A estrutura de acúmulo não pode lidar com atualizações nos registros vinculados existentes. Nesses casos, o acúmulo atômico sob demanda deve acontecer para registros vinculados, o que pode ser obtido por meio de regras de negócio.

Para capturar atualizações para os registros vinculados, as regras de negócio devem ser criadas na tabela de origem.

Essas regras de negócio funcionam em operações de inserção, atualização e exclusão. Ao executar uma inserção ou atualização, você precisa adicionar ou atualizar as informações acumuladas para MSI. Se você excluir, as informações acumuladas serão removidas de MSI.

Por exemplo, quando um incidente de segurança estiver vinculado a MSI, as informações relacionadas serão acumuladas automaticamente MSI. Mais tarde, porém, se você adicionar um novo observável a um MSI, o observável recém-adicionado também será acumulado para MSI. Aqui, a regra de negócio Sincronizar observável acumulado captura a atualização e acumula o registro atualizado para MSI. Da mesma forma, a mesma regra de negócio também lida com a remoção dos observáveis acumulados existentes, se eles forem removidos do incidente de segurança.

Tabela 1. Regras de negócio predefinidasA seguir estão algumas regras de negócio predefinidas que ajudam você a entender como lidar com acúmulos atômicos

Regra	Descrição
Sincronizar indicador acumulado (sn_ti_m2m_task_indicator)	Use esta regra de negócio para lidar com o acúmulo e a remoção do indicador de comprometimento do incidente de segurança, caso de segurança e tarefa de correção.
Sincronizar observável acumulado (sn_ti_m2m_task_observable)	Usar esta regra de negócio lida com o acúmulo e a remoção de observáveis vinculados do Incidente de segurança, Caso de segurança e Tarefa de correção.
Sincronizar usuário afetado acumulado (sn_si_m2m_task_affected_user)	Usar esta regra de negócio lida com o acúmulo e a remoção de usuários afetados vinculados do incidente de segurança, caso de segurança e tarefa de correção.
Sincronizar IC afetado acumulado (task_ci)	Usar esta regra de negócio lida com o acúmulo e a remoção de itens de configuração associados do incidente de segurança, caso de segurança e tarefa de correção.