소스 기록의 만료 규칙
만료 규칙은 기본적으로 소스 기록의 만료 시간을 설정하는 데 유용합니다. 집계 기록은 해당 소스 기록에서 가장 높은 만료 시간을 상속합니다.
규칙이 적용되는 방식
수신 소스 기록 유형이 CrowdStrike라는 데이터 소스 유형의 맬웨어입니다.
소스 기록에 만료 시간을 적용하기 위해 제공된 규칙에 기반한 규칙 평가 프로세스:
- 활성화된 모든 규칙을 가져옵니다. 애플리케이션은 현재 활성화되어 있는 모든 규칙을 검증하여 시작합니다.
- 특정 규칙 조합 확인:
특히 다음과 같은 조합과 일치하는 규칙을 찾습니다.
- 데이터 소스 유형: CrowdStrike
- 기록 유형: 맬웨어
- 일치 규칙 조합에 따른 우선순위:
데이터 소스 유형이 CrowdStrike 이고 기록 유형이 맬웨어인 규칙이 있는 경우 이 규칙이 우선합니다. 이 규칙에 지정된 만료 시간이 적용됩니다.
- 폴백 규칙:
- CrowdStrike 및 맬웨어 조합과 일치하는 규칙이 없으면 시스템은 데이터 소스 유형이 CrowdStrike이고 기록 유형이 모두인 규칙을 확인합니다.
- 여전히 규칙을 찾을 수 없으면 데이터 소스 유형이 모두 이고 기록 유형이 맬웨어인 규칙을 찾습니다.
- 마지막으로, 위의 규칙이 없으면 기본적으로 데이터 소스 유형과 기록 유형이 모두인 규칙이 사용됩니다.
- 시스템에 이러한 규칙이 없으면 소스 기록에 만료 규칙이 적용되지 않습니다. 이 경우 아래 테이블(스크린샷에 표시됨)으로 이동하여 객체에 적용된 규칙의 조합을 확인합니다.
- 데이터 소스 삭제:
연결된 만료 규칙이 있는 데이터 소스가 삭제되면 이러한 규칙이 해결될 때까지 삭제가 제한되거나 허용되지 않을 수 있다고 가정합니다. 이렇게 하면 만료 정책 적용에 불일치가 발생하지 않습니다.