Erstellen Sie Duplizierungsregeln in Security Operations

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

2 Minuten Lesedauer

Sie können Duplizierungsregeln verwenden, um neue E-Mails, Ergänzungsdaten oder Feldzuordnungen mit aktiven doppelten Datensätzen zu identifizieren und entsprechend zu verarbeiten.

Vorbereitungen

Erforderliche Rolle: sn_sec_cmn.write

Prozedur

Navigieren zu Alle > Security Operations > Duplizierungsregelnan.
Klicken Sie auf Neu.

Füllen Sie die Felder im Formular entsprechend aus:

Tabelle : 1. Duplizierungsregel
Feld	Beschreibung
Name	Der Name der Duplizierungsregel.
Tabelle	Tabelle, in der Datensätze erstellt und zur Bestimmung der Duplizierung verwendet werden.
Identifizierende Felder	Wählen Sie eine Reihe von Feldern aus, die auf einen doppelten Security Incident, ein erkennbares Element, eine Schwachstelle usw. hinweisen, wenn die Werte in diesen Feldern identisch sind.
Duplikataktion	Steuert den Umgang mit doppelten E-Mails. Die Auswahlmöglichkeiten lauten wie folgt: Als untergeordnet erstellen Erstellt einen Datensatz als untergeordnetes Element des Originals. Das Feld, das das untergeordnete Element mit dem übergeordneten Element verknüpft, ist das Feld Übergeordnet. Datensätze nicht erstellen oder aktualisieren (Standard) Führt nichts. Ignoriert Duplikate. Duplizierten Datensatz aktualisieren Aktualisiert die Felder im vorhandenen Datensatz wie in Duplizierungsaktionen angegeben. Hinweis: Wenn Sie Update duplizierter Datensatzwählen, wird die zugehörige Liste Duplizierungsaktionen angezeigt.
Aktiv	Aktivieren Sie dieses Kontrollkästchen, um die Regel zu aktivieren.
Beschreibung	Beschreibt den Zweck und die Anwendung dieser Duplizierungsregel; wann sie verwendet werden sollte, z. B. eine Regel, die für IP-basierte erkennbare Elemente entwickelt wurde, oder Security Incidents von der Firewall.

Klicken Sie mit der rechten Maustaste auf den Datensatz-Header, und wählen Sie Speichern, oder wählen Sie Aktualisierenaus.
Um Duplizierungsaktionen festzulegen, klicken Sie, wenn Sie Update duplikatsdatensatzausgewählt haben, auf Neu, um Duplizierungsaktionen für jedes Feld zu erstellen, das Sie im Incident aktualisieren möchten.

Füllen Sie die Felder im Formular aus, oder bearbeiten Sie sie, um zu beschreiben, wie das Feld aktualisiert wird:

Tabelle : 2. Duplizierungsaktionen
Feld	Beschreibung
Feld	Der Name des Felds, das für die Duplizierungsaktion verwendet werden soll.
Aktion	Die unterstützten Aktionen variieren je nach Feldtyp. Die Auswahlmöglichkeiten lauten wie folgt: Dieses Feld mit dem neuen Wert aktualisieren Ersetzt den vorherigen Wert im vorhandenen Datensatz durch diesen Wert. Neuen Wert an eine kommagetrennte Liste anhängen, falls einzigartig Behandelt den Wert als Eintrag in einer durch Kommas getrennten Liste und fügt die neuen Daten (falls vorhanden) als neuen Eintrag in dieser Liste hinzu. Wenn die Daten bereits in der Liste enthalten sind, werden sie nicht zweimal hinzugefügt. Neuen Wert an dieses Feld anhängen Hängt den neuen Wert an das Ende des vorhandenen Texts im Feld an. Einmal zu einem Zählerfeld hinzufügen Addiert eins zum numerischen Feld. Feld auf heute einstellen Legt das Feld auf das aktuelle Datum und die aktuelle Uhrzeit fest. An zugehörige Liste anhängen Fügt den zugehörigen Datensatz mit diesem Wert der zugehörigen Liste des aktuellen Datensatzes hinzu. Wird angezeigt, wenn eine Viele-zu-Viele-Tabelle mit einer Spalte des gleichen Typs vorhanden ist, die mit der zu aktualisierenden Tabelle verknüpft ist. Beispiel: Betroffenes CI oder Betroffener Anwender.
Beziehung	[Optional] Dieses Feld wird nur angezeigt, wenn die Aktion An zugehörige Liste anhängen ausgewählt ist. Dies ist der Name der zugehörigen Liste, die Sie dieser Regel zuordnen möchten.
Duplizierungsregel	Regel, zu der diese Aktion gehört.
Tabelle	Tabelle, in der Datensätze erstellt werden. Wird nur zur Information angezeigt.
Aktiv	Aktivieren Sie dieses Kontrollkästchen, um die Aktion zu aktivieren.

Klicken Sie auf Absenden.