Définition de règles de filtrage

Rversion finale: Xanadu

Mis à jour 1 août 2024

2 minutes de lecture

Créez des règles de filtrage afin de filtrer tout type de données ou tout type de données d’enregistrements sources entrants. À l’aide du gestionnaire de sources de données, plusieurs flux tels que les données STIX et les flux RSS sont configurés et pour filtrer les données à partir des flux configurés, vous devez définir certaines règles de filtrage.

Avant de commencer

Lorsque vous définissez une règle de filtrage, cette règle s’applique uniquement à l’ensemble de données sources dans lequel une règle est appliquée pour filtrer les enregistrements pendant l’ingestion et l’importation des données.

Rôle requis : sn_sec_tisc.admin

Pourquoi et quand exécuter cette tâche

Des règles de filtrage sont créées et appliquées à un enregistrement source pour traiter les étapes suivantes. Le système de base fournit l’exemple de règle de filtrage pour les utilisateurs avec une règle prédéfinie pour filtrer les observables, les données d’indicateur ou les entités/objets ingérés.

Procédure

Accédez à la Espaces de travail > Threat Intelligence Security Center > Administration.
Explorer jusqu’à Moteur de règles > Règles de filtrage entrant.
Cliquez sur Nouveau pour définir des règles de filtrage.
La page Créer de nouvelles règles de filtrage entrant s’affiche.

Renseignez les champs du formulaire.

Tableau 1. Définir des règles de filtrage
Champ	Description
Nom	Nom de la nouvelle règle de filtrage.
Description	Brève description de la règle de filtrage.
Ordre	Priorité de la règle de filtrage. Ce champ indique l’ordre dans lequel les règles de filtrage sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement. La règle de filtrage associée au numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc. La valeur par défaut est 100 pour la règle de filtrage du système de base.
Sources de données	Sélectionnez le type de source de données dans la liste de recherche.
Table	Sélectionnez le type de table auquel vous souhaitez appliquer le filtre. Par exemple, Source d’observable, Source d’indicateur et Source d’objet.
Type de filtre (uniquement lorsque la table sélectionnée est Source d’observables)	Types de filtres contient deux options sur lesquelles vous pouvez appliquer le filtre. Filtre basé sur une condition Filtre basé sur une liste
Type de filtre (filtre basé sur une condition)	Conditions de filtre dans le générateur de conditions. Ces conditions sont basées sur la table source. Par exemple, Source d’indicateur et Source d’objet n’a qu’un seul type de filtre : Filtre basé sur la condition. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouvel ensemble de conditions.
Type de filtre (filtre basé sur la liste)	Si les observables entrants correspondent aux entrées de la liste, les éléments sélectionnés sont filtrés. Remarque : Ces règles de filtrage ne s’appliquent pas aux importations de données utilisant l’intelligence d’importation et les options disponibles sont Liste d’autorisation, Liste de refus et Liste de surveillance.

Une fois la règle de filtrage activée sur les données ingérées, le résultat peut être affiché dans les onglets suivants sous la forme de différents enregistrements filtrés.

Enregistrements d’observables filtrés : filtre et répertorie les enregistrements d’observables.
Enregistrements d’indicateurs filtrés : filtre et répertorie les enregistrements d’indicateurs.
Enregistrements d’objets filtrés : filtre et répertorie les enregistrements d’objets.

Remarque :

Pour appliquer les règles de filtrage en fonction des balises ajoutées aux enregistrements sources, sélectionnez l’option Balises TISC dans le générateur de conditions de filtre.