Ablaufregeln für Quelldatensätze

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Ablaufregeln sind im Grunde hilfreich, um die Ablaufzeit für die Quelldatensätze festzulegen. Der Aggregatdatensatz erbt die längste Ablaufzeit von den entsprechenden Quelldatensätzen.

    Wie die Regeln angewendet werden

    Der Typ des eingehenden Quelldatensatzes ist Malware vom Datenquellentyp CrowdStrike

    Regelbewertungsprozess basierend auf den Regeln, die für die Anwendung von Ablaufzeiten auf Quelldatensätze bereitgestellt werden:
    1. Alle aktivierten Regeln abrufen: Die Anwendung überprüft zunächst alle derzeit aktivierten Regeln.
    2. Suchen Sie nach einer bestimmten Regelkombination:

      Suchen Sie nach einer Regel, die speziell mit der folgenden Kombination übereinstimmt:

      • Datenquellentyp: CrowdStrike
      • Typ der Datensätze: Malware
    3. Priorität basierend auf den Übereinstimmungsregel-Kombinationen:

      Wenn eine Regel vorhanden ist, bei der der Datenquellentyp CrowdStrike und der Datensatztyp Malwareist, hat diese Regel Vorrang. Die in dieser Regel angegebene Ablaufzeit wird angewendet.

    4. Fallback-Regeln:
      1. Wenn keine Regel mit der Kombination aus CrowdStrike und Malware übereinstimmt, sucht das System nach einer Regel, bei der der Datenquellentyp CrowdStrike und der Datensatztyp Alleist.
      2. Wenn immer noch keine Regel gefunden wird, wird nach einer Regel gesucht, bei der der Datenquellentyp Alle und der Datensatztyp Malwaresind.
      3. Wenn schließlich keine der oben genannten Regeln vorhanden ist, wird standardmäßig eine Regel verwendet, bei der sowohl der Datenquellentyp als auch der Datensatztyp Allesind.
    5. Wenn keine dieser Regeln im System vorhanden ist, wird keine Ablaufregel auf die Quelldatensätze angewendet. Navigieren Sie in diesem Fall zur folgenden Tabelle (im Screenshot), um die Kombination der Regeln zu überprüfen, die auf die Objekte angewendet wurden.

      Ablaufregeln für Quelldatensätze.

    6. Löschen von Datenquellen:

      Angenommen, wenn eine Datenquelle, der die Ablaufregeln zugeordnet sind, gelöscht wird, kann das Löschen eingeschränkt oder nicht zulässig sein, bis diese Regeln behandelt werden. Dadurch wird sichergestellt, dass bei der Anwendung von Ablaufrichtlinien keine Inkonsistenzen auftreten.