Définition des règles d’expiration

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Définissez des règles d’expiration pour divers observables ou une combinaison de divers objets sources ou sources d’indicateurs créés dans TISC.

    Avant de commencer

    Chaque source créée dans l’application a une période d’expiration. Les flux de données utilisent des techniques telles que la période d’expiration basée sur le temps pour stimuler l’ingestion de données. Dans TISC, les règles d’expiration définissent le délai d’expiration pour un ensemble particulier de sources de données ou un ensemble de types d’objets ou de types d’observables.

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Tous > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Sélectionner Règles d'expiration.
      La page Règles d’expiration s’affiche.
    3. Cliquez sur Nouveau.
      ChampDescription
      Nom Entrez un nom pour la règle d’expiration.
      Description Entrez une description pour la règle d’expiration.
      Période d'expiration (jours) Spécifiez la durée après laquelle les données ingérées doivent expirer ou être considérées comme obsolètes.

      Saisissez la période d’expiration de l’observable en jours. Par exemple, 100 jours.

      Remarque :
      Quelles que soient les données ingérées à partir de la source, elles expireront 100 jours après l’ingestion.
      Sources de données Indique la règle d’expiration de la source de données actuelle. Sélectionnez la liste des sources de données à partir de la recherche.
      Remarque :
      Ne sélectionnez pas ce champ et veillez à le laisser vide si vous souhaitez sélectionner toutes les sources de données.
      Si vous souhaitez sélectionner l’indicateur en tant qu’objet, vous devez sélectionner l’objet, puis sélectionner la valeur Type d’enregistrements en tant qu’indicateur.
      Remarque :
      Par défaut, un exemple de règle d’expiration sn_sec_tisc_m2m_entity_rules est mis en service pour les utilisateurs dans le système de base. Pour les observables, cet échantillon de règle d’expiration sera à l’état désactivé. Vous devez activer et activer la règle. Pour appliquer la règle aux enregistrements sources, vous devez activer la règle.
      Catégorie Indique le type de catégorie de règle d’expiration pour la source de données actuelle. Sélectionnez le type de catégorie dans la liste déroulante, tel qu’observable ou objet.
      Type des enregistrements Sélectionnez le type d’enregistrements.
    4. Cliquez sur Activer pour activer la règle d’expiration après avoir créé une règle.
      Si vous n’activez pas la règle d’expiration, elle ne sera pas appliquée à l’enregistrement source.
      Remarque :
      • Chaque fois que vous activez une règle d’expiration, une vérification de duplication se produit en arrière-plan pour vérifier s’il existe une règle en double dans le système avec la même combinaison de sources de données et d’enregistrements. Si tel est le cas, l’application affiche un message d’information indiquant que la règle contient déjà la même combinaison de source de données et de catégorie d’objet et que vous devez modifier la combinaison existante pour activer la règle.
      • Un exemple de règle d’expiration est mis en service pour les utilisateurs dans le système de base et cet exemple de règle d’expiration pour l’observable est à l’état désactivé par défaut et vous devez activer et activer la règle.
    5. Cliquez sur Enregistrer.
    6. Cliquez sur Supprimer si vous souhaitez supprimer une règle d’expiration.