Modifier les règles d’archivage pour les observables

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

2 minutes de lecture

Modifier les règles d’archivage pour les observables et afficher également une estimation du nombre d’enregistrements que la règle affecte.

Avant de commencer

Rôle requis : sn_sec_tisc.admin

Pourquoi et quand exécuter cette tâche

Les règles d’archivage d’exemples sont inactives par défaut.

L’option et la condition Historiquement significatif doivent toujours être définies sur Faux pour les observables, les indicateurs, les enregistrements connexes et les objets. En définissant cette option sur faux, vous pouvez archiver les enregistrements, mais si cette option est définie sur vrai, cela signifie que vous ne pouvez pas archiver les enregistrements, quelle que soit la définition des règles.

Procédure

Accédez à la Tout > Archivage système > Règles d'archivage.
La liste des règles d’archivage applicables à TISC s’affiche. Ces règles d’archivage sont différentes pour chaque type d’objet et s’appliquent indépendamment.
Sélectionnez une règle d’archivage.
Par exemple, sélectionnez Enregistrement observable du répertoire pour afficher la règle d’archivage du système de base.
Cliquez sur Ajouter une condition de filtre.
Sélectionnez l’option Historiquement significatif et définissez la condition sur Faux.
En définissant cette option sur faux, vous pouvez archiver les enregistrements, mais si cette option est définie sur vrai, cela signifie que vous ne pouvez pas archiver les enregistrements, quelle que soit la définition des règles.
Ici, dans cet exemple, définissez l’état de l’observable sur Inactif et le délai d’expiration est de 2 ans.
Cela signifie que l’enregistrement de l’observable peut être archivé lorsque l’état est inactif et que la période d’expiration de cet observable est définie sur 2 ans, de sorte que tout ce qui est antérieur à cette période à partir de la date actuelle sera archivé.
Remarque :
Chaque règle d’archivage est déclenchée toutes les heures, de sorte que tout changement apporté à la règle est modifié à partir de l’heure de sa tâche planifiée. Si vous souhaitez exécuter la tâche explicitement et que vous ne voulez pas attendre que la tâche soit planifiée, vous pouvez la modifier en conséquence. Suivez les étapes ci-dessous.
Accédez à la Liens connexes > Recalculer l'estimation.

L’estimation d’enregistrement a été recalculée et mise à jour avec la valeur estimée.

Remarque :
Si votre valeur d’estimation d’enregistrement est de 0, les enregistrements ne sont pas archivés. Si la valeur d’estimation d’enregistrement est de 1, l’application identifie cette valeur et cet enregistrement sera archivé.
Sélectionnez Exécuter l’archivage maintenant.
Accédez à la section Exécution d’archivage ci-dessous pour vérifier votre processus d’exécution d’archivage.

Remarque :
Vous remarquerez que le nombre total d’enregistrements archivés est d’un seul enregistrement, car votre valeur d’estimation d’enregistrement est également de un.
Accédez à la Bibliothèque de Renseignements sur les menaces > Observables.
Recherchez l’enregistrement archivé.
L’enregistrement doit avoir été archivé et n’affichera pas les résultats lorsque vous le rechercherez.
Remarque :
- Dans le cadre des règles d’archivage TISC, tous les enregistrements de la source et ses enregistrements connexes qui sont répertoriés dans le cadre des enregistrements connexes archivés sont également archivés avec l’enregistrement d’observable agrégé. Vous pouvez explorer la section des journaux d’archivage pour voir la liste des enregistrements archivés qui ont été exécutés automatiquement en arrière-plan et affichés dans cette section.
- Si vous souhaitez afficher l’enregistrement archivé, recherchez l’enregistrement dans cette table connexe. Simultanément, vous pouvez également vérifier votre enregistrement archivé en accédant à Archivage système > Journal d'archive. Le nombre d’enregistrements archivés s’affiche.