der Datensatz muss archiviert worden sein und zeigt die Ergebnisse nicht an, wenn Sie nach dem Datensatz suchen.
      Hinweis:
      • Als Teil der TISC-Archivierungsregeln werden auch alle Quelldatensätze und zugehörigen Datensätze, die als Teil archivierter zugehöriger Datensätze aufgeführt sind, zusammen mit dem aggregierten Datensatz für erkennbare Elemente archiviert. Sie können einen Drilldown zum Archivprotokollabschnitt durchführen, um die Liste der archivierten Datensätze anzuzeigen, die automatisch im Hintergrund ausgeführt und in diesem Abschnitt angezeigt wurden.
      • Wenn Sie den archivierten Datensatz anzeigen möchten, durchsuchen Sie den Datensatz in dieser zugehörigen Tabelle. Gleichzeitig können Sie auch Ihren archivierten Datensatz überprüfen, indem Sie zu navigieren Systemarchivierung > Archivprotokoll. Dies zeigt die Anzahl der Datensätze an, die archiviert sind.