Définition des règles d’expiration

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Définissez des règles d’expiration pour divers observables ou une combinaison de divers objets sources sources ou d’indicateurs créés dans TISC.

    Avant de commencer

    Chaque source créée dans l’application a une période d’expiration. Les flux de données utilisent des techniques telles que la période d’expiration basée sur le temps pour stimuler l’ingestion de données. Dans TISC, les règles d’expiration définissent le délai d’expiration d’un ensemble particulier de sources de données, d’un ensemble de types d’objets ou de types d’observables.

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Tout > Threat Intelligence Security Center > Administration.
    2. Sélectionner Règles d’expiration.
      La page Règles d’expiration s’affiche.
    3. Cliquez sur Nouveau.
      ChampDescription
      Nom Donnez un nom à la règle d’expiration.
      Description Entrez une description pour la règle d’expiration.
      Période d'expiration (jours) Spécifiez la durée après laquelle les données ingérées doivent expirer ou être considérées comme obsolètes.

      Saisissez la période d’expiration de l’observable en jours. Par exemple, 100 jours.

      Remarque :
      Quelles que soient les données ingérées à partir de la source, elles expirent 100 jours après l’ingestion.
      Sources de données Indique la règle d’expiration pour la source de données actuelle. Sélectionnez la liste des sources de données de la recherche.
      Remarque :
      Ne sélectionnez pas ce champ et veillez à le laisser vide si vous souhaitez sélectionner toutes les sources de données.
      Si vous souhaitez sélectionner l’indicateur en tant qu’objet, vous devez sélectionner l’objet, puis sélectionner la valeur Type d’enregistrements en tant qu’indicateur.
      Remarque :
      Par défaut, un exemple de règle d’expiration sn_sec_tisc_m2m_entity_rules est mis en service pour les utilisateurs du système de base. Pour les observables, cet exemple de règle d’expiration sera à l’état désactivé. Vous devez activer et activer la règle. Pour appliquer la règle aux enregistrements sources, vous devez activer la règle.
      Catégorie Indique le type de catégorie de la règle d’expiration pour la source de données actuelle. Sélectionnez le type de catégorie dans la liste déroulante, par exemple observable ou objet.
      Type d’enregistrements Sélectionnez le type d’enregistrements.
    4. Cliquez sur Activer pour activer la règle d’expiration après avoir créé une nouvelle règle.
      Si vous n’activez pas la règle d’expiration, elle ne sera pas appliquée à l’enregistrement source.
      Remarque :
      • Chaque fois que vous activez une règle d’expiration, une vérification de duplication se produit en arrière-plan pour vérifier s’il existe une règle en double dans le système avec la même combinaison de sources de données et de type d’enregistrements. Si tel est le cas, l’application invite un message d’information indiquant que la règle contient déjà la même combinaison de source de données et de catégorie d’objets et que vous devez modifier la combinaison existante pour activer la règle.
      • Un exemple de règle d’expiration est mis en service pour les utilisateurs du système de base et cet exemple de règle d’expiration pour l’observable est désactivé par défaut et vous devez activer et activer la règle.
    5. Cliquez sur Enregistrer.
    6. Cliquez sur Supprimer si vous souhaitez supprimer une règle d’expiration.