Executar acúmulo atâmico sob demanda

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • A estrutura de acúmulo não pode lidar com atualizações nos registros vinculados existentes. Nesses casos, o acúmulo atâmico sob demanda deve acontecer para registros vinculados, o que pode ser obtido por meio de regras de negócio.

    Para capturar atualizações para os registros vinculados, as regras de negócios devem ser criadas na tabela de origem.

    Essas regras de negócios funcionam em operações de inserção, atualização e exclusão. Ao executar a inserção ou atualização, você precisa adicionar ou atualizar as informações acumuladas para MSI. Se você excluir, as informações acumuladas serão removidas de MSI.

    Por exemplo, quando um incidente de segurança for vinculado a MSI, as informações relacionadas serão acumuladas automaticamente MSI. Mais tarde, porém, se você adicionar um novo observável a um MSI, o observável recém-adicionado também será acumulado para MSI. Aqui, a regra de negócios observável de sincronização acumulada captura a atualização e acumula o registro atualizado para MSI. Da mesma forma, a mesma regra de negócios também lida com a remoção dos observáveis acumulados existentes, se eles forem removidos do incidente de segurança.

    Tabela 1. Regras de negócio predefinidasA seguir estão algumas regras de negócios predefinidas que ajudam você a entender como lidar com acúmulos atâmicos
    Regra Descrição
    Sincronizar indicador acumulado (sn_ti_m2m_task_indicator) Use esta regra de negócios para lidar com o acúmulo e a remoção do indicador de comprometimento do incidente de segurança, caso de segurança e tarefa de correção.
    Sincronizar observável acumulado (sn_ti_m2m_task_observable) Use esta regra de negócios para lidar com o acúmulo e a remoção de observáveis vinculados do incidente de segurança, caso de segurança e tarefa de correção.
    Sincronizar usuário afetado acumulado (sn_si_m2m_task_affected_user) Use esta regra de negócios para lidar com o acúmulo e a remoção de usuários afetados vinculados do incidente de segurança, caso de segurança e tarefa de correção.
    Sincronizar IC afetado acumulado (task_ci) Use esta regra de negócios para lidar com o acúmulo e a remoção de itens de configuração associados do incidente de segurança, caso de segurança e tarefa de correção.