Créer des règles d’exclusion des données entrantes

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Créez des règles d’exclusion des données entrantes afin de filtrer tout type de données ou tout type de données d’enregistrements sources entrants.

    Avant de commencer

    L’application prend en charge l’intégration de plusieurs flux de renseignements sur les menaces, y compris des sources de données STIX. Pour garantir que seules les données pertinentes sont ingérées, des règles d’exclusion personnalisables doivent être appliquées.

    Rôle requis : sn_sec_tisc.admin

    Pourquoi et quand exécuter cette tâche

    Les règles d’exclusion sont créées et appliquées à un enregistrement source pour traiter les étapes suivantes. Le système de base fournit la règle de filtrage d’échantillon pour les utilisateurs avec une règle prédéfinie pour filtrer les observables, les données d’indicateur ou les entités/objets ingérés.

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Explorez dans le détail Moteur de règles > Règles d'exclusion des données entrantes.
    3. Cliquez sur Nouveau pour définir des règles d’exclusion.
      La page Créer des règles d’exclusion des données entrantes s’affiche.
    4. Remplissez les champs du formulaire.
      Tableau 1. Définir des règles d’exclusion
      Champ Description
      Nom Nom de la nouvelle règle d’exclusion.
      Description Brève description de la règle d’exclusion.
      Ordre Priorité de la règle d’exclusion. Ce champ indique l’ordre dans lequel les règles d’exclusion sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement. La règle d’exclusion dotée du numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc.

      La valeur par défaut est 100 pour la règle d’exclusion du système de base.
      Sources de données Sélectionnez les flux pour lesquels la règle d’exclusion doit être appliquée.
      Table Sélectionnez le type de table auquel vous souhaitez appliquer le filtre. Par exemple, Source d’observable, Source d’indicateur et Source d’objet.
      Type de filtre (uniquement lorsque la table sélectionnée est Source d’observables) L’option Types de filtres contient deux options sur lesquelles vous pouvez appliquer le filtre.
      • Filtre basé sur une condition
      • Filtre basé sur une liste
      Type de filtre (filtre basé sur une condition) Conditions de filtre dans le générateur de conditions. Ces conditions sont basées sur la table source. Par exemple, la source de l’indicateur et la source de l’objet n’ont que le type de filtre : filtre basé sur la condition.

      Pour ajouter plus de conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être vérifiées. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouvel ensemble de conditions.
      Type de filtre (filtre basé sur la liste) Si les observables entrants correspondent aux entrées de la liste sélectionnée, il est filtré.
      Remarque :
      Ces règles d’exclusion ne s’appliquent pas aux importations de données à l’aide d’Import Intelligence et les options disponibles sont Liste d’autorisation, Liste de refus et Liste de surveillance.
      Les enregistrements exclus par la règle d’exclusion peuvent être consultés dans les sections suivantes.
      1. Enregistrements d’observables filtrés : filtre et répertorie les enregistrements d’observables.
      2. Enregistrements d’indicateurs filtrés : filtre et répertorie les enregistrements d’indicateurs.
      3. Enregistrements d’objets filtrés : filtre et répertorie les enregistrements d’objets.
      Remarque :
      Pour appliquer les règles d’exclusion basées sur les balises ajoutées aux enregistrements sources TISC , sélectionnez l’option balises dans le générateur de conditions de filtre.