Définition des règles de filtrage

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

2 minutes de lecture

Créez des règles de filtrage afin de filtrer tout type de données ou tout type de données d’enregistrements sources entrants. À l’aide du gestionnaire de sources de données, plusieurs flux tels que les données STIX et RSS sont configurés et pour filtrer les données des flux configurés, vous devez définir certaines règles de filtrage.

Avant de commencer

Lorsque vous définissez une règle de filtrage, cette règle est appliquée uniquement à cet ensemble de données source, où une règle est appliquée pour filtrer les enregistrements pendant l’ingestion et l’importation de données.

Rôle requis : sn_sec_tisc.admin

Pourquoi et quand exécuter cette tâche

Des règles de filtrage sont créées et appliquées à un enregistrement source pour traiter les étapes suivantes. Le système de base fournit la règle de filtrage d’échantillon pour les utilisateurs avec une règle prédéfinie pour filtrer les observables, les données d’indicateur ou les entités/objets ingérés.

Procédure

Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Administration.
Explorez jusqu’à Moteur de règles > Règles de filtrage entrant.
Cliquez sur Nouveau pour définir des règles de filtrage.
La page Créer de nouvelles règles de filtrage entrant s’affiche.

Renseignez les champs du formulaire.

Tableau 1. Définir des règles de filtrage
Champ	Description
Nom	Nom de la nouvelle règle de filtrage.
Description	Brève description de la règle de filtrage.
Ordre	Priorité de la règle de filtrage. Ce champ indique l’ordre dans lequel les règles de filtrage sont exécutées lorsque deux règles ou plus partagent les conditions de déclenchement. La règle de filtrage dotée du numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, etc. La valeur par défaut est 100 pour la règle de filtrage du système de base.
Sources de données	Sélectionnez le type de source de données dans la liste de recherche.
Table	Sélectionnez le type de table auquel vous souhaitez appliquer le filtre. Par exemple, Source observable, Source indicateur et Source objet.
Type de filtre (uniquement lorsque la table sélectionnée est Source d’observables)	L’option Types de filtres contient deux options sur lesquelles vous pouvez appliquer le filtre. Filtre basé sur une condition Filtre basé sur une liste
Type de filtre (filtre basé sur la condition)	Conditions de filtre dans le générateur de conditions. Ces conditions sont basées sur la table source. Par exemple, la source de l’indicateur et la source de l’objet n’ont que le type de filtre : filtre basé sur la condition. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouvel ensemble de conditions.
Type de filtre (filtre basé sur la liste)	Si les observables entrants correspondent aux entrées de la liste sélectionnée, ils sont filtrés. Remarque : Ces règles de filtrage ne s’appliquent pas aux importations de données utilisant l’intelligence d’importation et les options disponibles sont Liste d’autorisation, Liste de refus et Liste de surveillance.

Une fois la règle de filtrage activée sur les données ingérées, le résultat peut être consulté dans les onglets suivants sous la forme de différents enregistrements filtrés.

Enregistrements d’observables filtrés : filtre et répertorie les enregistrements d’observables.
Enregistrements d’indicateurs filtrés : filtre et répertorie les enregistrements d’indicateurs.
Enregistrements d’objets filtrés : filtre et répertorie les enregistrements d’objets.

Remarque :

Pour appliquer les règles de filtrage en fonction des balises ajoutées aux enregistrements sources, sélectionnez l’option Balises TISC dans le générateur de conditions de filtre.