Definieren Von Ablaufregeln

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Definieren Sie Ablaufregeln für verschiedene erkennbare Elemente oder eine Kombination verschiedener Quellobjekte oder Indikatorquellen, die in TISC erstellt werden.

    Vorbereitungen

    Jede Quelle, die in der Anwendung erstellt wird, hat einen Ablaufzeitraum. Die Daten-Feeds verwenden die Techniken wie einen zeitbasierten Ablaufzeitraum, um die Datenerfassung zu beschleunigen. In TISC definieren die Ablaufregeln die Ablaufzeit für einen bestimmten Satz von Datenquellen oder eine Reihe von Objekttypen oder Typen erkennbarer Elemente.

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Auswählen Ablaufregelnan.
      Die Seite „Ablaufregeln“ wird angezeigt.
    3. Klicken Sie auf Neu.
      FeldBeschreibung
      Name Geben Sie einen Namen für die Ablaufregel ein.
      Beschreibung Geben Sie eine Beschreibung für die Ablaufregel ein.
      Ablaufzeitraum (in Tagen) Geben Sie die Zeitdauer an, nach der die erfassten Daten ablaufen oder als veraltet betrachtet werden sollen.

      Geben Sie den Ablaufzeitraum für das erkennbare Element in Tagen ein. Beispiel: 100 Tage.

      Hinweis:
      Alle Daten, die aus der Quelle erfasst werden, laufen 100 Tage nach der Erfassung ab.
      Datenquellen Gibt die Ablaufregel für die aktuelle Datenquelle an. Wählen Sie die Liste der Datenquellen aus der Suche aus.
      Hinweis:
      Wählen Sie dieses Feld nicht aus, und lassen Sie es leer, wenn Sie alle Datenquellen auswählen möchten.
      Wenn Sie den Indikator als Objekt auswählen möchten, müssen Sie das Objekt auswählen und dann auswählen Typ der Datensätze Wert als Indikator .
      Hinweis:
      Standardmäßig wird für die Anwender im Basissystem eine Beispielablaufregel-sn_sec_tisc_m2m_entity_rules bereitgestellt. Für erkennbare Elemente befindet sich diese Beispielablaufregel im deaktivierten Status. Sie müssen die Regel aktivieren und aktivieren. Um die Regel auf die Quelldatensätze anzuwenden, müssen Sie die Regel aktivieren.
      Kategorie Gibt den Kategorietyp der Ablaufregel für die aktuelle Datenquelle an. Wählen Sie den Kategorietyp aus der Dropdown-Liste aus, z. B. erkennbares Element oder Objekt.
      Typ der Datensätze Wählen Sie den Typ der Datensätze aus.
    4. Klicken Sie Auf Aktivieren Zum Aktivieren der Ablaufregel, nachdem Sie eine neue Regel erstellt haben.
      Wenn Sie die Ablaufregel nicht aktivieren, wird die Regel nicht auf den Quelldatensatz angewendet.
      Hinweis:
      • Wenn Sie eine Ablaufregel aktivieren, erfolgt im Hintergrund eine Duplizierungsprüfung, um zu überprüfen, ob im System eine doppelte Regel mit derselben Kombination aus Datenquellen und Datensatztyp vorhanden ist. Wenn dies der Fall ist, fordert die Anwendung eine Informationsnachricht auf, dass die Regel bereits dieselbe Kombination aus Datenquelle und Objektkategorie enthält. Sie müssen die vorhandene Kombination ändern, um die Regel zu aktivieren.
      • Eine Beispielablaufregel wird für die Anwender im Basissystem und dieses bereitgestellt Beispiel Für Ablaufregel Für erkennbares Element befindet sich standardmäßig im deaktivierten Status, und Sie müssen die Regel aktivieren und aktivieren.
    5. Klicken Sie auf Speichern.
    6. Klicken Sie Auf Löschen Wenn Sie eine Ablaufregel löschen möchten.