Créer des règles de duplication dans Opérations de sécurité
Vous pouvez l’utiliser Règles de duplication pour identifier les nouveaux e-mails, les données d’enrichissement ou les cartes de champs contenant des enregistrements en double actifs et les traiter de manière appropriée.
Avant de commencer
Rôle requis : sn_sec_cmn.write
Procédure
- Accédez à la Tous > Opérations de sécurité > Règles de duplication.
- Sélectionnez Nouveau.
-
Renseignez les champs du formulaire, comme il convient :
Tableau 1. Règle de duplication Champ Description Nom Nom de la règle de duplication. Table Table dans laquelle les enregistrements sont créés et utilisés pour déterminer les doublons. Identification des champs Sélectionnez un ensemble de champs qui indiquent un incident de sécurité, un observable, une vulnérabilité, etc., lorsque les valeurs de ces champs sont identiques. Action relative à la duplication Régit la façon de gérer les e-mails en double. Les choix possibles sont les suivants : - Créer en tant qu'enfant
- Crée un enregistrement en tant qu’enfant de l’original. Le champ liant l’enfant au parent est le champ Parent .
- Ne pas créer ni mettre à jour des enregistrements
- (par défaut) Ne fait rien. Ignore les doublons.
- Mettre à jour l'enregistrement en double
- Met à jour les champs de l’enregistrement existant comme spécifié dans les actions de duplication. Remarque :Si vous choisissez Mettre à jour l’enregistrement en double, la liste connexe Actions de duplication s’affiche.
Actives Cochez cette case pour activer la règle. Description Décrit le but et l’application de cette règle de duplication ; quand il devrait être utilisé, par exemple une règle conçue pour les observables basés sur IP ou des incidents de sécurité provenant du pare-feu. - Sélectionnez et maintenez l’appui (ou cliquez avec le bouton droit de la souris) dans l’en-tête de l’enregistrement, puis sélectionnez Enregistrer ou sélectionner Mettre à jour.
- Pour définir des actions de duplication, si vous avez choisi Mettre à jour l’enregistrement en double, sélectionnez Nouveau pour créer des actions de duplication pour chaque champ que vous souhaitez mettre à jour dans l’incident.
-
Remplissez ou modifiez les champs sur le formulaire pour décrire la façon de mettre à jour le champ :
Tableau 2. Actions de duplication Champ Description Champ Le nom du champ à utiliser pour l’action de duplication. Action Les actions prises en charge varient selon le type de champ. Les choix possibles sont les suivants :- Mettre à jour ce champ avec la nouvelle valeur
- Remplace la valeur précédente dans l’enregistrement existant par cette valeur.
- Ajouter la nouvelle valeur à une liste séparée par des virgules, si elle est unique
- Traite la valeur comme une entrée dans une liste séparée par des virgules et ajoute les nouvelles données (le cas échéant) comme nouvelle entrée dans cette liste. Si les données figurent déjà dans la liste, elles ne sont pas ajoutées deux fois.
- Ajouter la nouvelle valeur à ce champ
- Ajoute la nouvelle valeur à la fin du texte existant dans le champ.
- Ajouter un à un champ de compteur
- Ajoute un au champ numérique.
- Définir le champ à la date d'aujourd'hui
- Définit le champ sur la date et l’heure actuelles.
- Ajouter à la liste connexe
- Ajoute l’enregistrement connexe avec cette valeur à la liste connexe de l’enregistrement actuel. Apparaît lorsqu’il existe une table plusieurs-à-plusieurs, avec une colonne du même type, liée à la table en cours de mise à jour.
Par exemple, CI affecté ou Utilisateur affecté.
Relation [Facultatif] Ce champ s’affiche uniquement lorsque l’action Ajouter à la liste connexe est choisie. Il s’agit du nom de la liste connexe que vous souhaitez associer à cette règle. Règle de duplication Règle dont cette action fait partie. Table Table où les enregistrements sont créés. S’affiche à titre d’information uniquement. Actives Cochez cette case pour activer l’action. - Sélectionnez Envoyer.