Créer des règles de duplication dans Security Operations

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

3 minutes de lecture

Vous pouvez les utiliser Règles de duplication pour identifier les nouveaux e-mails, données d’enrichissement ou cartes de champs avec des enregistrements en double actifs et les traiter de manière appropriée.

Avant de commencer

Rôle requis : sn_sec_cmn.write

Procédure

Accédez à la Tous > Security Operations > Règles de duplication.
Cliquez sur Nouveau.

Renseignez les champs du formulaire comme il convient :

Tableau 1. Règle de duplication
Champ	Description
Nom	Nom de la règle de duplication.
Table	Table où les enregistrements sont créés et utilisés pour déterminer la duplication.
Identification des champs	Sélectionnez un ensemble de champs qui indique un incident de sécurité en double, un observable, une vulnérabilité, etc., lorsque les valeurs de ces champs sont identiques.
Action relative à la duplication	Régit la façon de gérer les e-mails en double. Les choix possibles sont les suivants : Créer en tant qu'enfant Crée un enregistrement en tant qu’enfant de l’original. Le champ liant l’enfant au parent est le champ Parent. Ne pas créer ni mettre à jour des enregistrements (par défaut) Ne fait rien. Ignore les doublons. Mettre à jour l'enregistrement en double Met à jour les champs de l’enregistrement existant comme spécifié dans les actions de duplication. Remarque : Si vous choisissez Mettre à jour l’enregistrement en double, la liste connexe Actions de duplication s’affiche.
Actif	Cochez cette case pour activer la règle.
Description	Décrit le but et l’application de cette règle de duplication ; quand elle doit être utilisée, par exemple une règle conçue pour les observables basés sur IP ou les incidents de sécurité provenant du pare-feu.

Cliquez avec le bouton droit de la souris dans l’en-tête de l’enregistrement et sélectionnez Enregistrer ou cliquez sur Mettre à jour.
Pour définir des actions de duplication, si vous avez choisi Mettre à jour l’enregistrement en double, cliquez sur Nouveau pour créer des actions de duplication pour chaque champ que vous souhaitez mettre à jour dans l’incident.

Renseignez ou modifiez les champs du formulaire pour décrire la procédure de mise à jour du champ :

Tableau 2. Actions de duplication
Champ	Description
Champ	Nom du champ à utiliser pour l’action de duplication.
Action	Les actions prises en charge varient selon le type de champ. Les choix possibles sont les suivants : Mettre à jour ce champ avec la nouvelle valeur Remplace la valeur précédente dans l’enregistrement existant par cette valeur. Ajouter la nouvelle valeur à une liste séparée par des virgules, si elle est unique Traite la valeur comme une entrée dans une liste séparée par des virgules et ajoute les nouvelles données (le cas échéant) comme une nouvelle entrée dans cette liste. Si les données figurent déjà dans la liste, elles ne sont pas ajoutées deux fois. Ajouter la nouvelle valeur à ce champ Ajoute la nouvelle valeur à la fin du texte existant dans le champ. Ajouter un à un champ de compteur Ajoute un au champ numérique. Définir le champ à la date d'aujourd'hui Définit le champ sur la date et l’heure actuelles. Ajouter à la liste connexe Ajoute l’enregistrement connexe avec cette valeur à la liste connexe de l’enregistrement actuel. S’affiche lorsqu’il existe une table plusieurs à plusieurs, avec une colonne du même type, liée à la table en cours de mise à jour. Par exemple, CI affecté ou Utilisateur affecté.
Relation	[Facultatif] Ce champ s’affiche uniquement lorsque l’action Ajouter à la liste connexe est sélectionnée. Il s’agit du nom de la liste connexe que vous souhaitez associer à cette règle.
Règle de duplication	Règle dont cette action fait partie.
Table	Table où les enregistrements sont créés. S’affiche à titre d’information uniquement.
Actif	Cochez cette case pour activer l’action.

Cliquez sur Envoyer.