ソースレコードの有効期限ルール
ソースレコードの有効期限を設定する際、基本的に有効期限ルールがあると便利です。集計レコードでは、対応するソースレコードの中で最長の有効期限が継承されます。
ルールの適用方法
受信ソースレコードタイプが、データソースタイプ「CrowdStrike」からのマルウェアである
ソースレコードに有効期限を適用するために定められたルールに基づくルール評価プロセス:
- 有効なルールをすべてフェッチ: アプリケーションでは、最初に現在有効なルールをすべて検証します。
- 特定のルールの組み合わせを確認:
次の組み合わせと明確に一致するルールを検索:
- データソースタイプ:CrowdStrike
- レコードのタイプ:マルウェア
- 一致ルールの組み合わせに基づく優先度:
データソースタイプが「CrowdStrike」で、レコードタイプが「マルウェア」のルールが存在する場合、このルールが優先されます。このルールで指定された有効期限が適用されます。
- フォールバックルール:
- 「CrowdStrike」と「マルウェア」の組み合わせと一致するルールがない場合、システムでは、データソースタイプが「CrowdStrike」、レコードタイプが「すべて」のルールを確認します。
- それでもルールが見つからない場合は、データソースタイプが「すべて」、レコードタイプが「マルウェア」のルールを検索します。
- 最終的に、上記のいずれのルールも存在しない場合は、データソースタイプとレコードタイプのいずれも「すべて」のルールが既定の設定になります。
- これらのルールがシステムに存在しない場合は、ソースレコードに有効期限ルールが適用されません。その場合は、以下のテーブル (スクリーンショットを参照) に移動して、オブジェクトに適用されたルールの組み合わせを確認します。
- データソースの削除:
たとえば、有効期限ルールが関連付けられているデータソースを削除するときにこれらのルールに対応していないと、削除に制限がかかったり、許可されなくなったりする場合があります。これにより、有効期限ポリシーの適用に不整合がなくなります。