Ablaufregeln für Quelldatensätze

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Ablaufregeln sind grundsätzlich hilfreich, um die Ablaufzeit für die Quelldatensätze festzulegen. Der Aggregatdatensatz erbt die höchste Ablaufzeit aus den entsprechenden Quelldatensätzen.

    Wie die Regeln angewendet werden

    Der Datensatztyp der eingehenden Quelle ist Malware vom Datenquellentyp CrowdStrike

    Regelauswertungsprozess basierend auf den Regeln, die für die Anwendung von Ablaufzeiten auf Quelldatensätze bereitgestellt werden:
    1. Alle aktivierten Regeln abrufen: Die Anwendung überprüft zunächst alle derzeit aktivierten Regeln.
    2. Auf bestimmte Regelkombination prüfen:

      Suchen Sie nach einer Regel, die speziell der Kombination von entspricht:

      • Datenquellentyp : CrowdStrike
      • Typ der Datensätze : Malware
    3. Priorität basierend auf den Übereinstimmungsregelkombinationen:

      Wenn eine Regel vorhanden ist, bei der der Datenquelltyp lautet CrowdStrike Und der Datensatztyp ist Malware , Diese Regel hat Vorrang. Die in dieser Regel angegebene Ablaufzeit wird angewendet.

    4. Fallback-Regeln:
      1. Wenn keine Regel mit übereinstimmt CrowdStrike und Malware Kombination, sucht das System nach einer Regel, bei der der Datenquelltyp lautet CrowdStrike Und der Datensatztyp ist Alle .
      2. Wenn immer noch keine Regel gefunden wird, wird nach einer Regel gesucht, bei der der Datenquelltyp lautet Alle Und der Datensatztyp ist Malware .
      3. Wenn keine der obigen Regeln vorhanden ist, wird standardmäßig eine Regel verwendet, bei der sowohl Datenquellentyp als auch Datensatztyp sind Alle .
    5. Wenn keine dieser Regeln im System vorhanden ist, wird keine Ablaufregel auf die Quelldatensätze angewendet. Navigieren Sie in diesem Fall zur folgenden Tabelle (im Screenshot angezeigt), um die Kombination der Regeln zu überprüfen, die auf die Objekte angewendet wurden.

      Ablaufregeln für Quelldatensätze.

    6. Löschen von Datenquellen:

      Angenommen, wenn eine Datenquelle, der die Ablaufregeln zugeordnet sind, gelöscht wird, kann die Löschung eingeschränkt oder nicht zulässig sein, bis diese Regeln behandelt wurden. Dadurch wird sichergestellt, dass keine Inkonsistenzen bei der Anwendung von Ablaufrichtlinien auftreten.