Configurer des règles de balisage dans TISC

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Utilisez les règles de balisage pour affecter automatiquement des balises et des taxonomies aux flux RSS. Les règles de balisage évaluent les données de flux entrantes en fonction de critères définis et appliquent les balises et taxonomies appropriées lorsqu’une correspondance est trouvée.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Pourquoi et quand exécuter cette tâche

    Les règles de balisage sont disponibles dans le module Administration et ne sont prises en charge que pour les flux RSS.

    Chaque règle de balisage se compose de critères de correspondance qui TISC s’effectuent par rapport aux éléments de flux entrants, ainsi que d’un ensemble de balises et de taxonomies qui TISC s’appliquent lorsque tous les critères sont satisfaits. Lorsque plusieurs règles de balisage s’appliquent, toutes les balises et taxonomies sont regroupées en conséquence.

    Procédure

    1. Accédez à la Tous > Espaces de travail > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Sélectionner Moteur de règles > Règles de balisage.

      La vue de liste Règles de balisage affiche toutes les règles de balisage existantes avec les champs suivants.

      Tableau 1. Colonnes de la vue de liste des règles de balisage
      Colonne Description
      Nom Nom d’affichage de la règle de balisage.
      Table Le nom de table de la règle de balisage est Flux RSS par défaut et est en lecture seule.
      Description Bref résumé de l’objectif de la règle.
      Actives Indique si la règle est activée ou désactivée. Seules les règles actives sont évaluées pendant le traitement du flux.
      Remarque :
      Cette option apparaît dans la vue de liste et est balisée avec le nom de la règle de balisage dans la vue de formulaire, indiquant si elle est activée ou désactivée.
      Méthode pour correspondance Mots clés à mettre en correspondance avec les champs sélectionnés. La correspondance est insensible à la casse par défaut.

      Lors de la définition d’une règle de balisage, vous devez spécifier les mots clés que l’application utilise pour établir une correspondance avec les champs que vous avez sélectionnés. Le processus de correspondance est insensible à la casse par défaut, ce qui garantit que les correspondances sont trouvées quelle que soit la casse des lettres.

      Deux options de correspondance sont disponibles pour évaluer les éléments de flux :
      • Mots clés : vous permet de spécifier un ou plusieurs mots clés que le système recherche dans les champs sélectionnés. Par défaut, l’option est Mots-clés.
      • Regex : vous permet de définir des expressions régulières pour des critères de correspondance plus complexes dans les données du flux.

        Choisissez la méthode d’appariement la plus appropriée en fonction de la complexité de vos exigences en matière de marquage.
      Remarque :
      Voici les deux règles de balisage du système de base fournies dans l’application pour les flux RSS. Par défaut, ces deux règles de balisage sont désactivées, sélectionnez Activer pour activer les règles et passez à l’étape suivante.
      Tableau 2. Règles de balisage du système de base
      Champ Description Table Méthode pour correspondance
      Exemple de règle de balisage Exemple de règle de balisage. sn_sec_tisc_rss_feed Mots clés
      Flux RSS de balise avec mentions zéro jour Règle de balisage utilisée pour associer automatiquement la taxonomie Vulnerability Intelligence : ZERODAY aux enregistrements de flux RSS en fonction des mots clés correspondants trouvés dans les flux RSS.
      Remarque :
      Cette règle doit être activée pour que l’extraction de vulnérabilité et la corrélation avec fonctionnent.
      		 sn_sec_tisc_rss_feed Mots clés
    3. Sélectionnez Nouveau pour créer une règle de balisage ou sélectionnez un nom de règle existant pour le modifier.
      La vue de formulaire Créer une règle de balisage s’ouvre. Le formulaire est divisé en plusieurs sections.
    4. Dans la section Détails , renseignez les champs de configuration de base.
      Tableau 3. Champs de détails des règles
      Champ Description
      Nom Nom unique et descriptif qui identifie la règle de balisage.
      Description Texte facultatif qui documente l’objectif ou le champ d’application de la règle.
      Table Le nom de table de la règle de balisage est Flux RSS par défaut.
      Remarque :
      Étant donné que les règles de balisage ne sont prises en charge que pour les flux RSS, le nom de la table est en lecture seule.
      Champs Champs sur lesquels correspond la règle de balisage. Par exemple, vous pouvez choisir des champs tels que Description, Notes ou Titre d’un enregistrement RSS.

      Les champs disponibles sont affichés dans une liste à sélection multiple qui inclut des colonnes de la table RSS. Sélectionnez un ou plusieurs champs en fonction de vos besoins.

      Cette correspondance est évaluée à l’aide de la condition définie dans les champs sélectionnés. La règle est considérée comme une correspondance lorsqu’un mot clé est trouvé dans l’un des champs sélectionnés. Par exemple, si Notes et Description sont sélectionnés, la règle se déclenche lorsqu’une correspondance est détectée dans l’un des champs sélectionnés.

      Sélectionnez un ou plusieurs mots clés à mettre en correspondance avec les champs sélectionnés. Séparez les mots clés par des virgules. Chaque mot-clé est évalué indépendamment lors de la correspondance.

      Remarque :
      • L’application vérifie si un mot-clé spécifié est présent dans les valeurs des champs sélectionnés tels que le contenu des champs Notes ou Description d’un enregistrement RSS. Si une correspondance est trouvée, les balises, taxonomies et valeurs de taxonomie configurées TISC sont automatiquement appliquées à l’enregistrement.
      • Les critères de correspondance prennent en charge les types de champs suivants : chaîne, HTML, URL et JSON.
    5. Sélectionnez le type de déclencheur requis.
      Utilisez les options de type de déclencheur pour définir le moment où la règle s’exécute. Ces options déterminent à quel moment les balises TISC et les valeurs de taxonomie sont associées à un enregistrement RSS.
      Champ Description
      Exécuter sur insertion Cochez cette case pour exécuter la règle lorsqu’un nouvel enregistrement de flux RSS est inséré.
      Exécuter sur mise à jour Cochez cette case pour exécuter la règle lorsqu’un enregistrement de flux RSS existant est mis à jour.
      Remarque :
      Flux d’activité : cette section affiche l’historique des modifications de l’enregistrement. L’audit est activé pour suivre les mises à jour de ces champs à des fins d’exécution, de révision et de dépannage.
    6. Dans la section Critères de correspondance , définissez les conditions qu’un élément de flux doit satisfaire pour que la règle s’applique.
      Tableau 4. Champs de critères de correspondance
      Champ Description
      Méthode pour correspondance La correspondance est insensible à la casse par défaut.
      Les options de correspondance disponibles sont les suivantes :
      • Mot(s) clé(s)
      • Regex
      Sélectionnez l’option requise. La section suivante décrit en détail chaque option de correspondance. Reportez-vous aux descriptions selon les besoins lors de la configuration des règles.

      Pour configurer la sensibilité à la casse, mettez à jour la propriété système sn_sec_tisc.case_sensitivity_for_tagging_rules si nécessaire.
      Mot(s) clé(s) Un ou plusieurs mots clés à mettre en correspondance avec les champs sélectionnés. Séparez les mots clés par une virgule.
      Regex Sélectionnez cette option pour ajouter la condition à l’aide d’une expression régulière (Regex).

      Lorsque cette option est sélectionnée, le champ Regex s’affiche, ce qui vous permet d’entrer une expression régulière à mettre en correspondance avec les champs spécifiés. Par exemple, .*cve-[0-9].*
      Couper les espaces complétés pour les mots clés Cochez cette case pour supprimer les espaces de début et de fin des mots clés.

      Lorsque cette option est sélectionnée, l’application supprime automatiquement les espaces saisis avant ou après chaque mot clé. Par exemple, si des espaces supplémentaires sont inclus autour d’un mot clé, ces espaces sont ignorés lors de la correspondance.

      Si cette case n’est pas cochée, les espaces sont conservés et traités comme faisant partie du mot clé. Cela vous permet de contrôler la précision avec laquelle la correspondance est évaluée.
      Remarque :
      Une seule expression régulière peut être fournie.
    7. Dans la section Ajouter des balises et taxonomies TISC , sélectionnez les balises et taxonomies à appliquer lorsque les critères de règle sont remplis.
      Tableau 5. Ajouter des balises TISC et des champs de taxonomie
      Champ Description
      Balises Une ou plusieurs balises TISC à appliquer lorsque la condition de règle est remplie.
      Taxonomies Une ou plusieurs valeurs de taxonomie à appliquer lorsque la condition de la règle est remplie. Sélectionnez une taxonomie et spécifiez les valeurs de taxonomie correspondantes à appliquer lorsqu’une correspondance se produit.
    8. Sélectionnez Enregistrer pour enregistrer la règle de balisage.
    9. Sélectionnez Activer pour activer la règle de balisage.
      Remarque :
      Une fois la règle activée, la vue du formulaire Règles de balisage passe en mode lecture seule. Vous devez désactiver la règle de balisage pour modifier la vue de formulaire. L’exécution de la règle de balisage est asynchrone.
    10. Facultatif : Sélectionnez Dupliquer pour copier une règle existante.

      Un message de confirmation s’affiche et indique que la règle de balisage actuelle a été dupliquée et qu’une nouvelle règle avec un nom unique a été créée.

      Remarque :
      Lorsque vous copiez une règle existante, l’application crée une entrée en double qui conserve toutes les valeurs de champ de la règle d’origine. La règle copiée est créée par défaut avec un état désactivé . Ce qui vous permet de l’examiner ou de la modifier avant d’activer la règle.

    Pour afficher le résultat de l’exécution :

    • L’application évalue l’enregistrement du flux RSS par rapport aux conditions de la règle.
    • Si une correspondance est trouvée :
      • Les valeurs des balises et des taxonomies configurées sont automatiquement associées à l’enregistrement du flux RSS.
      • Une entrée de note de travail dans le flux d’activité est ajoutée pour enregistrer l’action. La note de travail sur le flux d’activité comprend les détails suivants :
        • Nom de la règle de balisage
        • Balises appliquées
        • Valeurs de taxonomie appliquées
          Règles de balisage TISC : Flux d’activité

    Si plusieurs règles sont déclenchées, chaque règle s’affiche sur une ligne distincte. Lorsque plusieurs valeurs de balises et de taxonomies sont appliquées par une seule règle, elles sont répertoriées en tant que valeurs séparées par des virgules, les balises et taxonomies étant appliquées séparément par chaque règle de balisage. Lorsque plusieurs règles de balisage utilisent les mêmes balises ou valeurs de taxonomies, l’application garantit que les balises et taxonomies en double sont gérées automatiquement. Cela empêche d’appliquer la même balise ou taxonomie plus d’une fois à un enregistrement de flux RSS.